Linux安全加固學習

1、修改主機名

方法一# hostname 主機名    ##臨時修改主機名

方法二#vim /etc/hostname   ##修改hostname檔案重啟系統生效

      將localhost.localdomain改為自定的主機名

2、設定sudo給用戶

# vim /etc/sudoers    ##編輯sudoers檔案

可以添加單個用戶或者也可以添加組( wheel前面的% 表示wheel是組, 如果沒有%則表示wheel是普通用戶 )

用戶名 ALL=(ALL) NOPASSWD: ALL  ##設定添加的用戶使用sudo命令不用密碼

注意：該檔案是只讀檔案，修改后需要wq!保存退出

3、用戶密碼策略設定（定期修改密碼、密碼復雜度設定）

一、設定口令生存期

#vim   /etc/login.defs      ##修改login.defs檔案

PASS_MAX_DAYS  用戶密碼不過期最多的天數

PASS_MIN_DAYS  密碼修改之間最小的天數

PASS_MIN_LEN   

PASS_WARN_AGE   口令失效前多少天通知用戶修改密碼

二、密碼復雜度設定

#vim /etc/pam.d/system-auth   ##修改檔案

password requisite  pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1

引數含義如下所示：

difok：本次密碼與上次密碼至少不同字符數

minlen：密碼最小長度，此配置優先于login.defs中的PASS_MAX_DAYS

ucredit：最少大寫字母

lcredit：最少小寫字母

dcredit：最少數字

retry：重試多少次后回傳密碼修改錯誤

注意：修改ssh相關組態檔前，記得做好備份，

4、設定雙網卡系結

可以參考下一章

5、系統版本資訊

#cat /etc/issue    ##查看系統版本資訊

# cat /etc/redhat-release   ##查看系統版本資訊

# uname -a         ##查看內核資訊

6、關閉selinux,firewalld設定

##修改selinux

#getenforce   ##可以查看到selinux是否開啟

#setenforce  (0|1)  ##0臨時關閉，1臨時打開

# vim /etc/selinux/config    ##修改config檔案永久生效

SELINUX=disabled

##修改firewalld

#systemctl status firewalld    ##查看狀態

#systemctl stop|start firewalld    ##停止或關閉

#systemctl disable firewalld    ##設定開機關閉

7、設定limit打開檔案數大小

#vim /etc/security/limits.conf

* soft nproc 11000 #限制最多打開的軟體數

* hard nproc 11000 #限制打開軟體的最多行程數

* soft nofile 655350#限制最多打開的檔案數

* hard nofile 655350#限制最多運行的行程數，一般設定為65535

8、遠程連接控制（關閉一些用戶的遠程訪問）

一、禁止root用戶遠程登錄

#vim /etc/ssh/ssh_config   ##修改ssh_config檔案

修改 PermitRootLogin yes 改為no

二、限制終端ip遠程登錄

#vim /etc/ssh/sshd_config  ##修改sshd_config檔案

Allowusers root@終端ip     ##添加內容（root用來登入服務器的用戶名）

#systemctl restart sshd     ##重啟sshd服務

9、設定sysctl

#優化TCP

vi /etc/sysctl.conf

#禁用包過濾功能

net.ipv4.ip_forward = 0  

#啟用源路由核查功能

net.ipv4.conf.default.rp_filter = 1  

#禁用所有IP源路由

net.ipv4.conf.default.accept_source_route = 0  

#使用sysrq組合鍵是了解系統目前運行情況，為安全起見設為0關閉

kernel.sysrq = 0  

#控制core檔案的檔案名是否添加pid作為擴展

kernel.core_uses_pid = 1  

#開啟SYN Cookies，當出現SYN等待佇列溢位時，啟用cookies來處理

net.ipv4.tcp_syncookies = 1  

#每個訊息佇列的大小（單位：位元組）限制 重要

kernel.msgmnb = 65536  

#整個系統最大訊息佇列數量限制 重要

kernel.msgmax = 65536  

#單個共享記憶體段的大小（單位：位元組）限制，計算公式64G*1024*1024*1024(位元組)

kernel.shmmax = 68719476736  

#所有記憶體大小（單位：頁，1頁 = 4Kb），計算公式16G*1024*1024*1024/4KB(頁)

kernel.shmall = 4294967296  

#timewait的數量，默認是180000

net.ipv4.tcp_max_tw_buckets = 6000  

#開啟有選擇的應答

net.ipv4.tcp_sack = 1  

#支持更大的TCP視窗. 如果TCP視窗最大超過65535(64K), 必須設定該數值為1

net.ipv4.tcp_window_scaling = 1  

#TCP讀buffer

net.ipv4.tcp_rmem = 4096 131072 1048576

#TCP寫buffer

net.ipv4.tcp_wmem = 4096 131072 1048576   

#為TCP socket預留用于發送緩沖的記憶體默認值（單位：位元組）

net.core.wmem_default = 8388608

#為TCP socket預留用于發送緩沖的記憶體最大值（單位：位元組）

net.core.wmem_max = 16777216  

#為TCP socket預留用于接識訓沖的記憶體默認值（單位：位元組）  

net.core.rmem_default = 8388608

#為TCP socket預留用于接識訓沖的記憶體最大值（單位：位元組）

net.core.rmem_max = 16777216

#每個網路介面接收資料包的速率比內核處理這些包的速率快時，允許送到佇列的資料包的最大數目 重要

net.core.netdev_max_backlog = 262144  

#web應用中listen函式的backlog默認會給我們內核引數的net.core.somaxconn限制到128，而nginx定義的                        

NGX_LISTEN_BACKLOG默認為511，所以有必要調整這個值

net.core.somaxconn = 262144  

#系統中最多有多少個TCP套接字不被關聯到任何一個用戶檔案句柄上，這個限制僅僅是為了防止簡單的DoS攻        

擊，不能過分依靠它或者人為地減小這個值，更應該增加這個值(如果增加了記憶體之后)

 net.ipv4.tcp_max_orphans = 3276800  

#記錄的那些尚未收到客戶端確認資訊的連接請求的最大值，對于有128M記憶體的系統而言，預設值是1024，小記憶體

的系統則是128

net.ipv4.tcp_max_syn_backlog = 262144  

#時間戳可以避免序列號的卷繞，一個1Gbps的鏈路肯定會遇到以前用過的序列號，時間戳能夠讓內核接受這種“異

常”的資料包，這里需要將其關掉

net.ipv4.tcp_timestamps = 0  

#為了打開對端的連接，內核需要發送一個SYN并附帶一個回應前面一個SYN的ACK，也就是所謂三次握手中的第

二次握手，這個設定決定了內核放棄連接之前發送SYN+ACK包的數量

et.ipv4.tcp_synack_retries = 1  

在內核放棄建立連接之前發送SYN包的數量

net.ipv4.tcp_syn_retries = 1  

#開啟TCP連接中time_wait sockets的快速回收

net.ipv4.tcp_tw_recycle = 1  

#開啟TCP連接復用功能，允許將time_wait sockets重新用于新的TCP連接（主要針對time_wait連接）重要

net.ipv4.tcp_tw_reuse = 1  

net.ipv4.tcp_fin_timeout = 15  

#表示當keepalive起用的時候，TCP發送keepalive訊息的頻度（單位：秒） 重要

net.ipv4.tcp_keepalive_time = 30  

#對外連接埠范圍

net.ipv4.ip_local_port_range = 2048 65000

#表示檔案句柄的最大數量

fs.file-max = 102400

10、時間同步

#ntpdata ntp1.aliyun.com     ##同步阿里云的服務器時間

11、歷史記錄

#vim /etc/profile    ##修改歷史命令保存記錄，默認值是1000，可以自定義修改

HISTSIZE=1000  

# history -cw     ## 清除所有歷史

# echo > .bash_history   ## 清除保存的用戶操作歷史記錄該檔案記錄了用戶所使用的命令和歷史資訊

12、系統日志存放日志服務器

#vim /etc/rsyslog.conf    ##編輯rsyslog.conf檔案

*.*         @日志服務器ip     ##添加內容，將系統日志發送到日志服務器上

#systemctl restart rsyslog     ##重啟syslog服務

13、修改ssh

 一、ssh遠程登錄失敗處理（限制登錄次數）

#vim /etc/pam.d/sshd     ##修改sshd檔案

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600         ##表示登錄次數限制，3次鎖定5分鐘

 二、修改ssh遠程埠號

#vim /etc/ssh/ssh_config    ##修改ssh_config檔案

  Port 22              ##修改自定義埠，默認埠22

#iptable -I INPUT -p tcp --dport 埠 -j ACCEPT   ##防火墻開放埠

#systemctl restart sshd        ##重啟sshd服務修改生效

注意：修改ssh相關組態檔前，記得做好備份，

三、設定ssh超時時間

#vim /etc/profile或者#vim /etc/bashrc    ##修改這兩個檔案都可以

Export TMOUT=60（以秒為單位）     ##添加內容

標籤：Linux

上一篇：AutoWare.auto 與ROS2 親測安裝成功

下一篇：Tmux終端復用神器使用心得