在最开始,我们需要问的一个问题是:Linux是已经足够被安全加固了吗?答案当然是否定的。那些娴熟的攻击者所带来的危险是与日俱增的。每天、甚至是每小时都有新的漏洞被发现。对这些漏洞的利用方法通常建立在它们被发现后的数小时之内。一些漏洞甚至直到有人将其利用到攻击的主机上才被发现。可见,安全应该是我们所有人需要关心的。因此,我想在本文中用一些实际的例子来展示如何增强系统的安全性。
没有一个帖子或是一本书能够回答Linux所有的安全问题或是涉及所有可能的威胁。因此,本文理所当然地也不可能包括所有,但是我们希望你一定会发现到其“用武之处”。
我们的主要议题包括:
控制台安全密码生命周期Sudo的通知SSH调优使用Tripwire进行入侵检测使用Firewalld回归iptable限制编译器不可修改文件用Aureport来管理SELinux使用sealert工具
一、控制台安全
我建议你只允许root用户去登录到一个终端之上,且强制所有其他用户都使用非root用户的身份进行登录。而如果确实需要root用户权限的时候,请使用su命令来获取。
二、密码生命周期
密码的生命周期就是允许你为密码指定一个有效的时间周期。时间到期后,系统将强制要求用户输入一个新的密码。这样有效地确保了密码的定期更换,以及密码在被偷盗、破解或为人所知的情况下能够迅速过期。
有两种方法可以实现这个效果。第一种方法是通过命令行使用如下的改变命令:
$chage-M20likegeeks
我们使用- M选项为likegeeks用户设置了有效期限为20天的密码。
你也可以输入不带任何选项的chage命令,它会自动提示你选项:
$chagelikegeeks
第二种方法是在/etc/login.defs中为所有用户设置默认值。你可以参照下面,按需改变其数值:
PASS_MAX_DAYS20PASS_MIN_DAYS0PASS_WARN_AGE5
三、Sudo的通知
另外猴子应放于群居的地方生活,如果将它们放在单独的地方,也会导致某些问题出现。
时间过的真快,转眼间孩子三年的幼儿园生活就快要结束了,虽然平时接送时可以和老师交流一下孩子在学校的表现情况,老师们也会通过博客或发消息告诉家长孩子的一些基本情况,不过毕竟了解的很少,而学校举行的亲子活动就是让家长能更多的了解孩子在学校的表现,也更能促进亲子间的感情交流。
无论......都...... 虽然......但是...... 因为......所以......。
极简和极自然,使得模仿无法存在,因为没有人可以造出更好的体验来。
我们都知道,sudo命令允许非root用户以root身份运行各种命令。你可以在/etc/sudoers文件中查到所有的sudo配置。
你可以禁止用户去运行那些root才能运行的命令。linux命令
在windbg中可以通过.dump命令保存进程的dump文件。
修改后,则成功添加相应用户使用sudo命令的权限,在往后的安装中可方便进行提权操作。
一旦日志报告生成,logwatch 可以通过电子邮件把这报告发送给您,您可以把它保存成文件或者直接显示在屏幕上。
aof rewrite可以通过bgrewriteaof命令触发,也可以配置redis定期自动进行:。
mailtoyourname@yourdomain.com
当然你也可以用如下语句改变sudo的发邮件状态:
mail_alwayson
四、SSH调优
只要说到Linux安全,我们必然会讨论到SSH服务。SSH应该是你系统中重要的一种服务,它使你能够轻松地连接到自己的系统。而且这可能是在出现各种状况的时候,唯一能让你的系统“幸存”的途径。所以对SSH的调优是非常重要的。