zoukankan      html  css  js  c++  java
  • Linux安全加固


    安全加固

    1.root远程登录漏洞,执行以下命令
    命令:

    vim /etc/securetty
    只留下console 行,这样root 只允许从console登录


    2.初始化防火墙
    命令:iptables -L
    命令:vim /etc/sysconfig/iptables

    -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
    -A INPUT -p icmp -j ACCEPT
    -A INPUT -i lo -j ACCEPT
    -A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
    -A INPUT -j REJECT --reject-with icmp-host-prohibited
    -A FORWARD -j REJECT --re ject-with icmp-host-prohibited

    3.远程访问漏洞,删除 /root/下的rhosts
    rm /root/.rhosts


    4.未经授权的suid文件漏洞 路径 /tmp
    执行脚本: bash 1.sh
    加固 //脚本内容 只需改 (-04000)
    命令: chmod 755 /usr/sbin/useradd


    5.未经授权的sgid 文件漏洞
    执行脚本: bash 2.sh
    加固 //脚本内容 只需改 (-02000)
    命令: chmod 755 /usr/sbin/userdel


    6.未经授权所有人写权限漏洞
    执行脚本: bash 3.sh
    加固
    命令:chmod 755 /usr/local/sbin

             chmod 755 /usr/local/bin

    7.操作系统登陆审计安全漏洞
    执行命令:cat /etc/rsyslog.conf //查看authpriv

    加固
    执行命令:vi /etc/rsyslog.conf //启用 authpriv 的审计项
    重新启动rsyslogd service rsyslogd restart


    8.未关闭sendmail漏洞
    执行命令:chkconfig --list sendmail //发现sendmail 是否启用
    加固
    执行命令:chkconfig sendmail off


    9.系统Ping 响应未关闭
    执行命令:cat /proc/sys/net/ipv4/icmp_echo_ignore_all // 是0的话未开启
    加固
    执行命令:echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all //输入1 至icmp_echo_ignore_all 文件下

    //脚本内容

    • #!/bin/bash
    • for PART in {/bin,/sbin,/usr/sbin,/usr/bin};do
    • find $PART/*(-perm -04000 ) -type f -print
    • done  


    //脚本3和1、2脚本不一样

    • #!/bin/bash
    • for PATH in `awk '($3=="ext4"||$3=="ext3") { print $2 }' /etc/fstab`;do
    • find $PART -xdev -type d (-perm -0002 -a ! -perm -1000 ) -print
    • done

    总结:

    1. 关闭远程访问 和 远程登陆 //删除一些文件
    2.未经授权的suid 、guid 和 所有人写权限 文件漏洞 //脚本检测,只需要给权限
    3.操作系统登陆审计 和 邮件系统审计 //登陆审计开启authpriv,邮件 只需关闭 用chkconfig
    4.禁止ping //配置文件

  • 相关阅读:
    InstallShield用于配置 IIS 的 InstallScrip(转)
    常见的几个.NET 面试题
    工作中常用的SQL语句,随用随加
    memcached系列之1:memcached基础知识简介(为什么要使用memcached做缓存服务器)
    Webbrowser的部分内容
    adox创建access数据文件
    CentOS5(64位)下Apache+SVN+Submin2安装记录
    使用Selenium进行回归测试所遇到的问题
    Maven+Sonar如何让单元测试只跑一次?
    CenOS5 Mysql安装可能出现的问题
  • 原文地址:https://www.cnblogs.com/daiorz/p/11688469.html
Copyright © 2011-2022 走看看