Linux服务器安全配置小知识
时间:2014-08-17 18:58 来源:linux.it.net.cn 作者:it
如下配置包含防止被暴力破解、漏洞扫描、安全监控和软件安全等几个部分:
1、创建新的日常登陆/操作用户;
useradd <username>
passwd <username> (确认密码是强密码,长度至少有 8 个字符,至少包含以下四类字符中的三类:大写字母、小写字母、数字,以及键盘上的符号,如 !、@、#)
2、配置密码修改策略,以提醒用户在一段时期后进行密码更新,降低密码泄露的几率;
chage -M 60 -W 7 <username>
M: 设置两次改变密码之间相距的最大天数
W: 设置过期警告天数
3、停止使用root账号登陆ssh,在/etc/ssh/sshd_config中添加如下配置:
PermitRootLogin no
/etc/init.d/sshd restart 重启sshd服务
4、建议使用SSH key进行登录,配置方式如下:
Linux系统登陆:
1)在办公的Linux上使用ssh-keygen -t rsa命令生成公私钥对;
$HOME/.ssh/id_rsa 是你的私钥
$HOME/.ssh/id_rsa.pub 是你的公钥
2) 在办公的Linux上使用如下命令拷贝公钥到需要登陆的服务器xxxx上;
ssh user@xxxx 'mkdir -p $HOME/.ssh;chmod 0700 $HOME/.ssh'
cat ~/.ssh/id_rsa.pub |ssh user@xxxx 'cat >> ~/.ssh/authorized_keys;chmod 644 ~/.ssh/authorized_keys'
Windows系统登陆:
根据使用的不同SSH客户端可以在Google搜索不同教程;
停止使用密码登陆ssh,在/etc/ssh/sshd_config中添加如下配置:
PasswordAuthentication no
/etc/init.d/sshd restart 重启sshd服务
5、配置杀毒软件,定期扫描(镜像已预装clamav)
编辑/etc/cron.daily/manual_clamscan 文件,内容如下;
#!/bin/bash
SCAN_DIR="/"
LOG_FILE="/var/log/clamav/manual_clamscan.log"
VIRUS_DIR="/var/log/clamav/virus/"
mkdir -p $VIRUS_DIR
freshclam
/usr/bin/clamscan --move=$VIRUS_DIR --exclude=/proc --exclude=/sys --exclude=/dev -i -r $SCAN_DIR >> $LOG_FILE
务必定期查看病毒查杀日志文件LOG_FILE及病毒删除目录VIRUS_DIR,如果有病毒出现表示系统已被入侵,如果是阿里云用户,请及时联系阿里云技术支持进行排查;
机器安装rkhunter及chkrootkit配置crontab定期扫描,如果是阿里云用户,发现rootkit后请及时联系阿里云技术支持进行修复;
6、定期观察系统对外监听或连接的端口,如有异常端口确认是否正常应用使用;
netstat -apnt
7、关闭不必要的服务及异常服务,随时监控是否有异常服务添加;
/sbin/chkconfig --list 查看机器上开启的服务列表
强烈建议关闭vsftpd服务
8、定期查看登陆情况及系统日志
last 系统登陆历史记录
/var/log/Secure 认证日志
/var/log/auth.log 认证日志
/var/log/cron.log 定时任务执行日志
强烈建议使用syslog在远程在其他机器上记录日志,可以解决在黑客入侵后有删除日志行为时,方便定位入侵原因并清理后门。
强烈建议软件(如apache、nginx、mysql等)必须使用yum或apt等系统默认的软件安装方式进行安装,方便后续的维护和升级以避免老版本爆发漏洞;
9、自动更新系统及常用软件,避免软件或系统漏洞,相关操作如下:
yum -y install yum-cron 安装yum-cron
编辑 /etc/sysconfig/yum-cron 文件,内容如下:
CHECK_ONLY=no
DOWNLOAD_ONLY=no (责任编辑:IT)
如下配置包含防止被暴力破解、漏洞扫描、安全监控和软件安全等几个部分: 根据使用的不同SSH客户端可以在Google搜索不同教程; 停止使用密码登陆ssh,在/etc/ssh/sshd_config中添加如下配置: PasswordAuthentication no /etc/init.d/sshd restart 重启sshd服务 5、配置杀毒软件,定期扫描(镜像已预装clamav) 编辑/etc/cron.daily/manual_clamscan 文件,内容如下;
#!/bin/bash
SCAN_DIR="/"
LOG_FILE="/var/log/clamav/manual_clamscan.log"
VIRUS_DIR="/var/log/clamav/virus/"
mkdir -p $VIRUS_DIR
freshclam
/usr/bin/clamscan --move=$VIRUS_DIR --exclude=/proc --exclude=/sys --exclude=/dev -i -r $SCAN_DIR >> $LOG_FILE
务必定期查看病毒查杀日志文件LOG_FILE及病毒删除目录VIRUS_DIR,如果有病毒出现表示系统已被入侵,如果是阿里云用户,请及时联系阿里云技术支持进行排查; 机器安装rkhunter及chkrootkit配置crontab定期扫描,如果是阿里云用户,发现rootkit后请及时联系阿里云技术支持进行修复; 6、定期观察系统对外监听或连接的端口,如有异常端口确认是否正常应用使用; netstat -apnt 7、关闭不必要的服务及异常服务,随时监控是否有异常服务添加; /sbin/chkconfig --list 查看机器上开启的服务列表 强烈建议关闭vsftpd服务 8、定期查看登陆情况及系统日志 last 系统登陆历史记录/var/log/Secure 认证日志 /var/log/auth.log 认证日志 /var/log/cron.log 定时任务执行日志 强烈建议使用syslog在远程在其他机器上记录日志,可以解决在黑客入侵后有删除日志行为时,方便定位入侵原因并清理后门。 强烈建议软件(如apache、nginx、mysql等)必须使用yum或apt等系统默认的软件安装方式进行安装,方便后续的维护和升级以避免老版本爆发漏洞; 9、自动更新系统及常用软件,避免软件或系统漏洞,相关操作如下: yum -y install yum-cron 安装yum-cron 编辑 /etc/sysconfig/yum-cron 文件,内容如下: CHECK_ONLY=no DOWNLOAD_ONLY=no (责任编辑:IT) |