加固Linux系统的三种方法总结
加固Linux系统的三种方法总结
Linux命令行历史加固
通过配置系统环境变量实现记录用户在命令行执行的命令。
vim/etc/profile.d/system_monitor.sh
#添加下面代码
exportTMOUT=600
readonlyTMOUT
#history
USER_IP=`who-uami2>/dev/null|awk'{print$NF}'|sed-e's/[()]//g'`
HISTDIR=/usr/share/.history
if[-z$USER_IP];then
USER_IP=`hostname`
fi
if[!-d$HISTDIR];then
mkdir-p$HISTDIR
chmod777$HISTDIR
fi
if[!-d$HISTDIR/${LOGNAME}];then
mkdir-p$HISTDIR/${LOGNAME}
chmod300$HISTDIR/${LOGNAME}
fi
exportHISTSIZE=4000
DT=`date+%Y%m%d_%H%M%S`
exportHISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
exportHISTTIMEFORMAT="[%Y.%m.%d%H:%M:%S]"
chmod600$HISTFILE/${LOGNAME}/*.history*2>/dev/null
重新加载环境变量
source/etc/profile.d/system_monitor.sh
效果:每个帐号每次的登录IP以及运行命令都会记录在该目录如下:
[root@localhost~]#ll/usr/share/.history/root/ total8 -rw-------.1rootroot236Apr2321:491.180.212.137.history.20170423_214918 -rw-------.1rootroot564Apr2321:541.180.212.137.history.20170423_214957
crond调用黑白名单
Cron有它自己内建的特性,这特性允许定义哪些人能哪些人不能跑任务。这是通过两个文件/etc/cron.allow和/etc/cron.deny控制的。要锁定在用Cron的用户时可以简单的将其名字写到corn.deny里,而要允许用户跑cron时将其名字加到cron.allow即可。如果你要禁止所有用户,仅允许root用户。如下:
#echo'root'>>/etc/cron.allow #echo'ALL'>>/etc/cron.deny
ssh服务禁止root登录
1、不要使用默认端口,修改方式;
Port3714
2、不要使用第一版协议;
Protocol2
3、限制可登录的用户;
AllowUsersuser1user2#仅允许user1和user2用户登录
4、设定空闲会话超时时长;
5、利用防火墙设置ssh的远程访问策略;仅允许来自于指定网络中的主机访问;
6、仅监听于指定的IP地址;
ListenAddress
7、基于口令认证时,要使用强密码策略;
#使用mkpasswd命令生成密码; mkpasswd-l15-s3-d3-C3
8、最后使用基于密钥进行认证
9、禁止使用空密码,默认启用;
PermitEmptyPasswordsno:是否允许空密码登录;
10、禁止管理员直接登录;
PermitRootLoginyes#是否允许管理员直接登录;安全起见,建议为no;
11、限制ssh访问频度和并发在线;
12、做好日志分析;