账户和登陆安全
- 删除特殊的用户和用户组
users:adm/lp/sync/shutdown/halt/news/uucp/operator/games/gopher
group: adm/lp/news/uucp/games/dip/pppusers/popusers/slipusers
- 关闭不需要的服务
必须的服务:
acpid haldaemon messagebus klogd network syslogd cron iptables apmd kudzu atd keytables xinetd sshd
- 关闭密码登陆
PasswordAuthentication no
- 使用su,sudo命令
vim /etc/sudoers
user01 ALL = /bin/more /etc/shadow
user02 ALL = NOPASSWD: /etc/init.d/nagios restart
super ALL = (ALL) NOPASSWD : ALL
- 删减系统登录欢迎信息
/etc/issue /etc/issue.net /etc/motd /etc/redhat-release
- 让history记录shell执行时间
vim /etc/bashrc or ~/.bashrc
HISTFILESIZE=4000 #记录条数
HISTSIZE=4000 #输出记录总数
HISTTIMEFORMAT='%F %T'
export HISTTIMEFORMAT
- 锁定系统重要文件
chattr lsattr
chattr [-RV] [-v version] [mode] file or dir
[mode] a:只能追加,常用于日志;c:是否压缩;i:设定文件不能被修改,删除,重命名,设定链接等,也不能写入;
lsattr [adlRvV] file or dir
- 服务器遭受攻击的处理过程
1.切断网络,查看可疑用户,runw,锁定用户,passwd -l user,kill 登陆进程,runlast查看用户登录事件
2.查看日志,/var/log/messages,/var/log/secure,.bash_history
3.检查可疑进程ps,top,pidof sshd;进入内存目录,查看对应PID目录下的exe文件信息,runls -al /proc/PID/exe
网友评论