linux系统安全
2017-06-30 12:42
141 查看
方法一:
密码足够复杂
密码的长度要大于8位,最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字符和特殊字符混合组成。
修改默认ssh端口
使用iptables关闭不需要使用的端口
sshd 默认端口号:22
vim /etc/ssh/sshd_config
#Port 22
Port 81
service sshd restart
3.使用扫描工具,对主机查看开放哪些端口。yum install nmapnmap 192.168.103.117
4.不使用root用户名登录,这样可以黑客猜不到你的用户名,也就无法暴力破解不使用root用户,但需要拥有root权限,下面有两种方法: 前提是不让root用户登录,root用户的/bin/bash 改成 /sbin/nologin
(1)把bob用户的uid和gid都改成0,让bob用户拥有root权限。这样bob用户也拥有root权限,但和root本身的区别是,他们的家目录不一样,登录进去都是#,权限是一样的。
(2)也可以给用户拥有sudo权限 visudo 或者 vi /etc/sudoers
root ALL=(ALL) ALL bob ALL=(ALL) ALL
5.用户登录可以让他们使用密钥登录,密钥上也设置密码。
使用方法在本人博文里面查找。
6.防止暴力破解
案例:最近公司网络一直被人暴力破解sshd服务密码,虽然没有成功,但会导致系统负载很高,原因是在暴力破解的时候,系统会不断认证用户,从而增加了系统资源额外开销,导致公司网络很慢。
工具介绍:fail2ban可以监视你的系统日志,然而匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般下是防火墙),而且可与i发送email通知系统管理员,功能很强大。
fail2ban运行机制:简单来说其功能就是防止暴力破解,工作原理是通过分析一定时间内的相关服务日志,将满足动作的相关ip利用iptables加入到dorp(丢弃)列表一定时间。
设置条件:ssh远程登录5分钟内3次密码验证失败,禁止用户ip访问主机1小时,1小时后该限制自动解除。
软件包下载:
https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz
安装步骤:
wget https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz tar zxvf 0.9.4.tar.gz
cd fail2ban-0.8.14
一般安装步骤在README.md里面能找到。
vim README.md
To install, just do:
tar xvfj fail2ban-0.9.4.tar.bz2
cd fail2ban-0.9.4
python setup.py install
需要安装python开发环境,并且版本要大于2.4的
查看python版本
python -V
安装:
phthon setup.py install
vi /etc/fail2ban/jail.conf
.....待续
密码足够复杂
密码的长度要大于8位,最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字符和特殊字符混合组成。
修改默认ssh端口
使用iptables关闭不需要使用的端口
sshd 默认端口号:22
vim /etc/ssh/sshd_config
#Port 22
Port 81
service sshd restart
3.使用扫描工具,对主机查看开放哪些端口。yum install nmapnmap 192.168.103.117
4.不使用root用户名登录,这样可以黑客猜不到你的用户名,也就无法暴力破解不使用root用户,但需要拥有root权限,下面有两种方法: 前提是不让root用户登录,root用户的/bin/bash 改成 /sbin/nologin
(1)把bob用户的uid和gid都改成0,让bob用户拥有root权限。这样bob用户也拥有root权限,但和root本身的区别是,他们的家目录不一样,登录进去都是#,权限是一样的。
(2)也可以给用户拥有sudo权限 visudo 或者 vi /etc/sudoers
root ALL=(ALL) ALL bob ALL=(ALL) ALL
5.用户登录可以让他们使用密钥登录,密钥上也设置密码。
使用方法在本人博文里面查找。
6.防止暴力破解
案例:最近公司网络一直被人暴力破解sshd服务密码,虽然没有成功,但会导致系统负载很高,原因是在暴力破解的时候,系统会不断认证用户,从而增加了系统资源额外开销,导致公司网络很慢。
工具介绍:fail2ban可以监视你的系统日志,然而匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般下是防火墙),而且可与i发送email通知系统管理员,功能很强大。
fail2ban运行机制:简单来说其功能就是防止暴力破解,工作原理是通过分析一定时间内的相关服务日志,将满足动作的相关ip利用iptables加入到dorp(丢弃)列表一定时间。
设置条件:ssh远程登录5分钟内3次密码验证失败,禁止用户ip访问主机1小时,1小时后该限制自动解除。
软件包下载:
https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz
安装步骤:
wget https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz tar zxvf 0.9.4.tar.gz
cd fail2ban-0.8.14
一般安装步骤在README.md里面能找到。
vim README.md
To install, just do:
tar xvfj fail2ban-0.9.4.tar.bz2
cd fail2ban-0.9.4
python setup.py install
需要安装python开发环境,并且版本要大于2.4的
查看python版本
python -V
安装:
phthon setup.py install
vi /etc/fail2ban/jail.conf
.....待续
相关文章推荐
- Linux必学的系统安全命令
- linux系统安全基础笔记之二
- Snort搭建安全的Linux入侵检测系统服务器
- 用专用Linux日志服务器增强系统安全
- Linux必学的系统安全命令
- Linux 系统深度安全加固
- 十招保护Linux系统安全
- linux系统安全管理的实用技巧
- 安全基础 Linux必学的系统安全命令
- 系统安全防护知识:如何配置Linux的日志文件
- Linux基础——系统安全命令
- 浅谈linux系统的安全加固
- 利用capability特征加强Linux系统安全
- Linux系统利用SSH远程控制安全问题
- linux下系统安全常见问题2
- linux系统安全基础笔记之一
- 系统管理员必读:为 Linux 安装套件强化系统安全!
- Linux必学的系统安全命令
- 保护Linux系统安全十步
- 十招保护Linux系统安全