一、summary 随着互联网的发展,隐私以及安全被大家看的越来越重视,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题。 然而这也是我的薄弱之处,希...
//参考原文链接 他们有图哦https://blog.csdn.net/nahancy/article/details/79059135 http://www.runoob.com/w3cnote/set-ssh-login-key.html 首先进入Linux系统的用户目录下的.ssh目录下,root用户是/root/.ssh,普通用户是/home/您的用户名/.ssh,我们以root用户为例:cd /root/.ssh 执行ssh-keygen命令创建密钥对,ssh-keygen -t rsa -b 4096 执行密钥生成命令,基本上是一路回车既可以了,但是需要注意的是:执行命令的过程...
对于这个问题我选择了按照阿里云的提示取解决执行命令仅供参考; 1. 根据这个提示在vi中输入 vi /etc/login.defs 在文件中找到如图所示部分按 i 键 进入编辑模式 将它改为如图所示:强迫症的我将两个数值全选择了取中间值 修改完以后按Esc键输入 :wq 保存修改并进入命令状态输入 chage --maxdays 90 root 之后再输入 chage --mindays 7 root 2.命令符输入 vi /etc/ssh/sshd_config 按i键进入编辑模式找到PermitEmptyPassword修改为如...
系统-CentOS Linux 7安全基线检查: 检查项目 : 设置密码失效时间 加固建议: 在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: chage --maxdays 90 root。 检查项目 : 设置密码修改最小间隔时间 加固建议: 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为5-14之间,建议为7:PASS_MIN_DAYS 7 需同时执行命令为root用户设置:chage --mindays 7 root 检查...
相信很多小伙伴都看过黑客帝国里面的那些由代码组成的神奇界面,也有很多人也向往着有一天能做一个黑客,当然不是为了做坏事,只是想和电影里面的黑客一样拉风,我就是这么其中一个(假如有一天能实现这个愿望我想我做梦都能笑醒,)。 学习信息安全有很多的方方面面,要学的东西很多,很杂乱,我一开始也是不知道如何下手,就在网上搜索相关的信息,然后大概知道了学习的方向,接下来找来了相应的资料,开始走向信息安全这条道路...
根据此文章写了一个自动检测脚本脚本位置:https://gitee.com/wdze/linux_security_settings一、账号管理1、用户密码检测方法:(1)是否存在如下类似的简单用户密码配置,比如:root/root, test/test, root/root1234 (2)执行:more /etc/login.defs,检查PASS_MAX_DAYS/ PASS_MIN_DAYS/PASS_WARN_AGE参数 (3)执行:awk -F: ($2 == "") { print $1 } /etc/shadow, 检查是否存在空口令帐号建议安全标准:(1)在/etc/login.defs...
NFS(Network File System)是 FreeBSD 支持的一种文件系统,它允许网络中的计算机之间通过 TCP/IP 网络共享资源。不正确的配置和使用 NFS,会带来安全问题。 概述NFS 的不安全性,主要体现于以下 4 个方面:缺少访问控制机制 没有真正的用户验证机制,只针对 RPC/Mount 请求进行过程验证 较早版本的 NFS 可以使未授权用户获得有效的文件句柄 在 RPC 远程调用中, SUID 程序具有超级用户权限加固方案 为有效应对以上安全隐患,推荐您...
SELinux介绍 DAC:自由访问控制 MAC: 强制访问控制 DAC环境下进程是无束缚的 MAC环境下策略的规则决定控制的严格程度 MAC环境下进程可以被限制 策略被用来定义被限制的进程能够使用哪些资源(文件和端口) 默认情况下,没有被明确允许的行为将被拒绝 Selinux策略 对象(object):所有可以读取的对象,包括文件、目录和进程、端口等 主体:进程称为主体(subj...
什么是SELinux?在内核2.6版本之前Linux的安全模型叫DAC(Discretionary Access Contorl,即自主访问控制)。DAC的核心思想:进程想要访问某资源,只需要拥有该资源对应用户的权限(读、写、执行)即可以访问,也就是说进程所拥有的权限与执行该进程的用户的权限相同,只要执行进程的用户拥有某资源的权限,该进程即可以访问。比如:搞到了root权限,在Linux系统上就能干任何事情。SELinux是由美国国家安全局(NSA)对于强制访问控制...
一、FIRWALLDFilewalld(动态防火墙)作为redhat7系统中变更对于netfilter内核模块的管理工具;iptables service 管理防火墙规则的模式(静态):用户将新的防火墙规则添加进 /etc/sysconfig/iptables 配置文件当中,再执行命令 /etc/init.d/iptables reload 使变更的规则生效。在这整个过程的背后,iptables service 首先对旧的防火墙规则进行了清空,然后重新完整地加载所有新的防火墙规则,如果加载了防火墙的模块,需要在重新加...
Linux 系统安全配置 Debian => 禁止root SSH登陆+配置SSH Key+配置iptables 当我们安装完Linux系统作为服务器后,总有一系列的安全配置需要进行。特别是当你的服务器Ip是对外网开放的话。全世界有很多不怀好意的人,不断试图穷举你的root密码,尝试登陆。那么为Linux服务器增加一些安全措施,是很有必要的。本文基于Debian 9.5。 本文读者需要有一定的linux基础,有一定的网络与英语基础。知道如何使用nano/vim编辑器。不过总体而言...
1.关闭icmp请求 #vm虚拟机是130地址,通过echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all来不响应ping的回复 [root@Goktech-server Desktop]# cat /proc/sys/net/ipv4/icmp_echo_ignore_all1 #而参数0可以开启这种请求2.syslog的开启,关闭 centos7版本的命令是 systemctl start rsyslog 开启 systemctl stop rsyslog 停止
chsh命令可直接对登录的用户进行修改 chsh yunjisuan显示用户的登录情况 后面写/sbin/nologin 用户状态被改变,改成不能登录 I锁定账号 查看I锁定lsattr test 加锁:chattr +i test 解锁:chattr –i test(超级用户) i锁不允许修改文件,只能读。 i锁主要用在passwd上,不让创建用户 工作中用i锁保证安全 A锁锁定 chattr +a test A锁只能追加内容不能修改 不能VIM 用在passwd上,只能创建用户不能修改用户 histor...
最小的权限+最少的服务=最大的安全所以,无论是配置任何服务器,我们都必须把不用的服务关闭、把系统权限设置到最小,这样才能保证服务器最大的安全。下面是CentOS服务器安全设置,供大家参考。 一、注释掉系统不需要的用户和用户组注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。 # cp /etc/passwd /etc/passwd.bak #修改之前先备份 # vi /etc/passwd #编辑用户,在前面加上#注释掉此行 #adm...
用途说明 sftp命令可以通过ssh来上传和下载文件,是常用的文件传输工具,它的使用方式与ftp类似,但它使用ssh作为底层传输协议,所以安全性比ftp要好得多。 常用方式 格式:sftp <host> 通过sftp连接<host>,端口为默认的22,用户为Linux当前登录用户。 格式:sftp -oPort=<port> <host> 通过sftp连接<host>,指定端口<port>,用户为Linux当前登录用户。 格式:sftp <user>@<host> 通过sftp连接<host>,端口为默认的22,指定用户<u...