资讯专栏INFORMATION COLUMN

Linux 主机一键安全整改策略

IT那活儿 / 1330人阅读
Linux 主机一键安全整改策略

点击上方“IT那活儿”公众号,关注后了解更多内容,不管IT什么活儿,干就完了!!!


  

为防止linux主机被恶意攻击,和受到攻击后能更快定位到源头,需要对linux主机做一些参数配置。

比如禁用root的远程登录、用户多次密码验证失败后被锁、禁止系统账号交互式登录等等。

下面是linux主机安全整改的一些简单介绍,最后会通过脚本一键整改所有项,适用linux主机版本为:Redhat 7和CentOS 7。


本次安全整改项
  • 禁止root用户远程登录;

  • 设置密码复杂度(新建账号和修改密码时生效);

  • 设置密码过期时间90天;

  • 设置命令行界面超时退出(180秒);

  • 设置密码重复使用次数(5次);

  • 禁止系统账号交互式登录;

  • 设置ssh登录警告banner;

  • 禁用不必要的别名;

  • 安装配置记录用户对设备的操作的pacct工具;

  • 配置su命令使用情况记录。
通过以下命令一键安全整改

#!/bin/bash

source /etc/profile


echo "---------禁止root用户远程登录----------"

result=`grep "PermitRootLogin no" /etc/ssh/sshd_config|wc -l` ; if [ $result -eq 0 ];then

sed -i s/#PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config

sed -i s/PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_config

echo "禁止root用户远程登录已修改"

else

echo "禁止root用户远程登录已存在"

fi

echo -e " "


echo "---------设置密码复杂度限制----------"

result1=`grep "password requisite pam_cracklib.so" /etc/pam.d/system-auth|wc -l` ; if [ $result1 -eq 0 ];then

echo "password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1 ucredit=-1" >> /etc/pam.d/system-auth

echo "密码复杂度限制设置完成"

else

echo "密码复杂度限制已存在"

fi

echo -e " "


echo "---------设置用户密码过期时间----------"

result=` cat /etc/login.defs|grep PASS_MAX_DAYS|grep ^[^#]|awk {print $2}` ; if [ $result -gt 90 ];then

sed -i /PASS_MAX_DAYS/ s/99999/90/ /etc/login.defs

echo "用户密码过期时间设置完成"

else

echo "用户密码过期时间已设置为90天"

fi

echo -e " "


echo "---------设置命令行界面超时退出----------"

result=` grep TMOUT /etc/profile |wc -l` ; if [ $result -eq 0 ];then

cp -p /etc/profile /etc/profile_bak

echo "export TMOUT=180">> /etc/profile

echo "命令行界面超时退出已设置"

else

echo "命令行界面超时退出已存在"

fi

echo -e " "


echo "---------设置密码重复使用次数----------"

result=` grep remember= /etc/pam.d/system-auth|wc -l` ; if [ $result -eq 0 ];then

sed -i s/password sufficient pam_unix.so/& remember=5/g /etc/pam.d/system-auth

echo "密码重复使用次数已设置"

else

echo "密码重复使用次数限制已存在"

fi

echo -e " "


echo "禁止系统账号交互式登录"

passwd -l adm

passwd -l daemon

passwd -l bin

passwd -l sys

passwd -l lp

passwd -l uucp

passwd -l nuucp

passwd -l smmsp

echo "禁止系统账号交互式登录已设置"

echo -e " "


echo "---------ssh登录前警告banner设置----------"

file="/etc/ssh_banner"

if [ ! -f "$file" ]; then

touch "$file"

chown bin:bin /etc/ssh_banner

chmod 644 /etc/ssh_banner

echo "Authorized only. All activity will be monitored and reported" >> $file

echo "ssh登录前警告banner已设置"

else

echo "ssh登录前警告banner设置已存在"

fi

echo -e " "


echo "---------禁用不必要的别名----------"

result=`cat /etc/aliases|grep ^# | grep root |wc -l` ; if [ $result -le 9 ];then

sed -i /games/ s/^/#/g /etc/aliases

sed -i /ingres/ s/^/#/g /etc/aliases

sed -i /system/ s/^/#/g /etc/aliases

sed -i /toor/ s/^/#/g /etc/aliases

sed -i /uucp/ s/^/#/g /etc/aliases

sed -i /manager/ s/^/#/g /etc/aliases

sed -i /operator/ s/^/#/g /etc/aliases

sed -i /decode/ s/^/#/g /etc/aliases

sed -i /marc/ s/^/#/g /etc/aliases

sed -i /dumper/ s/^/#/g /etc/aliases

echo "禁用不必要的别名已完成"

else

echo "禁用不必要的别名已存在"

fi

echo -e " "



echo "---------配置pacct工具----------"

file="/var/log/pacct"

if [ ! -f "$file" ]; then

yum install psacct

touch /var/log/pacct

accton /var/log/pacct

echo "配置pacct工具已完成"

else

echo "配置pacct工具已存在"

fi


echo "---------配置记录su命令使用情况----------"

result=`grep "authpriv.* /var/log/secure" /etc/rsyslog.conf|wc -l` ; if [ $result -eq 0 ];then

echo "authpriv.* /var/log/secure" >> /etc/rsyslog.conf

echo "配置记录su命令使用情况已完成"

else

echo "记录su命令使用情况已存在"

fi

执行效果如下图所示:
注意:在进行安全整改之前先打开telnet,如果配置出现问题ssh无法使用,可通过telnet远程登录处理。

本文作者:张红久(上海新炬王翦团队)

本文来源:“IT那活儿”公众号

文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。

转载请注明本文地址:https://www.ucloud.cn/yun/129393.html

相关文章

  • 国外Linux VPS主机速度慢?分享一键安装脚本开启BBR、BBR魔改版、BBRplus、锐速加速

    摘要:本文老刘博客就给大家分享一个加速脚本,可以一键安装并开启这些加速策略,这里会以一台的华盛顿通用型云主机来演示。在租用国外VPS的时候,由于地理位置距离中国较远,访问和下载速度受限,安装BBR加速功能就是比较好的方法之一。有人会问BBR是什么?BBR是Google提出的一种新型拥塞控制算法,可使得Linux系统服务器显著地提高吞吐量和减少TCP连接的延迟,能够显著国外VPS访问和下载速度。什么...

    Tecode 评论0 收藏0
  • 2月第3周业务风控关注|上海网信办复测23个被约谈APP 涉及1号店、小红书等

    摘要:上海网信办复测个被约谈涉及号店小红书等近日,上海市网信办对此前被约谈的个开展回头看复测工作,要求各企业按照整改报告切实做好整改工作。 易盾业务风控周报每周呈报值得关注的安全技术和事件,包括但不限于内容安全、移动安全、业务安全和网络安全,帮助企业提高警惕,规避这些似小实大、影响业务健康发展的安全风险。 1、上海网信办复测23个被约谈APP 涉及1号店、小红书等 近日,上海市网信办对此前被...

    forsigner 评论0 收藏0
  • 宝塔面板安装iFileSpace,一键搭建专属的私人网盘系统

    摘要:这篇文章还是利用宝塔来搭建,宝塔服务器面板,一键全能部署及管理,送你元礼包,点我领取程序的功能如下支持第三方存储目前支持阿里云,华为云,。iFileSpace 是一个在线个人文件管理工具,在线网盘程序,可快速一键搭建私人云盘,支持本地存储和对象存储(目前支持阿里云oss,华为云obs,OneDrive), 如部署在公网服务器,可替代百度网盘等在线网盘,自主搭建,数据完全自主管理!也可部署在家...

    Alex 评论0 收藏0
  • 搬瓦工:Linux CentOS/Ubuntu/Debian修改设置系统时区教程

    摘要:请参阅以下示例世界协调时间东部标准时间美国中部时间包括夏令时美国东部时间包括夏令时根据自己的需求链接不同的文件即可。搬瓦工怎么样?搬瓦工目前支持Linux发行版CentOS、Ubuntu、Debian,对于这三个系统,如果我们想要修改系统时区,除了可以通过宝塔面板外,其实也可以通过命令行进行修改。本文介绍一下在 Linux 系统上修改系统时区的方法,也就是我们常见的 Time Zone,因为...

    Tony_Zby 评论0 收藏0
  • 一键安装LNMP或LAMP Web环境实现Linux服务器部署 PHP MySQL Nginx/Ap

    摘要:目前,我们看到的老蒋采用的部署的环境,在镜像中配置,于是我们会称作为。有没有一件傻瓜式安装工具脚本呢这里老蒋要推荐的来自国内比较老牌且一直更新维护的一键安装包,我们可以较为直观且无人值守的安装需要的网站服务器环境。如今我们建站较多的还是会选择VPS云服务器,很少会去选择虚拟主机,固然前者有很多的优点。不过相比虚拟主机不同的是,VPS云服务器需要我们自己配置WEB环境,而且我们较多的还是会选择...

    IntMain 评论0 收藏0
  • 详细整理5款较为常用的Linux VPS服务器WEB一键安装工具

    摘要:第一个人记忆中这款工具至今估计有十年左右时间当初也是个人站长为方便自己使用环境配置开发的。第二一键脚本也是由于个人站长提供的,经过几年的改善目前也是比较完善。 早年我们如果在Linux服务器配置网站环境的时候一般如何操作的?安装cPanel面板?这个是要花钱的,记忆中好像每个月需要十多美元,对于普通的个人站长用户来说确实是不小的费用。即便我们用破解版也不行,因为这个牵扯到安全问题。那我...

    techstay 评论0 收藏0

发表评论

0条评论

IT那活儿

|高级讲师

TA的文章

阅读更多
最新活动
阅读需要支付1元查看
<