首页 > 系统相关 >nginx 安全加固2

nginx 安全加固2

时间:2023-05-08 09:11:31浏览次数:65  
标签:640 etc vi 配置 pam nginx 加固 root 安全

检查是否配置登录超时时间设置
    编辑 vi /etc/profile 文件。配置tmout将值设置为低于300

检查是否禁止root用户登录FTP
    设置如下将对应配置文件中,设置root,禁止登录的用户列表中添加root用户

        编辑 vi /etc/ftpaccess,将root前的#去掉

        编辑 vi /etc/vsftpd/ftpusers,将 root 前的#去掉

        编辑 vi /etc/ftpusers,将 root 前的#去掉

        编辑 vi /etc/vsftpd.ftpusers,将 root 前的#去掉

        编辑 v i /etc/pam.d/vsftpd,将 root 前的#去掉

        编辑 vi /etc/pam.d/ftp,将 root 前的#去掉

检查是否使用SSH协议进行远程维护
    开启 ssh,关闭 telnet

        关闭 telnet

            vi /etc/xinetd.d/telnet,将 disable=no 改成 disable=yes

            chkconfig telnet off;如果需要设置 telnet 服务不为开机自启动,使用命令 chkconfig -del telnet 或者 chkconfig --del telnet

        使用命令 server xinetd restart 或者/etc/init.d/xinetd restart 使更改生效

检查是否配置日志文件安全权限
    对日志文件进行赋权:chmod 640 /var/log/messages,权限要小于等于 640

    对日志文件进行赋权:chmod 640 /var/log/secure,权限要小于等于 640

    对日志文件进行赋权:chmod 640 /var/log/maillog,权限要小于等于 640

    对日志文件进行赋权:chmod 640 /var/log/cron,权限要小于等于 640

    对日志文件进行赋权:chmod 640 /var/log/spooler,权限要小于等于 640

    对日志文件进行赋权:chmod 640 /var/log/boot.log,权限要小于等于 640

检查是否启用 Syslog 日志审计
    系统可能是 syslog 或 rsyslog,配置存在其中一个即可

        vi /etc/syslog.conf,修改或配置 authpriv.* /var/log/secure

        vi /etc/rsyslog.conf,修改或配置 authpriv.* /var/log/secure

检查是否启用远程日志功能
    系统可能是 syslog 或 rsyslog,配置存在其中一个即可

        配置文件添加:vi /etc/syslog.conf,加上*.*

        配置文件添加:vi /etc/rsyslog.conf,加上*.*

检查是否记录 cron 行为日志
    系统可能是 syslog 或 rsyslog,配置存在其中一个即可

        vi /etc/syslog.conf,修改或配置 cron.*

        vi /etc/rsyslog.conf,修改或配置 cron.*

检查是否配置文件与目录缺省权限控制
    配置的值可以为:027|037|077|127|137|177|327|337|377|777|067|167|367|767

        vi /etc/login.defs,修改或配置 umask 027

        vi /etc/profile,修改或配置 umask 027

检测是否限制 root 用户远程登录
    修改配置:vi /etc/ssh/sshd_config,修改或配置 PermitRootLogin no

检查是否限制用户 su 到 root
    添加配置:vi /etc/pam.d/su,修改或配置 auth sufficient pam_rootok.so

    添加配置:vi /etc/pam.d/su,修改或配置 auth required pam_wheel.so group=wheel

检查是否配置用户最小授权
    chmod 644 /etc/passwd 设置文件权限低于等于 644

    chmod 644 /etc/group 设置文件权限低于等于 644

    chmod 600 /etc/shadow 设置文件权限低于等于 600

检查是否关闭不必要的服务和端口
    通过 chkconfig --list daytime 查看对应的服务是否开启,通过 chkconfig daytime off 关闭

        daytime-udp time time-udp echo echo-udp discard discard-udp chargen chargen-udp ntalk ident printer bootps tftp kshell klogin lpd nfs nfs.lock sendmail ypbind

检查是否删除或锁定无关账号
    配置 listen,gdm,webservd,nobody,nobody4,noaccess 账号的状态,通过命令如下:

        chsh listen -s /sbin/nologin

        chsh gdm -s /sbin/nologin

        chsh webservd -s /sbin/nologin

        chsh nobody -s /sbin/nologin

        chsh nobody4 -s /sbin/nologin

        userdel noaccess

检查用户 FTP 访问安全是否配置
    如果有开启 vsftpd 则需要配置如下两个文件,内容添加 root

        vi /etc/vsftpd.chroot_list 配置 root

        vi /etc/vsftpd/chroot_list 配置 root

检测是否删除潜在危险文件
    全局搜索是否存在:.rhosts 文件,如果存在则删除掉

    全局搜索是否存在:.netrc 文件,如果存在则删除掉

    全局搜索是否存在:.hosts.equiv 文件,如果存在则删除掉

检查密码过期时间
    编辑:vi /etc/login.defs 设置 PASS_MAX_DAYS=90(等号要记得写),时间要小于等于90

检查密码创建要求是否配置
    vi /etc/pam.d/common-password , 修 改 或 配 置 password requisite pam_cracklib.so retry=3 minlen=8 minclass=3

    vi /etc/pam.d/system-auth,password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 minclass=3

    vi /etc/login.defs,修改或配置 PASS_MIN_LEN=8,设置为大于等于 8

    vi /etc/pam.d/system-auth,启动 pam_passwdqc.so 模块

检查是否禁止匿名 FTP
    vi /etc/vsftpd.conf,配置修改 anonymous_enable=NO

    vi /etc/vsftpd/vsftd.conf,配置修改 anonymous_enable=NO 作者:李慕忱LiMuC https://www.bilibili.com/read/cv20995539 出处:bilibili

标签:640,etc,vi,配置,pam,nginx,加固,root,安全
From: https://www.cnblogs.com/leihongnu/p/17380676.html

相关文章

  • 实验二 电子公文传输系统安全 jzk读书笔记
    《Core.Software.Security.Security.at.the.Source.CN.软件安全.从源头开始》安全开发生命周期最著名的SDL模型是可信计算安全开发生命周期,受欢迎的SDL模型有微软的SDL、Cigital的软件安全触点模型、OWASPSDL、思科的安全开发生命周期。两个非常流行的软件安全成熟度模型:Cigit......
  • 实验二 电子公文传输系统安全--读书笔记
    实验二电子公文传输系统安全--读书笔记一、《Core.Software.Security.Security.at.the.Source.CN.软件安全.从源头开始》安全开发生命周期最著名的SDL模型是可信计算安全开发生命周期,受欢迎的SDL模型有微软的SDL、Cigital的软件安全触点模型、OWASPSDL、思科的安全开发生命......
  • nginx
    Nginx安装+域名+location规则+rewrite官网:http://nginx.org/安装依赖yum-yinstallgcczlibzlib-develpcre-developensslopenssl-devel解压tar-zxf安装包./configuremake&makeinstall#启动/usr/local/nginx/sbin/nginx-c/usr/local/nginx/conf/......
  • 数据库系统概论—安全、完整性
    数据库系统概论—基础篇(3)三.数据库安全性1.数据库安全性概述数据库的安全性指保护数据库以防不合法使用所造成的数据泄露、更改或破坏2.数据库安全性控制2.1用户身份鉴别静态口令鉴别动态口令鉴别生物鉴别特征智能卡鉴别2.2存取控制自主存取控制:给用户限权(DAC,C1......
  • Nginx反代理Halo
    nginx的基本设置nginx基本结构...#全局块events{#events块...}http#http块{...#http全局块server#server块{...#server全局块location[PATTERN]#location块{......
  • C++实现一个线程安全的map
    本文是使用ChatCPT生成的,最终的代码使用起来没问题。代码是通过两轮对话完善的,后面把对话合并后跑不出理想效果就没尝试了。第一轮对话请求c++11实现一个线程安全的map,使用方法与std::map保持一致,实现[]运算符回复以下是一个简单的线程安全的map实现,可以使用[]运算符来访问和......
  • Nginx 入门实战(3)--Nginx 常用配置参数说明
    Nginx中包含众多的参数,这些参数影响Nginx的行为;本文主要介绍一些常用的参数。1、Nginx配置文件基本结构Nginx的配置文件为conf/nginx.conf,配置文件由配置指令/参数组成,有些指令/参数位于main的位置(如:events、http),有些指令/参数位于其他参数下(如:server位于http下);......
  • Nginx系列---【nginx可视化配置神器-nginxWebUI来了!】
    nginx可视化配置神器-nginxWebUI来了!官网地址:https://www.nginxwebui.cn/product.html实战教程1.下载安装包建议安装最新版下载链接:https://gitee.com/cym1102/nginxWebUI/tags下载完成后是一个jar包2.上传到linux服务器并放到ngxWebUI目录下这一步省略。。。3.启......
  • Rabbitmq介绍,安装,基于queue实现消费者生产者,基本使用,消息安全,持久化,闲置消费,发布订阅,
    内容详细Rabbmit介绍消息队列中间件概念很大,准确一些叫消息队列中间件消息队列中间件使用redis当作消息队列来用,blpop阻塞式弹出,实现队列,先进先出MQ,消息队列,MessageQueue是什么?消息队列就是基础数据结构中先进先出(队列)的一种数据机制,类比于生活中,买东西,需要排队,先排队的人......
  • 腾讯、新浪微博 oauth安全认证
    在做一个需要调用微博接口的项目中.发现了一些问题1.腾讯微博sdk的封装粒度不够,需要在其上做二次开发2.新浪,腾讯微博没有实现统一的接口,在做项目的时候需要将它们分开来实现,代码看起来很别扭我所做的就是解决了以上两个问题,所以现在做微博应用......