Linux基本安全处理
2016-12-29 00:00
218 查看
一、端口与服务
关闭不必要端口
Linux系统共有65536个端口,以1024作为分割点。1~1023端口,只有root用户才能启用。
1024+的端口,不受root用户控制,留给客户端软件使用的。
[root@ balckfox ~]# netstat -tunl # 查看端口监听状态 [root@ balckfox ~]# netstat -tun # 查看端口已联机的连接状态
关闭不必要服务
系统运行必须服务:# 查看服务开启或关闭 [root@ balckfox ~]# chkconfig --list sendmail # centos7前 [root@ balckfox ~]# systemctl status sshd # centos7后 [root@ balckfox ~]# chkconfig --level 35 sendmail off # 关闭运行级别3、5下的sendmail服务(centos7前) [root@ balckfox ~]# systemctl disable sshd.service # centos7后
二、密码登陆安全
推荐使用秘钥认证方式登陆系统使用xshell生成秘钥
选择非对称加密:DSA/RSA
上传Linux服务端
[root@ balckfox ~]# mkdir /root/.ssh [root@ balckfox ~]# chmod 700 /root/.ssh # ... 上传pub后缀的秘钥 [root@ balckfox ~]# ssh-keygen -i -f [name].pub >> /root/.ssh/authorized_keys # 导入pub文件
xshell设置秘钥登陆
移除密码登陆
[root@ balckfox ~]# vi /etc/ssh/sshd_config # Protocol 2 # 仅允许使用SSH2 # PubkeyAuthentication yes # 启用PublicKey认证 # AuthorizedKeysFile .ssh/authorized_keys # PublicKey文件路径 # PasswordAuthentication no # 不使用密码认证 [root@ balckfox ~]# systemctl restart sshd.service
三、其他一些简单配置
[root@ balckfox ~]# echo "1"> /proc/sys/net/ipv4/icmp_echo_ignore_all # 禁止ping请求,默认0 # 添加上面一行命令到/etc/rc.d/rc.local文件中,每次系统重启后自动运行 [root@ balckfox ~]# vi /etc/profile # 限制Shell记录历史HISTSIZE=30,默认1000 [root@ balckfox ~]# userdel adm # 删除不必要用户adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher [root@ balckfox ~]# groupdel adm # 删除不必要的组adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers # 关闭SELinux(内核强制访问控制安全系统) [root@ balckfox ~]# getenforce # 查看是否启用 [root@ balckfox ~]# vi /etc/sysconfig/selinux # SELINUX=enforcing 改为SELINUX=disabled,重启系统。 # 设定tcp_wrappers防火墙(第二层,第一层iptables) # 仅涉及/etc/hosts.allow 和/etc/hosts.deny两个配置 # ALL:ALL EXCEPT 192.168.60.132 # 除指定ip外,任何机器执行服务时会被允许或拒绝。格式:service:host(s) [:action] # 能否使用取决于该服务是否使用libwrapped库 [root@ balckfox ~]# rpm -q tcp_wrappers # 检查是否已安装,同 rpm -qa| grep tcp # firewall-cmd 防火墙,centos7 默认安装 [root@ balckfox ~]# firewall-cmd --add-service=ftp # 暂时开放服务 [root@ balckfox ~]# firewall-cmd --add-service=ftp --permanent # 永久开放 [root@ balckfox ~]# firewall-cmd --remove-service=ftp --permanent # 永久关闭 [root@ balckfox ~]# systemctl restart firewalld [root@ balckfox ~]# iptables -L -n | grep 21 # 查看是否生效 [root@ balckfox ~]# firewall-cmd --state # 查看状态 [root@ balckfox ~]# firewall-cmd --list-all # 查看全部 [root@ balckfox ~]# firewall-cmd --get-service # 在firewalld的服务名称 [root@ balckfox ~]# firewall-cmd --query-service ftp # 查看启用状态 [root@ balckfox ~]# firewall-cmd --add-port=3128/tcp # 添加开放端口
四、备份linux
Linux备份文件可分为:系统级配置文件和用户级配置文件系统级配置,如:/etc/目录、/home/目录、/boot/目录、/root/目录等。
用户级配置,如:/usr/local/目录、/var/www/目录、/etc/目录等。
常用备份工具:tar/cpio/rsync
不常用备份脚本:
#!/bin/sh # 将系统与用户的备份数据分别保存在两个不同的本地磁盘disk1和disk2中, # 且保留最近三天的数据,三天前的数据自动删除。 BAKDATE='date +%y%m%d' DATA3='date -d "3 days ago" +%y%m%d' osdata=/disk1 userdata=/disk2 echo "backup OS data starting" tar -zcvf /$osdata/etc.data/etc_$BAKDATE.tar.gz /etc tar -zcvf /$osdata/boot.data/boot_$BAKDATE.tar.gz /boot tar -zcvf /$osdata/home.data/home_$ BAKDATE.tar.gz /home tar -zcvf /$osdata/root.data/root_$ BAKDATE.tar.gz /root tar -zcvf /$userdata/usr_data/usrlocal_$BAKDATE.tar.gz /usr/local tar -zcvf /$userdata/var_www/www_$BAKDATE.tar.gz /var/www cp –r /$osdata/* /$userdata cp –r /$userdata/* /$osdata echo "Backup OS data complete!" echo "delete OS data 3 days ago" rm -rf /$osdata/etc.data/etc_$DATA3.tar.gz rm –rf /$osdata/boot.data/boot_$DATA3.tar.gz rm –rf /$osdata/home.data/home_$DATA3.tar.gz rm –rf /$osdata/root.data/root_$ DATA3.tar.gz rm –rf /$osdata/usr_data/usrlocal_$DATA3.tar.gz rm –rf /$osdata/var_www/www_$DATA3.tar.gz rm -rf /$userdata/etc.data/etc_$DATA3.tar.gz rm –rf /$userdata/boot.data/boot_$DATA3.tar.gz rm –rf /$userdata/home.data/home_$DATA3.tar.gz rm –rf /$userdata/root.data/root_$ DATA3.tar.gz rm –rf /$userdata/usr_data/usrlocal_$DATA3.tar.gz rm –rf /$userdata/var_www/www_$DATA3.tar.gz echo "delete cws ok!"
使用rsync同步数据:
博主太懒了,不肯测试,发个参考算了:http://man.linuxde.net/rsync
相关文章推荐
- Linux 多线程应用中如何编写安全的信号处理函数
- 本文讲述了如何通过基本的安全措施,使你的linux系统变得可靠。
- Linux 多线程应用中编写安全的信号处理函数
- linux基本安全配置手册
- linux基本安全配置手册
- 详解Linux安全管理的基本技巧
- Linux 多线程应用中如何编写安全的信号处理函数
- Linux 多线程应用中如何编写安全的信号处理函数
- Linux基本安全设置
- Linux学堂:安全管理的基本技巧
- Linux 多线程应用中如何编写安全的信号处理函数
- Linux 多线程应用中如何编写安全的信号处理函数
- Linux学习之出错处理(线程安全的日志类封装)
- 错误处理:此网页不允许使用基本类型"System.Web.UI.MasterPage”该类型未注册为安全类型
- Linux 多线程应用中如何编写安全的信号处理函数(转载IBM)
- [linux安全] iptables的基本语法
- Linux 多线程应用中如何编写安全的信号处理函数