Linux 服務器安全運維
1.1
刪除多餘的用戶和組
可刪除的用戶:adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher
可刪除的組:adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers
eg:
userdel games
groupdel games
禁用用戶的登錄功能
usermod -s /sbin/nologin user1
關閉不必要的服務
chkconfig –level 345 bluetooth off
ubuntu下是 update-rc.d
密碼安全策略 ssh
修改配置 啓用PublicKey認證,禁用密碼認證
Protocol 2
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
PasswordAuthentication no
su, sudo
允許sudo權限
user0 ALL=/bin/more /etc/shadow
允許sudo執行固定命令免密碼
user0 ALL= NOPASSWD:/bin/more /etc/shadow
sudo免密碼放行所有命令
user0 ALL=(ALL)NOPASSWD:ALL
1.2
備份shell歷史日誌
通過tcp_wrappers限制訪問
Linux系統服務是否可以使用tcp_warppers防火牆取決於服務是否應用了libwrapped庫文件
/etc/hosts.allow /etc/hosts.deny
server:host(s) [:action]
eg:
ALL:ALL EXCEPT 192.168.1.2
eg2:
在hosts.deny中添加
sshd:ALL
禁止所有其他用戶產生ssh連接
1.3
chattr lsattr
# chattr -h
Usage: chattr [-RVf] [-+=AaCcDdeijsSu] [-v version] files...
a 只可以添加數據
i 文件不能被修改
Usage: lsattr [-RVadlv] [files...]
文件權限的檢查和修改
find --help
Usage: find [-H] [-L] [-P] [-Olevel] [-D help|tree|search|stat|rates|opt|exec] [path...] [expression]
find path -option [ -print ] [ -exec -ok command ] {} \;
-name filename #查找名爲filename的文件
-type b/d/c/p/l/f #查是塊設備、目錄、字符設備、管道、符號鏈接、普通文件
-perm #按執行權限來查找
-user username #按文件屬主來查找
-prune #忽略某個目錄
-newer f1 !f2 #查更改時間比f1新但比f2舊的文件
-print: find命令將匹配的文件輸出到標準輸出。
-exec: find命令對匹配的文件執行該參數所給出的shell命令。相應命令的形式爲'command' { } \;,注意{ }和\;之間的空格。
-ok: 和-exec的作用相同,只不過以一種更爲安全的模式來執行該參數所給出的shell命令,在執行每一個命令之前,都會給出提示,讓用戶來確定是否執行。