???? 賬號和口令

禁用或刪除無用賬號

減少系統(tǒng)無用賬號，降低安全風(fēng)險。

操作步驟 查看無用賬戶： cat /etc/passwd |cut -f 1 -d :

????? 使用命令

userdel <用戶名>

????? 刪除不必要的賬號。

使用命令 passwd -l <用戶名> 鎖定不必要的賬號。 使用命令 passwd -u <用戶名> 解鎖必要的賬號。

?檢查特殊賬號

檢查是否存在空口令和root權(quán)限的賬號。 操作步驟 查看空口令和root權(quán)限賬號，確認(rèn)是否存在異常賬號： 使用命令 awk -F: '($2=="")' /etc/shadow 查看空口令賬號。 使用命令 awk -F: '($3==0)' /etc/passwd 查看UID為零的賬號。?? //root權(quán)限的賬戶 加固空口令賬號： 使用命令 passwd <用戶名> 為空口令賬號設(shè)定密碼。 確認(rèn)UID為零的賬號只有root賬號。

?禁用或刪除無用賬號

減少系統(tǒng)無用賬號，降低安全風(fēng)險。

操作步驟

cat /etc/shadow?? 查看有多少賬戶?

服務(wù) 關(guān)閉不必要的服務(wù) 關(guān)閉不必要的服務(wù)（如普通服務(wù)和xinetd服務(wù)），降低風(fēng)險。 操作步驟 使用命令systemctl disable <服務(wù)名>設(shè)置服務(wù)在開機時不自動啟動。 chkconfig --list?? 查看啟動服務(wù) 說明： 對于部分老版本的Linux操作系統(tǒng)（如CentOS 6），可以使用命令chkconfig --level <init級別> <服務(wù)名> off設(shè)置服務(wù)在指定init級別下開機時不自動啟動。

?SSH服務(wù)安全

對SSH服務(wù)進行安全加固，防止暴力破解成功。 操作步驟 使用命令 vim /etc/ssh/sshd_config 編輯配置文件。 不允許root賬號直接登錄系統(tǒng)。 設(shè)置 PermitRootLogin 的值為 no。 修改SSH使用的協(xié)議版本。 設(shè)置 Protocol 的版本為 2。 修改允許密碼錯誤次數(shù)（默認(rèn)6次）。 設(shè)置 MaxAuthTries 的值為 3。 配置文件修改完成后，重啟sshd服務(wù)生效。

?

文件系統(tǒng) 設(shè)置umask值 設(shè)置默認(rèn)的umask值，增強安全性。 操作步驟 使用命令 vi /etc/profile 修改配置文件，添加行 umask 027， 即新創(chuàng)建的文件屬主擁有讀寫執(zhí)行權(quán)限，同組用戶擁有讀和執(zhí)行權(quán)限，其他用戶無權(quán)限。 設(shè)置登錄超時 設(shè)置系統(tǒng)登錄后，連接超時時間，增強安全性。 操作步驟 使用命令 vi /etc/profile 修改配置文件，將以 TMOUT= 開頭的行注釋，設(shè)置為TMOUT=180，即超時時間為三分鐘。 日志 ???? syslogd日志 啟用日志功能，并配置日志記錄。 操作步驟 Linux系統(tǒng)默認(rèn)啟用以下類型日志： 系統(tǒng)日志（默認(rèn)）/var/log/messages cron日志（默認(rèn)）/var/log/cron 安全日志（默認(rèn)）/var/log/secure 注意：部分系統(tǒng)可能使用syslog-ng日志，配置文件為：/etc/syslog-ng/syslog-ng.conf。 您可以根據(jù)需求配置詳細日志。 記錄所有用戶的登錄和操作日志 通過腳本代碼實現(xiàn)記錄所有用戶的登錄操作日志，防止出現(xiàn)安全事件后無據(jù)可查。 操作步驟 運行 [root@xxx /]# vim /etc/profile打開配置文件。 在配置文件中輸入以下內(nèi)容： history USER=`whoami` USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`if [ "$USER_IP" = "" ]; then USER_IP=`hostname` fi if [ ! -d /var/log/history ]; then mkdir /var/log/history chmod 777 /var/log/history fi if [ ! -d /var/log/history/${LOGNAME} ]; then mkdir /var/log/history/${LOGNAME}chmod 300 /var/log/history/${LOGNAME} fi export HISTSIZE=4096 DT=`date +"%Y%m%d_%H:%M:%S"` export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT" chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null 運行 [root@xxx /]# source /etc/profile 加載配置生效。 注意： /var/log/history 是記錄日志的存放位置，可以自定義。 通過上述步驟，可以在 /var/log/history 目錄下以每個用戶為名新建一個文件夾，每次用戶退出后都會產(chǎn)生以用戶名、登錄IP、時間的日志文件，包含此用戶本次的所有操作（root用戶除外）。 同時，建議您使用OSS服務(wù)收集存儲日志。 安全審計 審計內(nèi)容包括系統(tǒng)內(nèi)重要的安全相關(guān)事件 實操： 結(jié)果將導(dǎo)致發(fā)生故障或入侵事件不便于分析故障或入侵行為，不能再需要時作為證據(jù) service rsyslog ststus,service auditd status, cat /etc/audit/auditd.conf中是否配置 write_logs = yes log_file = /var/log/audit/audit.log log_format = RAW max_log_file = 8 num_logs = 5 max_log_file_action = ROTATE cat /etc/audit/audit.rules查看是否存在 -w /etc/passwd -p rwa -k passwd_changes -w /etc/shadow -p rwa -k shadow_changes -w /etc/sudoers -p rwa -k sudoers_changes -w /etc/rsyslog.conf -p rwa -k rsyslog_changes -w /etc/group -p rwa -k group_changes -w /var/log/message -p rwa -k message_changes -w /var/log/secure -p rwa -k secure_changes -w /var/log/maillog -p rwa -k maillog_changes -w /var/log/cron -p rwa -k cron_changes -w /var/log/spooler -p rwa -k spooler_changes -w /etc/audit/audit.rules -p rwa -k audit_changes -w /etc/audit/rules.d/audit.rules -p rwa -k audit_changes

cat /etc/rsyslog.conf 查看是否存在 kern.warning;*.err;*.info;kern.debug;daemon.notice;mail.none;authpriv.none;cron.none /var/log/kern.log 時間 安全審計記錄未包含所有重要的審計記錄字段，未配置NTP校正系統(tǒng)時間 操作：date查看當(dāng)前系統(tǒng)時間 意義：無法進行關(guān)聯(lián)分析，不能及時對部分較復(fù)雜的安全事件進行發(fā)現(xiàn)和報警 操作系統(tǒng)未安裝專門的審計進程保護軟件，無法對審計進程進行保護，避免受到未預(yù)期中斷，日志保留時間小于6個月 cat /etc/rsyslog.conf中查看是否存在 *.*@@remote-host:514 或詢問是否存在其他措施對審計日志進行保護 更新系統(tǒng)內(nèi)核和安裝防病毒軟件 使用命令uname -sr查看 Centos7/RHEL7? 3.10.0-1062.1.2.el7 Cetnos6/RHEL6? 2.6.32-754.23.1.el6 詢問管理員是否有月度主機掃描報告 定期對操作系統(tǒng)進行漏洞掃描并修補發(fā)現(xiàn)的漏洞，未更新系統(tǒng)內(nèi)核至 方最新安全版。 Linux系統(tǒng)安裝殺毒軟件clamav 在線演示 https://www.cnblogs.com/hftian/p/11711701.html Webshell 樣例 以下是一個php的樣例。從界面看，它的功能還是比較全的，可以對 務(wù)器的文件目錄進行讀寫操作。如果你是網(wǎng)站管理員的話，肯定不希 普通用戶獲得下面的權(quán)限。 Webshell如何被注入 常見的Webshell植入方式以下類型： 利用站點上傳漏洞，上傳Webshell。 系統(tǒng)前臺的上傳業(yè)務(wù)可被利用來上傳Webshell腳本，而被上傳的目錄 往對用戶開放可執(zhí)行權(quán)限。在Web中有上傳圖像、資料文件的地方， 傳完后通常會向客戶端返回上傳文件的完整URL信息；該URL一般是常見的image、upload等目錄。 如果Web服務(wù)器對網(wǎng)站存取權(quán)限或者文件夾目錄權(quán)限控制不嚴(yán)，就可能被利用來實現(xiàn)Webshell攻擊。攻擊者可以利用上傳功能上傳一個腳本文件，然后通過URL訪問并執(zhí)行這個腳本；然后攻擊者就可以上傳Webshell到網(wǎng)站的任意目錄中，從而拿到網(wǎng)站的管理員控制權(quán)限。黑客獲取管理員的后臺密碼，登錄到后臺系統(tǒng)，利用后臺的管理工具向配置文件寫入Webshell木馬；或者私自添加上傳類型，允許上傳類似ASP、PHP格式的腳本程序文件。利用數(shù)據(jù)庫備份與恢復(fù)功能獲取Webshell。例如，備份時把備份文件的后綴改成 .asp； 如果后臺有MySQL數(shù)據(jù)查詢功能，黑客可以執(zhí)行select..in To outfile查詢輸出PHP文件，并把代碼插入到MySQL，從而生成Webshell的木馬。系統(tǒng)中其他站點被攻擊，或者服務(wù)器上還搭載了FTP服務(wù)器。FTP服務(wù)器被攻擊時被注入了Webshell的木馬，導(dǎo)致網(wǎng)站系統(tǒng)被感染。黑客直接攻擊Web服務(wù)器系統(tǒng)漏洞，實現(xiàn)入侵。Web服務(wù)器在系統(tǒng)層面也可能存在漏洞，如果黑客利用其漏洞攻擊服務(wù)器系統(tǒng)；在獲取其權(quán)限后，黑客就可以在Web服務(wù)器目錄里上傳Webshell文件。綜上，Webshell能夠入侵到系統(tǒng)，一般是由于以下原因： 通過Web站點漏洞上傳Webshell。Webshell能夠被注入，在很大程度是由于服務(wù)器或中間件的安全漏洞。例如，以下常見漏洞都可能被利用來注入Webshell：舊版本的IIS目錄解析漏洞、文件名解析漏洞、應(yīng)用后臺暴露和弱口令、Fast-CGI解析漏洞、Apache文件解析漏洞、截斷上傳、后臺數(shù)據(jù)庫備份功能上傳、數(shù)據(jù)庫語句上傳漏洞等。 站點部署時混入了Webshell文件。大量的用戶在使用從網(wǎng)上下載的第三方開源代碼時，其代碼本身已經(jīng)混入了Webshell的惡意腳本，造成二次入侵或多次入侵。所以在部署前期，如果不是新開發(fā)的代碼，都需要對代碼進行惡意文件掃描查殺，防止上線后被入侵。 如何防止系統(tǒng)被植入Webshell 配置必要的防火墻并開啟防火墻策略；防止暴露不必要的服務(wù)，為黑客提供利用條件。對服務(wù)器進行 安全加固。例如，關(guān)閉遠程桌面功能、定期更換密碼、禁止使用最高權(quán)限用戶運行程序、使用HTTPS加密協(xié)議。加強權(quán)限管理，對敏感目錄進行權(quán)限設(shè)置，限制上傳目錄的腳本執(zhí)行權(quán)限，不允許配置執(zhí)行權(quán)限等。 安裝Webshell檢測工具，發(fā)現(xiàn)檢測結(jié)果后，立即隔離查殺，并排查漏洞。排查程序存在的漏洞，并及時修補漏洞。您可以通過應(yīng)急響應(yīng)服務(wù)人工界入，協(xié)助排查漏洞及入侵原因，同時可以選用商業(yè)Web應(yīng)用防火墻進行防御，降低被入侵機率。 網(wǎng)站被植入Webshell的解決方案 Webshell從字面上理解，”Web”指需要服務(wù)器開放Web服務(wù)，”shell”指取得對服務(wù)器的某種程度的操作權(quán)限。Webshell指匿名用戶（入侵者）通過網(wǎng)站端口，獲取網(wǎng)站服務(wù)器的一定操作權(quán)限。 Webshell通常是以ASP、PHP、JSP、ASA或者CGI等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也稱為網(wǎng)頁后門。黑客在入侵網(wǎng)站后，通常會將Webshell后門文件與網(wǎng)站服務(wù)器Web目錄下正常的網(wǎng)頁文件混在一起；然后使用瀏覽器來訪問這些后門，得到命令執(zhí)行環(huán)境，以達到控制網(wǎng)站或者Web系統(tǒng)服務(wù)器的目的。 黑客如果想使用Webshell完成一些特殊的功能，就不可避免地用到一些特殊函數(shù)。通過對這些函數(shù)進行對照特征值檢查，就能夠定位Webshell，但是Webshell本身也會進行加密來躲避這種檢測。

總結(jié)

以上是生活随笔為你收集整理的Linux主机系统加固的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。