详细介绍了linux系统中服务器安全设置和服务器安全优化的常用方法,重点介绍了新手Linux系统的安全设置。作为全职系统管理员,构建安全的Linux系统是管理员的基本素质。以下15项是关于Sinesafe为客户部署的这些安全设置和优化方法。如果你想深入专业的安全设置部署,请咨询专业的 网站安全公司,并推荐Sinesafe,鹰盾安全,绿盟等等。 1.注释系统不需要的用户和用户组 注意:不建议直接删除它。当你需要一个用户时,再添加一次会很麻烦。 Cp /etc/passwd /etc/passwdbak #应在修改前备份。 Vi /etc/passwd #编辑用户,在#注释之前删除该行 # ADM:x:3:4:ADM:/var/ADM:/sbin/nologin # LP:x:4:7:LP:/var/spool/lpd:/sbin/no login # sync:x:5:0:sync:/sbin:/bin/sync # shut down:x:6:0:shut down:/sbin:/sbin/shut down # halt:x:7:0:halt:/sbin:/sbin/halt # uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin # operator:x:11:0:operator:/root:/sbin/no login # games:x:12:100:games:/usr/games:/sbin/nologin # gopher:x:13:30:gopher:/var/gopher:/sbin/nologin # ftp:x:14:50:FTP ser:/var/FTP:/sbin/nologin #注释掉FTP匿名帐户 Cp /etc/group /etc/groupbak #在修改前已备份。 Vi /etc/group #编辑用户组,并在它前面加上#以注释掉这一行 #adm:x:4:根、adm、守护进程 #lp:x:7:守护进程,lp #uucp:x:14:uucp #游戏:x:20: #dip:x:40: 第二,关闭系统不需要的服务 服务自动控制仪表流程图停止CHKConfig自动控制仪表流程图关闭#停止服务并取消开机启动#高级设置,这通常在笔记本电脑上使用。 服务自动安装chkconfig autofsoff #禁用文件系统和外围设备的自动安装 服务蓝牙停止配置蓝牙关闭#禁用蓝牙蓝牙蓝牙 服务cpu速度停止chkconfig cpu速度停止#停用控制CPU速度主要用于省电。 服务杯停止配置杯关闭#禁用通用UNIX打印系统以支持打印机。 服务IPv6表停止stopchkconfig ip表关闭# IPv6已禁用 # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # # 如果要恢复服务,可以执行以下操作 服务acpid启动chkconfig acpid开启 第三,禁止非根用户在/etc/rc.d/init.d/下执行系统命令 chmod -R 700 /etc/rc.d/init.d/* Chmod -R 777 /etc/rc.d/init.d/* #恢复默认设置 4.添加以下属性不变的文件,以防止未经授权的用户获得权限。 chatter+I/etc/passwd chatter+I/etc/shadow chatter+I/etc/group chatter+I/etc/g shadow chatter+I/etc/services #锁定系统服务端口列表文件,以防止未经授权删除或添加服务 lsat tr/etc/passwd/etc/shadow/etc/group/etc/g shadow/etc/services #显示文件的属性 注意:执行上述权限修改后,不能添加或删除用户。 如果要再次添加或删除用户,需要先取消上述设置,然后在添加或删除用户后执行上述操作。 chatter-I/etc/passwd #取消权限锁定设置 chatter-I/etc/shadow chatter-I/etc/group chatter-I/etc/g shadow chatter-I/etc/services #解锁系统服务端口列表文件 现在,您可以添加和删除用户,并在操作完成后锁定目录文件。 五、限制不同文件的权限 避免删除. bash_history或重定向到/dev/null chatter+I . bash _ history Chmod 700 /usr/bin回收chmod 555 /usr/bin Chmod 700 /bin/ping恢复chmod 4755 /bin/ping Chmod 700 /usr/bin/vim恢复chmod 755 /usr/bin/vim Chmod 700 /bin/netstat恢复chmod 755 /bin/netstat Chmod 700 /usr/bin/tail恢复chmod 755 /usr/bin/tail Chmod 700 /usr/bin/less简历chmod 755 /usr/bin/less chmod 700/usr/箱/头回收chmod 755/usr/箱/头 chmod 700/箱/猫回收chmod 755/箱/猫 chmod 700/bin/unae恢复chmod 755/bin/unae Chmod 500 /bin/ps回收chmod 755 /bin/ps 六、禁止使用Ctrl+Alt+Del快捷键重启服务器 cp /etc/inittab /etc/inittabbak Vi /etc/inittab #注释下面一行 # ca::ctrl tdel:/sbin/shut down-T3-r现在 7.使用yum update更新系统时,内核不会升级,只会更新软件包。 由于系统和硬件之间的兼容性问题,升级内核后服务器可能无法正常启动。这是非常可怕的,没有特别的需要。建议不要随意升级内核。 CP/etc/yum . conf/etc/yum . conf bak 1.在[主文件末尾修改百胜的配置文件vi /etc/yum.conf添加exclude=kernel* 2.在百胜的命令后直接添加以下参数: yum-exclude =内核*更新 查看系统版本cat /etc/issue 查看内核版本uname -a 八、关闭Centos自动更新 Chkconfig-listyum-updatesd #显示当前系统状态 百胜更新0:关闭1:关闭2:启用3:启用4:启用5:启用6:关闭 Serviyum-updatesdstop #关闭和打开参数开始 停止百胜更新:[好] Serviyum-updatesdstatus #查看它是否已关闭 Yum-updatesd已停止 chkconfig-level 35 yum-updatesdoff #禁止启动(系统模式为3和5) Chkconfig yum-updatesd off #禁用启动(禁用所有启动模式) Chkconfig-listyum-updatesd #显示当前系统状态 百胜更新0:关闭1:关闭2:启用3:关闭4:启用5:关闭6:关闭 九、关闭冗余虚拟控制台 我们知道当从控制台切换到X窗口时,通常使用Alt-F7。为什么?因为系统默认定义了6个虚拟控制台, x是第七个。事实上,许多人通常不需要这么多虚拟控制台,修改/etc/inittab并注释掉那些你不需要的。 cp /etc/inittab /etc/inittabbak vi /etc/inittab #以标准运行级别运行gettys 1:2345:重生:/sbin/Ming etty TT 1 #2:2345:重生:/sbin/minge tty 2 #3:2345:重生:/sbin/mingetty tt3 #4:2345:重生:/sbin/mingetty tt4 #5:2345:重生:/sbin/minge tty 5 #6:2345:重生:/sbin/mingetty tty6 十、删除MySQL历史记录 用户登录数据库后执行的SQL命令也将由MySQL记录在。用户目录的mysql_history文件。 如果数据库用户使用SQL语句修改数据库密码,它也会由于。mysql_history文件。 因此,在登录和备份shell时,我们不应该直接在-p之后添加密码,而应该在提示符之后输入数据库密码。 此外,我们不应该允许这两份文件记录我们的操作,以防万一。
服务器安全中的mysql安全策略尤为重要,对用户权限都要设置防止被攻击提权拿到管理员权限。 CP . bash _ history . bash _ history bak #备份 cp。mysql_history。mysql_historybak rm。bash历史记录。mysql_history ln -s /dev/null。bash_history ln -s /dev/null。mysql_history 十一、修改历史命令记录 cp /etc/profile /etc/profilebak vi /etc/profile 找到HISTSIZE=1000到HISTSIZE=50 十二、隐藏服务器系统信息 默认情况下,当您登录到linux系统时,它会告诉您linux发行版的名称、版本、内核版本和服务器名称。 为了防止默认信息泄露,我们需要执行以下操作,以便它只显示“登录:”提示。 Net,或者重命名这两个文件,效果是一样的。 mv /etc/issue /etc/issuebak mv/etc/issue . net/etc/issue . net bak 十三.优化Linux内核参数 CP/etc/sysctl . conf/etc/sysctl . conf bak Vi /etc/sysctl.conf #在文件末尾添加以下内容 Net.ipv4.ip_forward = 1 #修改为1 net . core . somax con = 262144 net . core . net dev _ max _ backlog = 262144 net.core.wmem_default = 8388608 net.core.rmem_default = 8388608 net.core.rmem_max = 16777216 net.core.wmem_max = 16777216 net . IP v4 . net filter . IP _ conn track _ max = 131072 net . IP v4 . net filter . IP _ conn track _ TCP _ time out _ establisted = 180 net.ipv4.route.gc_timeout = 20 net . IP v4 . IP _ conn track _ max = 819200 net . IP v4 . IP _ local _ port _ range = 10024 65535 net.ipv4.tcp_retries2 = 5 net.ipv4.tcp_fin_timeout = 30 net.ipv4.tcp_syn_retries = 1 net.ipv4.tcp_synack_retries = 1 net.ipv4.tcp_timestamps = 0 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_tw_len = 1 net.ipv4.tcp_tw_reuse = 1 net . IP v4 . TCP _ keep alive _ time = 120 net . IP v4 . TCP _ keep alive _ probe = 3 net . IP v4 . TCP _ keep alive _ intvl = 15 net . IP v4 . TCP _ max _ tw _ bucket = 36000 net . IP v4 . TCP _ max _孤儿= 3276800 net . IP v4 . TCP _ max _ syn _ backlog = 262144 net . IP v4 . TCP _ wmem = 8192 131072 16777216 net . IP v4 . TCP _ rmem = 32768 131072 16777216 net . IP v4 . TCP _ mem = 94500000 915000000 92700000 /sbin/sysctl -p #使配置立即生效 十四.中枢系统的优化 CP/etc/profile/etc/profile ba 2 Vi /etc/profile #在文件末尾添加以下内容 ulimit -c无限制 ulimit -s无限制 ulimit -SHn 65535 ulimit -S -c 0 导出信用证_全部=C Source /etc/profile #使配置立即生效 Ulimit -a #显示当前用户流程限制 十五、服务器禁止ping CP/etc/RC . d/RC . local/etc/RC . d/RC . local bak Vi /etc/rc.d/rc.local #在文件末尾添加以下行 echo 1 >/proc/sys/net/IP v4/icmp _ echo _ ignore _ all 参数0表示许可1表示禁止
|