安全加固
1.root远程登录漏洞,执行以下命令
命令:
vim /etc/securetty
只留下console 行,这样root 只允许从console登录
2.初始化防火墙
命令:iptables -L
命令:vim /etc/sysconfig/iptables
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --re ject-with icmp-host-prohibited
3.远程访问漏洞,删除 /root/下的rhosts
rm /root/.rhosts
4.未经授权的suid文件漏洞 路径 /tmp
执行脚本: bash 1.sh
加固 //脚本内容 只需改 (-04000)
命令: chmod 755 /usr/sbin/useradd
5.未经授权的sgid 文件漏洞
执行脚本: bash 2.sh
加固 //脚本内容 只需改 (-02000)
命令: chmod 755 /usr/sbin/userdel
6.未经授权所有人写权限漏洞
执行脚本: bash 3.sh
加固
命令:chmod 755 /usr/local/sbin
chmod 755 /usr/local/bin
7.操作系统登陆审计安全漏洞
执行命令:cat /etc/rsyslog.conf //查看authpriv
加固
执行命令:vi /etc/rsyslog.conf //启用 authpriv 的审计项
重新启动rsyslogd service rsyslogd restart
8.未关闭sendmail漏洞
执行命令:chkconfig --list sendmail //发现sendmail 是否启用
加固
执行命令:chkconfig sendmail off
9.系统Ping 响应未关闭
执行命令:cat /proc/sys/net/ipv4/icmp_echo_ignore_all // 是0的话未开启
加固
执行命令:echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all //输入1 至icmp_echo_ignore_all 文件下
//脚本内容
- #!/bin/bash
- for PART in {/bin,/sbin,/usr/sbin,/usr/bin};do
- find $PART/*(-perm -04000 ) -type f -print
- done
//脚本3和1、2脚本不一样
- #!/bin/bash
- for PATH in `awk '($3=="ext4"||$3=="ext3") { print $2 }' /etc/fstab`;do
- find $PART -xdev -type d (-perm -0002 -a ! -perm -1000 ) -print
- done
总结:
1. 关闭远程访问 和 远程登陆 //删除一些文件
2.未经授权的suid 、guid 和 所有人写权限 文件漏洞 //脚本检测,只需要给权限
3.操作系统登陆审计 和 邮件系统审计 //登陆审计开启authpriv,邮件 只需关闭 用chkconfig
4.禁止ping //配置文件