您的位置:

Linux Server安全加固实践指南

一、密码策略

密码是保护服务器安全的第一道屏障,正确的密码策略可以有效减少服务器被攻击的风险。

1、密码复杂度要求

password requisite pam_cracklib.so retry=3 minlen=8 difok=3 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1

2、密码最长有效期

chage -M 90 username

3、密码最短使用期限

chage -m 7 username

4、密码修改最小间隔天数

chage -m 3 username

二、SSH加固配置

SSH是远程登录服务器最常用的方式,对SSH进行加固可以防止黑客通过SSH入侵服务器。

1、修改SSH服务端口号

Port 12345

2、禁止root用户通过ssh方式登录

PermitRootLogin no

3、设置SSH登录超时时间

ClientAliveInterval 300
ClientAliveCountMax 2

三、防火墙配置

防火墙是保护服务器的重要组成部分,正确配置防火墙可以防止恶意攻击。

1、禁止不必要的端口访问

iptables -A INPUT -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -s 192.168.0.0/16 -p tcp --dport 443 -j ACCEPT
iptables -A INPUT -p tcp -j DROP

2、关闭所有不必要的网络服务

systemctl stop tftp
systemctl stop nfs
systemctl stop smb
systemctl stop rpcbind

四、文件系统加固

正确的文件系统权限设置可以防止非授权用户访问服务器的敏感数据。

1、确保系统文件的权限

chmod 644 /etc/passwd
chmod 400 /etc/shadow
chmod 644 /etc/group
chmod 755 /home
chmod 755 /usr

2、禁止SUID权限文件的执行

find / -perm /6000 -type f -exec chmod a-s {} \;

3、禁止world-writable的文件或目录

find / -perm /o+w -type f -exec chmod a-w {} \;
find / -perm /o+w -type d -exec chmod a-w {} \;

五、系统调用限制

正确的系统调用限制可以降低攻击者利用系统漏洞进行攻击的风险。

1、启用SYN Cookie机制

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

2、禁用IP源路由

echo 0 > /proc/sys/net/ipv4/conf/all/accept_source_route

3、启用端口扫描限制

echo 1 > /proc/sys/net/ipv4/tcp_syncookies

六、日志监控

正确的日志监控可以及时发现服务器异常情况,及时采取相应措施。

1、启用日志记录

vi /etc/rsyslog.conf

*.info;mail.none;authpriv.none;cron.none /var/log/messages

authpriv.* /var/log/secure

mail.* /var/log/maillog

cron.* /var/log/cron

*.emerg :omusrmsg:*

systemctl restart rsyslog

2、定期清理系统日志

cat /dev/null > /var/log/messages
cat /dev/null > /var/log/secure
cat /dev/null > /var/log/maillog
cat /dev/null > /var/log/cron
以上是的具体实践方法,加强服务器的安全性,保障敏感数据的安全。