• Linux安全加固


    1. 修改远程登录端口

    SSH攻击扫描端口的时候通常会扫描固定端口,扫描到之后才会进行暴力攻击,修改远程端口,会降低SSH服务被扫描到的可能性。配置过程如下:

        (1) 编辑ssh服务配置文件/etc/ssh/sshd_config,将其端口修改为自己想要的端口,保存退出。注意修改端口后,对应的安全组、防火墙规则也需修改端口。

        (2) 重启ssh服务:若为centos 7 操作系统,则使用systemctl restart sshd(若为centos 6 操作系统,则使用service sshd restart)

        (3) 测试远程链接:默认22端口链接失败,修改后的1212端口链接成功。

    2. 禁用root登陆

     禁用root账号直接登录,使用普通账号登录,普通账号登陆之后su到root账号,降低被恶意扫描或者暴力登录的概率。配置过程如下:

        (1) 创建普通用户。

        (2) 编辑sudo配置文件/etc/sudoers,为用户添加sudo权限。

         (3) 编辑ssh服务配置文件/etc/ssh/sshd_config,修改PermitRootLogin属性,将yes修改为no;

         (4) 重启云主机,测试远程链接:test用户登陆成功,root用户登陆失败。

    3. 配置指定地址登陆

        建议使用安全组进行限制,安全组配置如下:

        (1) 打开移动云控制台,在左侧导航栏中选择:弹性计算>安全组。

       (2) 创建安全组:点击创建选项,在弹出的界面中输入安全组名称及描述,单击确定创建完成。

        (3) 规则管理:点击对应安全组的“管理规则”选项,可对安全组规则进行管理,限定IP访问云主机。

        (4) 测试远程链接:安全组规则允许的IP地址登陆成功,不允许IP地址登陆失败。

    4. 禁用密码登陆,使用密钥登陆

    防止无密钥人员恶意登陆及网络暴力攻击(建议在订购云主机时安全一项中选择密钥)。配置过程如下:

        (1) 编辑ssh服务配置文件/etc/ssh/sshd_config,将PasswordAuthentication属性修改为no,保存退出。

        (2) 测试远程链接:只能使用密钥登陆。

        (3) 密钥配置过程如下:

                 a) 执行ssh-keygen命令,生成秘钥。          

           b) 执行完成后在用户家目录下的.ssh目录会生成公钥及私钥。

           c) 将公钥内容导入authorized_keys文件中,并将私钥拷贝到用来登陆服务器的终端。

           d) 测试远程链接:密钥登陆成功。

    5. 设置密码复杂性要求

        使用复杂密码,使暴力破解更加困难。配置过程如下:

        (1) 编辑配置文件/etc/pam.d/system-auth,添加一条规则

                  password requisite pam_cracklib.so retry=5 difok=3 minlen=10 ucredit=-1 lcredit=-3 dcredit=-3 dictpath=/usr/share/cracklib/pw_dict

                说明:

                retry:尝试次数

                difok:最少不同字符

                minlen:最小密码长度

                ucredit:最少大写字母

                lcredit:最少小写字母

               dcredit:最少数字

               dictpath:密码字典   

        (2) 验证测试:root用户不受此配置限制,普通用户则会被要求修改密码。

    6. 设置密码过期时间

        定期对密码进行修改,避免密码泄露,增加使用的安全性。

        (1) 使用chage命令。

            命令说明:

            -M:设置密码有效的最大天数

            -m:设置可更改密码的最小天数,为0表示任何时候都可以修改

            -W:密码过期前,提前收到警告信息的天数。

    7. 设置禁ping

    一般攻击者会批量ping地址来寻找存活的主机,禁止ping可以让别人找不到您的云主机,从而降低被攻击的风险。

        (1) 编辑sysctl服务配置文件/etc/sysctl.conf,添加一条规则:net.ipv4.icmp_echo_ignore_all=1

             说明:1表示禁ping,0表示允许ping,默认为0。

             此方法修改为永久生效,如想临时生效可使用如下命令:echo 1/0 >/proc/sys/net/ipv4/icmp_echo_ignore_all  

        (2) 执行sysctl -p命令使配置生效。

        (3) ping测试:无法ping通主机。

    8. 其他安全建议

    • 如有购置1台以上的服务器,可以通过一个或两个(其中一个备用)入口访问,其余服务器使用内网互通登录。

    • 关注操作系统补丁发布、测试、更新。

    • 应用侧安全加固。

    • 建议安装云主机防护类的安全软件。

    9. 补充解决方案

        如由于暴力攻击导致云主机被锁定的,可通过移动云门户-控制台-VNC登录云主机。参考如下命令进行操作:

    • 查看某一用户登录错误次数:pam_tally2 --user username

    • 清空某一用户登录错误次数:pam_tally2 --user username --reset

    • 清空root用户登录错误次数,进行解锁:pam_tally2 -user root -reset

        备注:如非pam_tally2模块,可尝试通过pam_tally模块或者其他适配系统模块进行操作。

  • 相关阅读:
    You need to use a Theme.AppCompat theme
    Objective-C中nil与release的区别与用法
    objective-c中自己创建的对象为什么不能调用release
    NSString类的相关用法
    [Bug-IOS]
    中国有什么旅游社交网站吗?
    om.android.ide.common.process.ProcessException: org.gradle.process.internal.ExecException
    【剑指Offer学习】【面试题22:栈的压入、弹出序列】
    2-08. 用扑克牌计算24点(25) (ZJU_PAT 数学 枚举)
    在北京工作了两年,如今跳槽到了广州,社保公积金该怎样办理?
  • 原文地址:https://www.cnblogs.com/chalon/p/14597728.html
Copyright © 2020-2023  润新知