Linux服务器通用安全加固指南
作者:互联网
实验:
一、基本系统安全
1、保护引导过程:
cp /etc/inittab /etc/inittab.bak
vim /etc/inittab
2、关闭不使用的服务:
首先查看开启的服务
关闭邮件服务,使用公司邮件服务器:
关闭nfs服务及客户端:
3、增强特殊文件权限: 给文件加上不可更改属性,从而防止非授权用户获得权限。
eg:添加只读权限chattr +i
4、强制实行配额和限制: Linux PAM(插入式认证模块,Pluggable Authentication Modules)可以强制实行一些实用的限制,在 /etc/security/limits.conf 文件中对此进行配置。
resource 可以 是下面的关键字之一:
core - 限制内核文件的大小(KB)
data - 最大数据大小(KB)
fsize - 最大文件大小(KB)
memlock - 最大锁定内存地址空间(KB)
nofile - 打开文件的最大数目
rss - 最大持久设置大小(KB)
stack - 最大栈大小(KB)
cpu - 以分钟为单位的最多 CPU 时间
nproc - 进程的最大数目
as - 地址空间限制
maxlogins - 此用户允许登录的最大数目
二、用户安全
1. 禁用不使用的用户:(也可以 usermod -L 或 passwd -l user 锁定。)
cp /etc/passwd{.bak}修改之前先备份
vi/etc/passwd 编辑用户,在前面加上#注释掉此行
2、ssh登陆安全
3、减少history命令记录:vi /etc/profile
三、网络安全
1、禁用ipv6:禁用IPv6不仅仅会加快网络,还会有助于减少管理开销和提高安全级别
在CentOS上完全禁用ipv6步骤:禁止加载IPv6模块,禁用基于IPv6网络,使之不会被触发启动,禁用基于IPv6网络,使之不会被触发启动,关闭ip6tables,重启系统,验证是否生效
2、防止一般网络攻击
(1)禁ping(2)防止IP欺骗(3)防止DoS攻击
3、定期做日志检查
分析与思考:
1、查询资料了解更多关于linux系统加固的知识。
计算机系统评测标准TCSEC,TCSEC将系统分成ABCD四类7个安全级别。D级是安全级别最低的级别,C类为自主保护级别;B类为强制保护级别;A类为验证保护类
D级,最低安全性
C1级,主存取控制
C2级,较完善的自主存取控制(DAC)、审计
B1级,强制存取控制(MAC)
B2级,良好的结构化设计、形式化安全模型
B3级,全面的访问控制、可信恢复
A1级,形式化认证
2、查询资料了解iptables有哪些用途?
iptables:指的是用来管理linux防火墙的命令程序
iptables可以查看、添加、删除规则
标签:KB,存取控制,禁用,IPv6,etc,安全级别,Linux,加固,服务器 来源: https://www.cnblogs.com/cqy0716/p/15265473.html