Linux服务安全加固

这篇具有很好参考价值的文章主要介绍了Linux服务安全加固。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Linux服务安全加固

SSH服务安全配置

SHH服务介绍
描述:

​ SSH是对常见登录服务(如 telnet、ftp、rlogin、rsh和rcp)的安全加密替代服务。强烈建议站点放弃旧的明文登录协议,使用SSH防止会话劫持和从网络嗅探敏感数据

​ SSH配置文件为/etc/ssh/sshd_config文件,一旦对SSH配置文件进行了更改,就必须运行以下命令重新加载sshd配置令SSH服务配置生效:

systemctl reload sshd

使用SSH V2协议
描述:

​ SSH支持两种不同且不兼容的协议:SSH V1 和 SSH V2。SSH V1 是最初的协议,存在安全问题,SSH V2是改进后更安全的协议。

原理:

​ SSH V1包含一些基本的漏洞,这些漏洞使会话易受中间人攻击。SSH V2 暂时未有安全影响。

加固方法:

​ 编辑 /etc/ssh/sshd_config文件来设置如下所示参数:

Protocol 2

检测方法:

运行以下命令验证输出是否匹配:

grep "^Protocol" /etc/ssh/sshd_config

SSH1免费,SSH2收费

其实 SSH 并不只是在 Linux 和 Unix 下使用,他们同样在Windows NT下广泛使用。

相对于 Telnet,ssh 对传输内容加密并压缩。

使用SSH2又不想付费,那么一个可供选择的自由软件是Openssh,它是一个遵守GPL协议的软件包,同时支持SSH1及SSH2标准,可以从www.openssh.com下载。

设置禁用SSH X11转发
描述:

​ SSH X11 Forwarding 参数提供了通过连接隧道X11来传输流量的功能,以启动远程图形连接。SSH X11 Forwarding 提供通过SSH连接并运行Linux上有GUI需要的程序的服务。

原理:

​ 使用SSH X11 Forwarding 远程登录 X11 服务器的用户可能会受到X11 服务器上其他用户的攻击,这是一个小风险,除非有直接使用X11 应用程序的操作需求,否则建议禁用X11 Forwarding

加固方法:

编辑/etc/ssh/sshd_config文件来设置如下所示参数:

X11ForWarding no

检测方法:

运行以下命令验证输出是否匹配:

grep "^X11Forwarding" /etc/ssh/sshd_config

设置SSH最大认证尝试次数
描述:

​ MaxAuthTries参数指定每个连接允许的最大身份验证尝试次数。当登录失败数量达到一半时,错误消息将被详细写入说明登录失败的syslog文件中。

原理:

​ MaxAuthTries控制SSH最大认证尝试次数,将MaxAuthTries参数设置为一个较低的值,可以将成功的暴力攻击SSH服务器的风险降到最低。

加固方法:

​ 编辑/etc/ssh/sshd_config文件设置SSH MaxAuthTries参数为3到6之间:

MaxAuthTries 4

禁止root账户直接SSH登录系统
描述:

​ PermitRootLogin参数指定root用户是否可以使用ssh登录系统。

原理:

​ 不允许通过root账户直接SSH登录,需要系统管理员使用自己的个人账户进行身份验证,然后通过sudo或su升级到root权限。这反过来增加了不可抵赖性的可能性,并在发生安全事件时提供了清晰的审计跟踪。

加固方法:

​ 编辑 /etc/ssh/sshd_config文件来设置如下推荐参数:

PermitRootLogin no

检测方法:

运行以下命令验证输出是否匹配:

grep "^PermitRootLogin" /etc/ssh/sshd_config

禁止空口令账户进行SSH登录
描述:

​ PermitEmptypasswords参数指定SSH服务器是否允许使用空密码字符串登录账户。

原理:

​ 不允许密码为空的账户进行远程SSH登录shell访问,可以降低对系统进行未经授权访问的可能性。

加固方法:

​ 编辑 /etc/ssh/sshd_config文件来设置如下所示参数:

PermitEmptyPasswords no

检测方法:

​ 运行以下命令验证输出是否匹配:

grep "^PermitEmptyPasswords" /etc/ssh/sshd_config

设置SSH会话超时时间与次数
描述:

​ ClientAliveInterval 和 ClientAliveCountMax这两个选项控制ssh会话的超时时间和超时次数。ClientAliveInterval变量控制指定时间长度内没有活动的ssh会话终止。ClientAliveCountMax变量控制ssh最多允许在每个ClientAliveInterval上发送多少个客户端活动消息。当发送的客户机活动消息连续没有来自客户机的响应时,ssh会话终止。

原理:

​ 没有与SSH会话连接关联的超时值,则可能允许未经授权的用户访问另一个用户的ssh会话(例如,用户离开计算机没有锁定屏幕)。设置超时值可以降低发送这种情况的风险。

加固方法:

​ 编辑/etc/ssh/sshd_config文件,根据站点策略来设置,将ClientAliveInterval设置为 300 到 900,即5 - 15分钟,将ClientAliveCountMax设置为 0 - 3

ClientAliveInterval 300
ClientAliveCountMax 0

注意:所有设置,操作完毕后,要重启ssh服务器,systemctl reload sshd

检测方法:

​ 运行以下命令验证输出是否匹配:

grep "^ClientAliveInterval" /etc/ssh/sshd_config

grep "^ClientAliveCountMax" /etc/ssh/sshd_config

限制SSH会话身份验证时间
描述:

​ LoginGraceTime 参数限制用户必须在指定的时限内认证成功。LoginGraceTime参数限制用户宽限期越长,可存在的未经身份验证的连接就越多。与此会话中的其他会话控件一样,宽限期应限于适当的组织限制,以确保服务可用于所需的访问。

原理:

​ LoginGraceTime参数设置为一个较低的数值,可以将成功的暴力攻击SSH服务器的风险降到最低。它还将限制并发的未经身份验证的连接的数量。

加固方法:

​ 编辑 /etc/ssh/sshd_config文件来设置如下所示参数:

LoginGraceTime 60

检测方法:

​ 运行以下命令验证输出的 LoginGraceTime 在1到60s之间:

grep "^LoginGraceTime" /etc/ssh/sshd_config

禁用不必要服务

关闭Avahi服务
描述:

​ Avahi是一个免费由zeroconf实现,用于多播DNS / DNS-SD 服务发现的服务。Avahi允许程序发布和发现在本地网络上没有经过特定配置的运行服务和主机。例如,用户将计算机接入网络,Avahi会自动查找要打印的打印机,要查看的文件和要与之通话的人,和将在计算机上运行的网络服务。

原理:

​ 系统功能通常不需要自动发现网络服务。建议禁用该服务以减少潜在的网络攻击。

加固方法:

1、运行以下命令验证avahi-daemon运行状态:

systemctl status avahi-daemon

2、运行以下命令禁用avahi-daemon,重启系统后生效

systemctl disable avahi-daemon.service

​ 检测方法:

​ 运行以下命令验证avahi-daemon在所有运行级别已列为"off"或不可用:

systemctl status avahi-daemon

同理,根据服务器需要和站点策略设置关闭其他服务:

1、CUPS服务:通过Unix打印系统(CUPS)提供了打印到本地和网络打印机的功能

2、NFS和RPC服务:网络文件系统(NFS)是UNIX环境中分布最广的文件系统之一。它使系统具有向其他服务器挂载文件系统的能力

3、FTP 服务:文件传输协议(FTP)为联网计算机提供传输文件的能力。

4、DNS服务:域名系统(DNS)是一种分层命名系统,它将名称映射到连接到网络的计算机,服务和其他资源的IP 地址。

5、Samba服务:Samba守护进程允许系统管理员配置他们的Linux系统共享文件系统和目录给Windows系统

禁用USB探测
描述:

​ 为了保护数据不被泄露,可以使用软件和硬件防火墙来限制外部未经授权的访问,但是数据泄露也可能发生在内部。很多情况下限制用户使用USB可以用来保障系统安全和数据的泄露。

原理:

​ 在Linux系统下,每个程序执行完毕都会返回一个退出码给调用者,一般情况下0表示成功,其他值表明有问题或者程序退出的特殊含义。/bin/true选项让被设置程序什么都不做,只设置程序退出。

加固方法:

打开创建/etc/modprobe.d/CIS.conf文件,然后将下行内容添加进去:

install usb-storage /bin/true

检查方法:

运行modprobe命令验证USB设备被设置为/bin/true,然后lsmod命令无返回值确认USB设备探测已被禁用:文章来源地址https://www.toymoban.com/news/detail-411889.html

modprobe -n -v usb-storage
lsmod | grep usb-storage

到了这里,关于Linux服务安全加固的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Apache服务安全加固

    1、检查是否安装了Apache服务器软件 2、卸载已安装的Apache服务器软件 3、安装Apache服务器软件 4、启动httpd服务程序并将其加入到开机启动项中,使其能够随系统开机而运行 5、在浏览器中输入服务器的IP地址,测试服务是否开启 以专门的用户帐号和用户组运行 Apache 服务。 1、

    2023年04月09日
    浏览(33)
  • 安全加固服务器

    根据以下的内容来加固一台Linux服务器的安全。 首先是限制连续密码错误的登录次数,由于RHEL8之后都不再使用pam_tally.so和pam_tally2.so,而是pam_faillock.so 首先进入/usr/lib64/security/中查看有什么模块,确认有pam_faillock.so 因为只限制ssh登录次数(一般本地登录不会有问题,故此只做

    2024年02月14日
    浏览(45)
  • Linux基线检查与安全加固

    账户管理 一、口令锁定策略 检查操作步骤 查看配置文件: 查看是否存在如下内容: (连续认证5次会锁定账户,锁定300秒,root的话,5次失败,锁定600秒) 基线符合性判定依据 用户连续认证失败次数设置为5次即合规,否则不合规。 安全加固方案 参考配置操作 1.执行备份 2.修改策

    2024年02月03日
    浏览(41)
  • 安全加固Linux系统的方法

    任何网络连接都是通过开放的应用端口来实现的,如果我们尽可能少地开放端口,就使网络攻击变得无从下手,从而大大减少了攻击者成功的机会。 可以使用该方法关闭不必要的端口 netstat -ntl                 #查看开放端口 lsof -i:21                   #查看端

    2024年02月05日
    浏览(46)
  • Linux操作系统安全加固指导

    适用版本 redhat5.x,6.x,7.x centos5.x,6.x,7.x suse9、10、11、12 加固要求 检查口令生存周 加固方法 在文件/etc/login.defs中设置 PASS_MAX_DAYS 不大于标准值,PASS_MAX_DAYS   90,如果该文件不存在,则创建并按照要求进行编辑。 检查方法 使用命令: cat /etc/login.defs |grep PASS_MAX_DAYS 结果中

    2023年04月21日
    浏览(48)
  • Windwos server 服务器 安全基线 安全加固操作

    目录 账号管理、认证授权 账号 ELK-Windows-01-01-01  ELK-Windows-01-01-02 ELK-Windows-01-01-03 口令 ELK-Windows-01-02-01 ​​​​​​​ELK-Windows-01-02-02 ​​​​​​​授权 ELK-Windows-01-03-01 ​​​​​​​ELK-Windows-01-03-02 ​​​​​​​ELK-Windows-01-03-03 ​​​​​​​ ELK-Windows-01-03-04 ​​

    2024年02月03日
    浏览(53)
  • 服务器的安全包括哪些方面-服务器安全该如何去加固处理-

    服务器安全包括如下几个方面: 系统安全:包括操作系统的安全性、系统的漏洞和补丁管理、用户管理、文件权限和访问控制等。 网络安全:包括网络拓扑结构、网络设备的安全性、网络协议的安全性、防火墙和入侵检测等。 数据安全:包括数据备份和恢复、数据加密、数

    2024年04月17日
    浏览(57)
  • Windows Server服务器安全加固基线配置

    一、账户管理、认证授权

    2024年02月11日
    浏览(51)
  • 拒绝网络攻击--nginx和linux的安全加固

    隐藏nginx版本号 安装启服务 访问不存在的路径 如果访问页面不存在就会暴露nginx版本号,进一步提高了被攻击的可能性 命令行访问: 隐藏版本信息 再次访问不存在的路径,版本号消失 防止DOS、DDOS攻击 DDOS:分布式拒绝服务 配置nginx连接共享内存为10M,每秒钟只接收一个请

    2023年04月26日
    浏览(51)
  • Istio 探索:微服务的流量管理、安全性和策略加固

    🌷🍁 博主猫头虎(🐅🐾)带您 Go to New World✨🍁 🐅🐾猫头虎建议程序员必备技术栈一览表📖: 🛠️ 全栈技术 Full Stack : 📚 MERN/MEAN/MEVN Stack | 🌐 Jamstack | 🌍 GraphQL | 🔁 RESTful API | ⚡ WebSockets | 🔄 CI/CD | 🌐 Git Version Control | 🔧 DevOps 🌐 前端技术 Frontend : 🖋️ HTML CSS |

    2024年02月09日
    浏览(42)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包