• Linux服务器安全加固


    关于对公司网站服务器安全加固的一些想法及思路:

    一、修改密码和ssh登录端口,并且尽可能的用密钥对登录,禁止用密码登录(主要针对Linux)
    二、修改/etc/hosts.allow 设置仅仅允许某几台去ssh
    sshd:45.195.
    修改/etc/hosts.deny
    sshd:ALL
    in.telnet:ALL
    三、把系统中的一些不必要的用户和组可以直接注释掉,例如mail,postfix这些邮件相关的可以注释掉,可以减小黑客通过这样的账户进入系统进行提权操作。
    四、开机自动启动的服务尽可能减少,除了nginx(apache)、mysql、宝塔、php等相关的,其余的尽可能的减少
    五、关闭无用的端口,同上。
    六、所有重要文件的权限需要尽可能的严格设置(这下面的内容有点多)
    chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services
    chattr +a .bash_history #避免删除.bash_history或者重定向到/dev/null

    修改系统重要执行命令的权限
    chmod 700 /usr/bin
    chmod 700 /bin/ping
    chmod 700 /usr/bin/vim
    chmod 700 /bin/netstat
    chmod 700 /usr/bin/tail
    chmod 700 /usr/bin/less
    chmod 700 /usr/bin/head
    chmod 700 /bin/cat
    chmod 700 /bin/uname
    chmod 700 /bin/ps
    chmod -R 700 /etc/rc.d/init.d/*
    chmod 700 /usr/bin/chmod
    chmod 700 /usr/bin/chown

    七.网站和数据库做到定期备份,目录和文件的权限要严格设置,不能让其提权
    八.要适当利用Linux的特殊权限作出针对性的设置,合理利用sticky权限位提高安全性,网站目录给定的权限需要给定1755
    chmod 1755 目录名
    chmod o+t 目录名
    九.ssh登录的方式尽量采取证书登录而非密码登录 (所有Linux服务器已经全部支持证书登录了,目标已完成)
    十:禁用系统用户权限

    十一:修改默认命令记录历史(vim  /etc/bashrc)

    export HISTSIZE=1000000         #修改命令记录条数
    
    export HISTTIMEFORMAT="%Y-%m-%d_%H:%M:%S   `whoami`   "       #记录操作时间、操作用户
    
    source /etc/bashrc

    十二:关闭Centos7的111端口

    由于111端口是有系统1号进程服务systemd启动,其上面跑的是rpcbind服务,停止的方法不能用kill,具体方法如下

    # 停止进程
    $ systemctl stop rpcbind.socket
    $ systemctl stop rpcbind

    # 禁止随开机启动
    $ systemctl disable rpcbind.socket
    $ systemctl disable rpcbind

  • 相关阅读:
    解读tensorflow之rnn 的示例 ptb_word_lm.py
    tensorflow 的rnn的示例 ptb_word_lm.py 的完整代码
    python中decorator的用法及原理(一)
    android 6 (API 23) 及更高版本 面向 NDK 开发者的 Android 变更
    GCC选项_-Wl,-soname 及 DT_NEEDED 的解释
    一万小时天才理论
    好好说话!
    如何打造你的独立观点
    整理的艺术3
    读过的书记不住怎么办?
  • 原文地址:https://www.cnblogs.com/steven9898/p/11237523.html
Copyright © 2020-2023  润新知