Linux 主机一键安全整改策略

为防止linux主机被恶意攻击,和受到攻击后能更快定位到源头,需要对linux主机做一些参数配置。

比如禁用root的远程登录、用户多次密码验证失败后被锁、禁止系统账号交互式登录等等。

下面是linux主机安全整改的一些简单介绍,最后会通过脚本一键整改所有项,适用linux主机版本为:Redhat 7和CentOS 7。

本次安全整改项

  • 禁止root用户远程登录;

  • 设置密码复杂度(新建账号和修改密码时生效);

  • 设置密码过期时间90天;

  • 设置命令行界面超时退出(180秒);

  • 设置密码重复使用次数(5次);

  • 禁止系统账号交互式登录;

  • 设置ssh登录警告banner;

  • 禁用不必要的别名;

  • 安装配置记录用户对设备的操作的pacct工具;

  • 配置su命令使用情况记录。

通过以下命令一键安全整改

 

#!/bin/bash

source /etc/profile


echo "---------禁止root用户远程登录----------"

result=`grep "PermitRootLogin no" /etc/ssh/sshd_config|wc -l` ; if [ $result -eq 0 ];then

sed -i 's/#PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

sed -i 's/PermitRootLogin yes/PermitRootLogin no/' /etc/ssh/sshd_config

echo "禁止root用户远程登录已修改"

else

echo "禁止root用户远程登录已存在"

fi

echo -e "\n"


echo "---------设置密码复杂度限制----------"

result1=`grep "password requisite pam_cracklib.so" /etc/pam.d/system-auth|wc -l` ; if [ $result1 -eq 0 ];then

echo "password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 lcredit=-1 dcredit=-1 ocredit=-1 ucredit=-1" >> /etc/pam.d/system-auth

echo "密码复杂度限制设置完成"

else

echo "密码复杂度限制已存在"

fi

echo -e "\n"


echo "---------设置用户密码过期时间----------"

result=` cat /etc/login.defs|grep PASS_MAX_DAYS|grep ^[^#]|awk '{print $2}'` ; if [ $result -gt 90 ];then

sed -i '/PASS_MAX_DAYS/ s/99999/90/' /etc/login.defs

echo "用户密码过期时间设置完成"

else

echo "用户密码过期时间已设置为90天"

fi

echo -e "\n"


echo "---------设置命令行界面超时退出----------"

result=` grep TMOUT /etc/profile |wc -l` ; if [ $result -eq 0 ];then

cp -p /etc/profile /etc/profile_bak

echo "export TMOUT=180">> /etc/profile

echo "命令行界面超时退出已设置"

else

echo "命令行界面超时退出已存在"

fi

echo -e "\n"


echo "---------设置密码重复使用次数----------"

result=` grep remember= /etc/pam.d/system-auth|wc -l` ; if [ $result -eq 0 ];then

sed -i 's/password sufficient pam_unix.so/& remember=5/g' /etc/pam.d/system-auth

echo "密码重复使用次数已设置"

else

echo "密码重复使用次数限制已存在"

fi

echo -e "\n"


echo "禁止系统账号交互式登录"

passwd -l adm

passwd -l daemon

passwd -l bin

passwd -l sys

passwd -l lp

passwd -l uucp

passwd -l nuucp

passwd -l smmsp

echo "禁止系统账号交互式登录已设置"

echo -e "\n"


echo "---------ssh登录前警告banner设置----------"

file="/etc/ssh_banner"

if [ ! -f "$file" ]; then

touch "$file"

chown bin:bin /etc/ssh_banner

chmod 644 /etc/ssh_banner

echo "Authorized only. All activity will be monitored and reported" >> $file

echo "ssh登录前警告banner已设置"

else

echo "ssh登录前警告banner设置已存在"

fi

echo -e "\n"


echo "---------禁用不必要的别名----------"

result=`cat /etc/aliases|grep ^# | grep root |wc -l` ; if [ $result -le 9 ];then

sed -i '/games/ s/^/#/g' /etc/aliases

sed -i '/ingres/ s/^/#/g' /etc/aliases

sed -i '/system/ s/^/#/g' /etc/aliases

sed -i '/toor/ s/^/#/g' /etc/aliases

sed -i '/uucp/ s/^/#/g' /etc/aliases

sed -i '/manager/ s/^/#/g' /etc/aliases

sed -i '/operator/ s/^/#/g' /etc/aliases

sed -i '/decode/ s/^/#/g' /etc/aliases

sed -i '/marc/ s/^/#/g' /etc/aliases

sed -i '/dumper/ s/^/#/g' /etc/aliases

echo "禁用不必要的别名已完成"

else

echo "禁用不必要的别名已存在"

fi

echo -e "\n"



echo "---------配置pacct工具----------"

file="/var/log/pacct"

if [ ! -f "$file" ]; then

yum install psacct

touch /var/log/pacct

accton /var/log/pacct

echo "配置pacct工具已完成"

else

echo "配置pacct工具已存在"

fi


echo "---------配置记录su命令使用情况----------"

result=`grep "authpriv.* /var/log/secure" /etc/rsyslog.conf|wc -l` ; if [ $result -eq 0 ];then

echo "authpriv.* /var/log/secure" >> /etc/rsyslog.conf

echo "配置记录su命令使用情况已完成"

else

echo "记录su命令使用情况已存在"

fi

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/18630.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【XR806开发板试用】基础篇,从零开始搭建一个LCD彩屏时钟(ST7735S驱动)

本文从搭建环境开始,step by step教大家使用XR806实现驱动SPI屏幕(ST7735S驱动),并连接WiFi实现ntp对时,最终实现把时间显示到屏幕上。 #1. 搭建开发环境 1. 安装编译环境所需的依赖包 基于ubuntu 20.04,按…

UI自动化测试最佳设计模式POM

当使用Selenium进行UI自动化测试时,Page Object Model(POM)是一种最佳实践的设计模式。POM的核心思想是通过将页面封装成对象,使得测试代码更加清晰、可维护和可重用。 POM的主要组成部分包括页面对象类、元素定位方式和操作方法…

MybatisPlus @TableField之SqlCondition源码解析

应用对象:模型,作用:调用IService接口,使用查询包装器实现灵活的条件查询。 TableField(conditionSqlCondition.LIKE) 注解使用逻辑 com.baomidou.mybatisplus.extension.service.IService.page(分页对象,查询包装器…

“区块链技术在网络安全领域的革新应用与挑战“

区块链技术,以其去中心化、不可篡改和透明度高的特性,在网络安全领域展现出了巨大的革新潜力,同时也带来了一系列新的挑战。以下是区块链技术在网络安全领域的应用及其面临的主要挑战的深入分析。 革新应用 1. 数据保护与隐私增强&#xff…

PHP身份证识别接口、线上平台如何实现身份证实名认证功能?

线上平台实现身份证实名认证的功能,需要结合身份证识别接口来完成。首先,用户通过上传身份证图片或者拍照的方式实现证件信息的提取,身份证实名认证接口通过对提取到的证件信息进行核验,以此来实现线上用户身份的实名认证&#xf…

LabVIEW车轮动平衡检测系统

LabVIEW车轮动平衡检测系统 随着汽车行业的快速发展,车轮动平衡问题对乘坐舒适性、操控稳定性及安全性的影响日益凸显,成为了提高汽车性能的一个关键环节。传统的检测系统因精度低、成本高、操作复杂等问题,难以满足现代汽车行业的需求。开发…

行车安全:UWB模块的智能化在车辆安全系统中的作用

随着交通车辆数量的不断增加和道路交通拥堵的加剧,车辆安全问题日益引起人们的关注。在这种背景下,超宽带(UWB)技术作为一种新兴的定位技术,正逐渐应用于车辆安全系统中,为提高车辆行车安全性提供了新的解决…

Unity真机打包地形不显示

Using terrain.drawInstanced in a build - Shader unsupported: Hidden/Nature/Terrain/Utilities Terrain missing on build 大概是两种思路 第一是材质shader丢失,把Terrain相关的shader都添加到ProjectSetting里 第二是地形Inspector面板,把Draw …

Django配置

后端开发: python 解释器、 pycharm 社区版、 navicate 、 mysql(phpstudy) 前段开发: vs code 、 google 浏览器 django 项目配置 配置项目启动方式 创建模型 创建一个应用 在应用中创建模型类 根据模型类生成数据表 创建应用 创建模型类 …

智能除螨—wtn6040-8s语音芯片方案引领除螨仪新时代

语音螨仪开发背景: 随着物联网技术的快速发展,除螨仪作为家庭清洁的重要工具,其智能化、人性化的设计成为提升市场竞争力的关键。置入语音芯片的除螨仪,通过开机提示、工作状态反馈、操作指引、故障提醒等内容。用户可以更加直观…

邦注科技三机一体除湿干燥机在工业中的应用

三机一体除湿干燥机在工业中的应用广泛且重要,其结合了传统除湿机、冷凝器和加热器的功能,具有节能、环保、方便等特点。以下是关于三机一体除湿干燥机在工业中应用的详细解析: 一、应用领域 电子制造行业:在半导体、集成电路和…

安卓手机APP开发__超宽带(UWB)通信

安卓手机APP开发__超宽带(UWB)通信 目录 概述 控制方/发起方与控制方/响应方 参数范围 后台测距 STS 配置 步骤 使用限制 代码示例 示例应用 UWB 范围 RxJava3 支持 生态系统支持 支持 UWB 的移动设备 第三方 SDK 概述 注意 :UWB 目前仅支持 Jetpac…

JavaScrpit基础入门

JavaScript 是一种用于网页开发的脚本语言,它主要用于增强网页的交互性和动态性。HTML 用于定义网页的结构,包括文本、图像、链接等内容,而 CSS 用于定义网页的样式,包括颜色、布局、字体等。JavaScript 通过与 HTML 和 CSS 结合使…

大模型中的Tokenizer

在使用GPT 、BERT模型输入词语常常会先进行tokenize 。 tokenize的目标是把输入的文本流,切分成一个个子串,每个子串相对有完整的语义,便于学习embedding表达和后续模型的使用。 一、粒度 三种粒度:word/subword/char word词&a…

【云原生】Kubernetes----POD调度策略

目录 引言 一、Pod调度策略 (一)基本概述 (二)调度原则 (三)Predicate常见算法 (四)优先级排序 (五)调度过程 1.过滤阶段 2.优先级排序 3.选择最优…

raspberry pi/orienge pi等arm架构硬件打包ros humble docker视觉及机器人开发镜像

raspberry pi/orienge pi等arm架构硬件打包ros humble docker开发镜像 文章目录 前言准备工作拉取镜像编写Dockerfile编译docker镜像启动镜像docker-compose文件编写总结前言 这篇文章主要用于定制化打包需要的docker镜像,由于ros1提供的镜像源是国外的很多软件无法更新,所以…

大模型部署推理应用技术浅析

大模型完成预训练后不是就万事大吉了,离推理应用还有很大距离,需要经过微调、部署等一系列工程化工作。尤其是在2B的行业大模型应用中,为解决大模型的幻觉、时效性和推理成本问题,需要建立单一模型之上的体系。模型部署中的技术大…

使用uniapp开发支付宝小程序时引入卡包插件

1、官网文档 https://opendocs.alipay.com/pre-open/03k88a?pathHash30ce86a9 2、代码开发 //manifest.json 配置文件添加卡包插件 "mp-alipay": {"usingComponents": true,"appid": "xxxxxxxxxxxxxxxxx","plugins": {&…

深入理解Seata:分布式事务的解决方案

在现代的微服务架构中,随着业务系统的不断拆分和模块化,分布式事务成为一个重要的挑战。为了解决微服务架构下的分布式事务问题,Seata应运而生。Seata(Simple Extensible Autonomous Transaction Architecture)是一款开…

Windows找出权限维持的后门

Windows权限维持主要包含活动隐藏、自启动等技术。 隐藏文件 利用文件属性 最简单的一种隐藏文件的方式,文件右键属性,勾选隐藏,点击确定后,在这个文件里看不到刚刚的文件了。 如果要让文件显示出来,就点击查看&…