加固Linux系統(tǒng)的三種方法總結(jié)
Linux命令行歷史加固
通過(guò)配置系統(tǒng)環(huán)境變量實(shí)現(xiàn)記錄用戶(hù)在命令行執(zhí)行的命令����。
vim /etc/profile.d/system_monitor.sh
# 添加下面代碼
export TMOUT=600
readonly TMOUT
#history
USER_IP=`who -u am i 2gt;/dev/null | awk '{print $NF}' | sed -e 's/[()]//g'`
HISTDIR=/usr/share/.history
if [ -z $USER_IP ]; then
USER_IP=`hostname`
fi
if [ ! -d $HISTDIR ]; then
mkdir -p $HISTDIR
chmod 777 $HISTDIR
fi
if [ ! -d $HISTDIR/${LOGNAME} ]; then
mkdir -p $HISTDIR/${LOGNAME}
chmod 300 $HISTDIR/${LOGNAME}
fi
export HISTSIZE=4000
DT=`date +%Y%m%d_%H%M%S`
export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]"
chmod 600 $HISTFILE/${LOGNAME}/*.history* 2gt;/dev/null
重新加載環(huán)境變量
source /etc/profile.d/system_monitor.sh
效果:每個(gè)帳號(hào)每次的登錄IP以及運(yùn)行命令都會(huì)記錄在該目錄如下:
[root@localhost ~]# ll /usr/share/.history/root/
total 8
-rw-------. 1 root root 236 Apr 23 21:49 1.180.212.137.history.20170423_214918
-rw-------. 1 root root 564 Apr 23 21:54 1.180.212.137.history.20170423_214957
crond調(diào)用黑白名單
Cron有它自己內(nèi)建的特性,這特性允許定義哪些人能哪些人不能跑任務(wù)��。 這是通過(guò)兩個(gè)文件/etc/cron.allow 和 /etc/cron.deny控制的�。要鎖定在用Cron的用戶(hù)時(shí)可以簡(jiǎn)單的將其名字寫(xiě)到corn.deny里�,而要允許用戶(hù)跑cron時(shí)將其名字加到cron.allow即可��。如果你要禁止所有用戶(hù),僅允許root用戶(hù)�。如下:
# echo 'root' gt;gt; /etc/cron.allow
# echo 'ALL' gt;gt; /etc/cron.deny
ssh服務(wù)禁止root登錄
1、不要使用默認(rèn)端口�,修改方式�;
2、不要使用第一版協(xié)議�����;
3����、限制可登錄的用戶(hù);
AllowUsers user1 user2 #僅允許user1和user2用戶(hù)登錄
4、設(shè)定空閑會(huì)話超時(shí)時(shí)長(zhǎng)�;
5��、利用防火墻設(shè)置ssh的遠(yuǎn)程訪問(wèn)策略�;僅允許來(lái)自于指定網(wǎng)絡(luò)中的主機(jī)訪問(wèn)��;
6��、僅監(jiān)聽(tīng)于指定的IP地址�;
ListenAddress
7、基于口令認(rèn)證時(shí)�,要使用強(qiáng)密碼策略;
# 使用mkpasswd命令生成密碼��;
mkpasswd -l 15 -s 3 -d 3 -C 3
8����、最后使用基于密鑰進(jìn)行認(rèn)證
9、禁止使用空密碼���,默認(rèn)啟用�����;
PermitEmptyPasswords no:是否允許空密碼登錄�����;
10�����、禁止管理員直接登錄�;
PermitRootLogin yes # 是否允許管理員直接登錄;安全起見(jiàn)���,建議為no���;
11、限制ssh訪問(wèn)頻度和并發(fā)在線��;
12���、做好日志分析����;
您可能感興趣的文章:- 虛擬機(jī)安裝linux系統(tǒng)無(wú)法上網(wǎng)的解決方法
- Linux系統(tǒng)中利用node.js提取Word(doc/docx)及PDF文本的內(nèi)容
- 解決Linux系統(tǒng)中python matplotlib畫(huà)圖的中文顯示問(wèn)題
- Linux系統(tǒng)下實(shí)現(xiàn)遠(yuǎn)程連接MySQL數(shù)據(jù)庫(kù)的方法教程
- Linux系統(tǒng)下安裝android sdk的方法步驟
- 最新Linux系統(tǒng)下安裝MySql 5.7.17全過(guò)程及注意事項(xiàng)
