1.对Linux用户的防护
使用change命令修改用户的属性状态
# change -l 用户名
# change -E 时间 用户名
将一个王强用户设置失效时间
# useradd wangqiang
# change -E 2020-3-24 wangqiang
# change -l wangqiang
其中可以定义有效期
# cat /etc/login.defs
这个配置文件,决定用户密码的有效期
2.锁定账户
# passwd -l wangqiang //锁定
passwd选项说明:
-d:删除密码,仅有系统管理者才能使用;
-f:强制执行;
-k:设置只有在密码过期失效后,方能更新;
-l:锁住密码;
-s:列出密码的相关信息,仅有系统管理者才能使用;
-u:解开已上锁的帐号。
# passwd -u wangqiang
3.修改tty登录的信息,隐藏版本
/etc/issue配置文件中保存的都是登录信息,防止因文件暴露
cat /etc/issue
cp /etc/issue /etc/issue.origin
vim /etc/issue
Windows Server 2012 Enterprise R2
NT 6.2 Hybrid
4.锁定文件/etc/resolv.conf、/etc/hosts
chattr的选项:
+i 锁定文件,无法修改删除
-i 解锁文件
+a 锁定文件后仅可追加
chattr +i /etc/resolv.conf
lsattr /etc/resolv.conf
用chattr执行改变文件或目录的属性,可执行lsattr指令查询其属性。
-a 显示所有文件和目录,包括以"."为名称开头字符的额外内建,现行目录"."与上层目录".."。
-d 显示,目录名称,而非其内容。
-l 此参数目前没有任何作用。
-R 递归处理,将指定目录下的所有文件及子目录一并处理。
-v 显示文件或目录版本。
-V 显示版本信息。
sudo管理权限
1.su切换账户
# su - 账户
# su - 账户 -c '命令'
2.允许softadm管理系统服务的权限
# vim /etc/sudoers
.. ..
softadm ALL=(ALL) /usr/bin/systemctl
//授权softadm以root身份执行systemctl命令(ALL包括root)
# su - softadm
3.为sudo机制启用日志记录,以便跟踪sudo执行操作
# visudo
Defaults logfile="/var/log/sudo"
.. ..
修改/etc/sudoers配置,添加日志设置
提高Linux主机上SSH服务端的安全
1.调整sshd服务配置,并重载服务
# vim /etc/ssh/sshd_config
.. ..
Protocol 2 //SSH协议
PermitRootLogin no //禁止root用户登录
PermitEmptyPasswords no //禁止密码为空的用户登录
UseDNS no //不解析客户机地址
LoginGraceTime 1m //登录限时
MaxAuthTries 3 //每连接最多认证次数
.. ..
# systemctl restart sshd
2.实现密钥对验证登录
# ssh-keygen
# ls -lh ~/.ssh/id_rsa*
# ssh-copy-id root@192.168.4.5
使用ssh-copy-id命令将自己的公钥部署到服务器
# vim /etc/ssh/sshd_config
.. ..
PasswordAuthentication no //将此行yes改成no
# systemctl restart sshd
SELinux防护
1.SELinux设为enforcing强制模式
# vim /etc/selinux/config
SELINUX=enforcing //设置SELinux为强制模式
SELINUXTYPE=targeted
# getenforce //查看状态
# setenforce 1 //设置强制状态
# getenforce
# setenforce 0 //设置宽松状态
# getenforce
网友评论