一、密码策略
密码是保护服务器安全的第一道屏障,正确的密码策略可以有效减少服务器被攻击的风险。
1、密码复杂度要求
password requisite pam_cracklib.so retry=3 minlen=8 difok=3 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1
2、密码最长有效期
chage -M 90 username
3、密码最短使用期限
chage -m 7 username
4、密码修改最小间隔天数
chage -m 3 username
二、SSH加固配置
SSH是远程登录服务器最常用的方式,对SSH进行加固可以防止黑客通过SSH入侵服务器。
1、修改SSH服务端口号
Port 12345
2、禁止root用户通过ssh方式登录
PermitRootLogin no
3、设置SSH登录超时时间
ClientAliveInterval 300 ClientAliveCountMax 2
三、防火墙配置
防火墙是保护服务器的重要组成部分,正确配置防火墙可以防止恶意攻击。
1、禁止不必要的端口访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j ACCEPT iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 443 -j ACCEPT iptables -A INPUT -p tcp -j DROP
2、关闭所有不必要的网络服务
systemctl stop tftp systemctl stop nfs systemctl stop smb systemctl stop rpcbind
四、文件系统加固
正确的文件系统权限设置可以防止非授权用户访问服务器的敏感数据。
1、确保系统文件的权限
chmod 644 /etc/passwd chmod 400 /etc/shadow chmod 644 /etc/group chmod 755 /home chmod 755 /usr
2、禁止SUID权限文件的执行
find / -perm /6000 -type f -exec chmod a-s {} \;
3、禁止world-writable的文件或目录
find / -perm /o+w -type f -exec chmod a-w {} \; find / -perm /o+w -type d -exec chmod a-w {} \;
五、系统调用限制
正确的系统调用限制可以降低攻击者利用系统漏洞进行攻击的风险。
1、启用SYN Cookie机制
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
2、禁用IP源路由
echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route
3、启用端口扫描限制
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
六、日志监控
正确的日志监控可以及时发现服务器异常情况,及时采取相应措施。
1、启用日志记录
vi /etc/rsyslog.conf *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* /var/log/maillog cron.* /var/log/cron *.emerg :omusrmsg:* systemctl restart rsyslog
2、定期清理系统日志
cat /dev/null > /var/log/messages cat /dev/null > /var/log/secure cat /dev/null > /var/log/maillog cat /dev/null > /var/log/cron以上是的具体实践方法,加强服务器的安全性,保障敏感数据的安全。