当前位置: > Linux安全 >

Linux服务器安全配置小知识

时间:2014-08-17 18:58来源:linux.it.net.cn 作者:it

如下配置包含防止被暴力破解、漏洞扫描、安全监控和软件安全等几个部分:
1、创建新的日常登陆/操作用户;
    useradd <username>
    passwd <username> (确认密码是强密码,长度至少有 8 个字符,至少包含以下四类字符中的三类:大写字母、小写字母、数字,以及键盘上的符号,如 !、@、#)
2、配置密码修改策略,以提醒用户在一段时期后进行密码更新,降低密码泄露的几率;
    chage -M 60 -W 7 <username>
        M: 设置两次改变密码之间相距的最大天数
        W: 设置过期警告天数
3、停止使用root账号登陆ssh,在/etc/ssh/sshd_config中添加如下配置:
    PermitRootLogin no
    /etc/init.d/sshd restart  重启sshd服务
4、建议使用SSH key进行登录,配置方式如下:
    Linux系统登陆:
        1)在办公的Linux上使用ssh-keygen -t rsa命令生成公私钥对;
            $HOME/.ssh/id_rsa 是你的私钥
            $HOME/.ssh/id_rsa.pub 是你的公钥
        2) 在办公的Linux上使用如下命令拷贝公钥到需要登陆的服务器xxxx上;
            ssh user@xxxx 'mkdir -p $HOME/.ssh;chmod 0700 $HOME/.ssh'
            cat ~/.ssh/id_rsa.pub |ssh user@xxxx 'cat >> ~/.ssh/authorized_keys;chmod 644  ~/.ssh/authorized_keys'
    Windows系统登陆:


        根据使用的不同SSH客户端可以在Google搜索不同教程;
        停止使用密码登陆ssh,在/etc/ssh/sshd_config中添加如下配置:
    PasswordAuthentication no
    /etc/init.d/sshd restart  重启sshd服务
5、配置杀毒软件,定期扫描(镜像已预装clamav)
    编辑/etc/cron.daily/manual_clamscan 文件,内容如下;
    #!/bin/bash
    SCAN_DIR="/"
    LOG_FILE="/var/log/clamav/manual_clamscan.log"
    VIRUS_DIR="/var/log/clamav/virus/"
    mkdir -p $VIRUS_DIR
    freshclam
    /usr/bin/clamscan --move=$VIRUS_DIR  --exclude=/proc --exclude=/sys --exclude=/dev  -i -r $SCAN_DIR >> $LOG_FILE

    务必定期查看病毒查杀日志文件LOG_FILE及病毒删除目录VIRUS_DIR,如果有病毒出现表示系统已被入侵,如果是阿里云用户,请及时联系阿里云技术支持进行排查;
    机器安装rkhunter及chkrootkit配置crontab定期扫描,如果是阿里云用户,发现rootkit后请及时联系阿里云技术支持进行修复;
6、定期观察系统对外监听或连接的端口,如有异常端口确认是否正常应用使用;
    netstat -apnt
7、关闭不必要的服务及异常服务,随时监控是否有异常服务添加;
    /sbin/chkconfig --list  查看机器上开启的服务列表
    强烈建议关闭vsftpd服务

8、定期查看登陆情况及系统日志

    last                    系统登陆历史记录
    /var/log/Secure         认证日志
    /var/log/auth.log      认证日志
    /var/log/cron.log      定时任务执行日志
    强烈建议使用syslog在远程在其他机器上记录日志,可以解决在黑客入侵后有删除日志行为时,方便定位入侵原因并清理后门。
强烈建议软件(如apache、nginx、mysql等)必须使用yum或apt等系统默认的软件安装方式进行安装,方便后续的维护和升级以避免老版本爆发漏洞;
9、自动更新系统及常用软件,避免软件或系统漏洞,相关操作如下:
    yum -y install yum-cron 安装yum-cron
    编辑 /etc/sysconfig/yum-cron 文件,内容如下:
    CHECK_ONLY=no
    DOWNLOAD_ONLY=no
(责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容