首页 > 系统相关 >Linux工作站加固的6个方法

Linux工作站加固的6个方法

时间:2023-08-31 09:01:12浏览次数:45  
标签:sshd 工作站 安装 系统 自动更新 Linux 加固 root 邮件

对每个系统管理员来说,以下是应该采取的一些必要步骤:

  • 1.一律禁用Firewire和Thunderbolt模块。
  • 2.检查防火墙,确保所有入站端口已被过滤。
  • 3.确保root邮件转发到你核查的帐户。
  • 4.设立操作系统自动更新时间表,或者更新提醒内容。

此外,你还应该考虑其中一些最好采取的步骤,进一步加固系统:

  • 1.核查以确保sshd服务在默认情况下已被禁用。
  • 2.设置屏幕保护程序,在闲置一段时间后自动锁定。
  • 3.安装logwatch。
  • 4.安装和使用rkhunter
  • 5.安装入侵检测系统

Linux工作站加固的6个方法Linux工作站加固的6个方法

 

1. 把相关模块列入黑名单

想把Firewire和Thunderbolt模块列入黑名单,将下列几行添加到/etc/modprobe.d/blacklist-dma.conf中的文件:

blacklist firewire-core
blacklist thunderbolt

一旦系统重启,上述模块就会被列入黑名单。即便你没有这些端口,这么做也没有什么危害。

2. root邮件

默认情况下,root邮件完全保存在系统上,往往从不被读取。确保你设置了/etc/aliases,将root邮件转发到你实际读取的邮箱,不然就有可能错过重要的系统通知和报告:

# Person who should get root’s mail
root:           [email protected]

这番编辑后运行newaliases,对它测试一番,确保邮件确实已送达,因为一些电子邮件提供商会拒绝从根本不存在的域名或无法路由的域名发来的电子邮件。如果是这种情况,你需要调整邮件转发配置,直到这确实可行。

3. 防火墙、sshd和侦听守护进程

默认的防火墙设置将依赖你的发行版,但是许多允许入站sshd端口。除非你有一个充足而正当的理由允许入站ssh,否则应该将这个过滤掉,禁用sshd守护进程。

systemctl disable sshd.service
systemctl stop sshd.service

如果你需要使用它,总是可以暂时启动它。

通常来说,你的系统除了响应ping外,应该没有任何侦听端口。这将有助于你防范网络层面的零日漏洞。

4. 自动更新或通知

建议开启自动更新,除非你有非常充足的理由不这么做,比如担心自动更新会导致你的系统无法使用(这种事之前发生过,所以这种担心并非毫无根据)。起码,你应该启用自动通知可用更新的机制。大多数发行版已经让这项服务自动为你运行,所以你很可能没必要进行任何操作。查阅发行版的说明文档,了解更多内容。

5. 查看日志

你应该密切关注系统上发生的所有活动。由于这个原因,应该安装logwatch,并对它进行配置,以便每晚发送活动报告,表明系统上发生的一切活动。这防止不了全身心投入的攻击者,却是一项很好的安全网功能,有必要部署。

请注意:许多systemd发行版不再自动安装logwatch需要的syslog服务器(那是由于systemd依赖自己的日志),所以你需要安装和启用rsyslog,确保/var/log在logwatch具有任何用途之前不是空的。

6. rkhunter和IDS

除非你切实了解工作原理,并且采取了必要的步骤进行合理的设置(比如将数据库放在外部介质上,从可信任的环境运行检查,执行系统更新和配置变更后记得更新哈希数据库,等等),否则安装rkhunter以及aide或tripwire之类的入侵检测系统(IDS)不是很有用。如果你不愿意采取这些步骤、调整在自己的工作站上执行任务的方式,这些工具只会带来麻烦,没有任何实际的安全好处。

我们确实建议你应当安装rkhunter、在晚上运行它。它学习和使用起来相当容易;虽然它发现不了狡猾的攻击者,但是可帮助你发现自己的错误。

标签:sshd,工作站,安装,系统,自动更新,Linux,加固,root,邮件
From: https://www.cnblogs.com/roccn/p/17668671.html

相关文章

  • linux centos7 开启tomcat不成功
    在bin文件夹下打开终端,输入./start.sh后报错权限不够解决方法:依旧在终端上输入chmod+x*.sh(网上说输入chmod+xstartup.sh也可以,但我没成功)输入ll可看到*.sh的文件都高亮此时再次输入./startup.sh即可成功 ......
  • 【Linux】设置文件权限指令:sudo chmod -R 755 ~
    linux命令chmod755含义解析chmod是Linux下设置文件权限的命令,后面的数字表示不同用户或用户组的权限。一般是三个数字:第一个数字表示文件所有者的权限第二个数字表示与文件所有者同属一个用户组的其他用户的权限第三个数字表示其它用户组的权限。权限分为三种:读(r=4),写(w=2),执......
  • BCLinux-docker安装配置
    一、系统介绍   Bclinux.x86_64、JDK1.8   系统下载地址:https://mirrors.cmecloud.cn/bclinux/二、Docker安装1、解压tar-xvfdocker-20.10.9.tgz2、将解压出来的docker文件内容移动到/usr/bin/目录下cpdocker/*/usr/bin/3、将docker注册为servicevim/etc/systemd/s......
  • 磁盘为标准分区的linux云主机如何正确进行系统扩容
    问题现象云主机上根盘容量太小计划给根盘扩容,在云平台上点击系统扩容后进入云主机发现挂载点容量大小没变化,如何正确的给文件系统格式为xfs的根盘扩容呢?如图1,当前云主机根盘大小只有100G,需要扩容到200G,需要如何操作?(图1云主机根盘大小情况)原因分析云平台上点击系统扩容......
  • linux命令学习笔记
    sudo+命令:以超级用户模式执行命令sudo-i:切换到超级用户模式,exit退出cd+路径:切换目录ls:当前路径文件列表ls+路径:指定路径文件列表mkdir+名称:新建文件夹chmod[-R]权限值文件名:修改权限(http://c.biancheng.net/view/755.html)tar-cfa.tarbc:把b和c打包成a.tarta......
  • Linux用户相关命令(持续更新)
    忘记用户密码普通用户针对于普通用户忘记密码,还是比较好办的,我们登录root用户使用passwd命令即可,passwd命令有除了修改密码还有其他的一些用法,在这就不逐一展开了。passwd命令修改密码的语法:passwdusername,如下图:然后图中的student用户就可以用设置的新密码登录了。root......
  • 【Azure App Service for Linux】NodeJS镜像应用启动失败,遇见 RangeError: Incorrect
    问题描述在AppServiceForLinux中,部署NodeJS应用,应用启动失败。报错信息为:2023-08-29T11:21:36.329731566ZRangeError:Incorrectlocaleinformationprovided2023-08-29T11:21:36.329776866ZatIntl.getCanonicalLocales(<anonymous>)2023-08-29T11:21:36.329783066ZatC......
  • Linux运维工程师面试题(4)
    Linux运维工程师面试题(4)祝各位小伙伴们早日找到自己心仪的工作。持续学习才不会被淘汰。地球不爆炸,我们不放假。机会总是留给有有准备的人的。加油,打工人!1redis常用的数据类型String:字符串,最基础的数据类型List:列表Hash:哈希对象Set:集合SortedSet:有序集合,Set的基......
  • Linux运维工程师面试题(4)
    目录Linux运维工程师面试题(4)1redis常用的数据类型2redis数据持久化有几种,区别是什么,如何选择3redis有哪些架构模式4什么是缓存雪崩?如何解决?5什么是缓存穿透?如何解决?6什么是缓存击穿?如何解决?7redis为什么这么快8Redis常用命令9SQL语句分类10多表查询Linux运维工程......
  • docker build过程中遇到错误qemu-x86_64: Could not open '/lib64/ld-linux-x86-64.so
    Removingintermediatecontainer70af516d5d6b--->a69229847153Step5/6:RUNGO111MODULE="on"gogetgithub.com/jsonnet-bundler/jsonnet-bundler/cmd/jb;ln-s$(goenvGOPATH)/bin/jb/usr/bin/jb--->Runningin13545862fffeqemu-x86_64:......