Linux运维人员用哪些命令可以改善Linux安全
发布时间:2022-07-20 10:47:45 所属栏目:云计算 来源:互联网
导读:跟大家分享的文章是关于Linux运维人员用哪些命令可以改善自己的Linux安全?我们将讨论如何通过一些Linux的安全命令,加固你的Linux系统。 想要Linux学习和Linux入门一定要好好看看这篇文章了,希望对你有帮助! 在最开始,我们需要问的一个问题是:Linux是已经
|
跟大家分享的文章是关于Linux运维人员用哪些命令可以改善自己的Linux安全?我们将讨论如何通过一些Linux的安全命令,加固你的Linux系统。 想要Linux学习和Linux入门一定要好好看看这篇文章了,希望对你有帮助! 在最开始,我们需要问的一个问题是:Linux是已经足够被安全加固了吗?答案当然是否定的。那些娴熟的攻击者所带来的危险是与日俱增的。每天、甚至是每小时都有新的漏洞被发现。对这些漏洞的利用方法通常建立在它们被发现后的数小时之内。一些漏洞甚至直到有人将其利用到攻击的主机上才被发现。可见,安全应该是我们所有人需要关心的。因此,我想在本文中用一些实际的例子来展示如何增强系统的安全性。 没有一个帖子或是一本书能够回答Linux所有的安全问题或是涉及所有可能的威胁。因此,本文理所当然地也不可能包括所有,但是我们希望你一定会发现到其“用武之处”。 一、控制台安全 你可以通过限制能够登录的一组特定终端来限制root用户的访问。为了实现该目的,请编辑/etc/下安全文件的内容。该文件列出的是允许root用户登录的所有设备。 我建议你只允许root用户去登录到一个终端之上,且强制所有其他用户都使用非root用户的身份进行登录。而如果确实需要root用户权限的时候,请使用su命令来获取。 二、密码生命周期 密码的生命周期就是允许你为密码指定一个有效的时间周期。时间到期后,系统将强制要求用户输入一个新的密码。这样有效地确保了密码的定期更换,以及密码在被偷盗、破解或为人所知的情况下能够迅速过期。 有两种方法可以实现这个效果。第一种方法是通过命令行使用如下的改变命令: $ chage -M 20 likegeeks 我们使用- M选项为likegeeks用户设置了有效期限为20天的密码。 你也可以输入不带任何选项的chage命令,它会自动提示你选项: $ chage likegeeks 第二种方法是在/etc/login.defs中为所有用户设置默认值。你可以参照下面,按需改变其数值: PASS_MAX_DAYS 20 PASS_MIN_DAYS 0 PASS_WARN_AGE 5 三、Sudo的通知 Sudo命令虽然可以使得你的“生活”更为轻松,但是它们也会因为Linux的安全问题而毁了你的“生活”。 我们都知道,sudo命令允许非root用户以root身份运行各种命令。你可以在/etc/sudoers文件中查到所有的sudo配置。 你可以禁止用户去运行那些root才能运行的命令。 当sudo命令被使用的时侯,你可以通过在文件中添加如下一行语句,以配置其向外发送电子邮件。 mailto yourname@yourdomain.com 当然你也可以用如下语句改变sudo的发邮件状态: mail_always on 四、SSH调优 只要说到Linux安全,我们必然会讨论到SSH服务。SSH应该是你系统中重要的一种服务,它使你能够轻松地连接到自己的系统。而且这可能是在出现各种状况的时候,唯一能让你的系统“幸存”的途径。所以对SSH的调优是非常重要的。 由于我们在本文所使用的是CentOS 7,那么其SSH的配置文件就存放在: /etc/ssh/sshd_config 让我们来深入了解一下吧。 攻击者所使用的扫描器或自动工具一般尝试运用默认端口22来连接SSH。因此通常情况下,你应该改变SSH的原有端口到另一个未使用的端口上,比如说5555。 Port 5555 你也可以通过更新PermitRootLogin的值为no来限制root的登录,例如: PermitRootLogin no 并禁用无密码的通道,且改用公钥登录的方式。 PasswordAuthentication no PermitEmptyPasswords no 其实还有另外一种可能阻止攻击的调整,但它要求SSH通过正向和反向DNS查询远程的主机名,这将在系统日志文件中生成一些适当的警告。你只需启用UseDNS的值便可实现。 UseDNS yes 此外,当GSSAPI服务器被要求验证相关用户的身份时,SSH会调用一个不常用的功能来实现GSSAPI的认证方式。为了避免这种情况可能会引起的某种麻烦,请按照如下将GSSAPIAuthentication设为no: GSSAPIAuthentication no 考虑到SSH通常会出现的超时问题,你可以通过正确地配置ServerAliveInterval、ServerAliveCountMax和TCPKeepAlive的值来进行管控。 (编辑:四平站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |