现在大多数企业都是使用linux作为服务器,不仅是linux是开源系统,更是因为linux比windows更安全。...但是由于管理员的安全意识不全或者疏忽,导致linux的敏感端口和服务没有正确的配置,可能会被恶意利用,所以需要进行基线加固。...1.基线 即安全基线配置,诸如操作系统、中间件和数据库的一个整体配置,这个版本中各项配置都符合安全方面的标准。比如在系统安装后需要按安全基线标准,将新机器中各项配置调整到一个安全、高效、合理的数值。...2.基线扫描 使用自动化工具、抓取系统和服务的配置项。...将抓取到的实际值和标准值进行对比,将不符合的项显示出来,最终以报告 的形式体现出扫描结果有的工具将配置采集和配置对比分开,通过自动化脚本采集配置后再通过特别的软件转换为适合人类阅读的文档 3.基线加固自动化脚本的编写
#!/bin/bash # +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+ # # Filename: in...
降低密码猜测攻击风险 加固建议 在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置...14之间,建议为7: PASS_WARN_AGE 7 同时执行命令使root用户设置生效: chage --warndays 7 root 操作时建议做好记录或备份 设置SSH空闲超时退出时间 | 服务配置...ClientAliveInterval 600 ClientAliveCountMax 2 操作时建议做好记录或备份 确保SSH MaxAuthTries设置为3到6之间 | SSH服务配置 描述 设置较低的.../sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4: MaxAuthTries 4 操作时建议做好记录或备份 确保rsyslog服务已启用 | 安全审计
Mysql安全基线 NO.1 增强root帐户密码登陆、删除空密码 原因 一、简单密码容易暴力破解二、mysql默认是空密码 解决 一、增强密码强度- 22位以上- 同时包含大写字母、小写字母、数字、特殊字符...解决 # 修改目录所有者chown -R root /usr/local/mysqlchown -R mysql.mysql /usr/local/mysql/var/ NO.6 历史命令泄漏 原因 linux
对于电脑系统来说安全是第一大问题,所以每一个电脑系统或者主机系统都会配置许多的防护软件以及安全软件。...定期的来检查电脑的安全系统,以及一些其他的系统安全问题,可以有效的预防电脑漏洞的出现以及安全隐患的出现。现在来了解一下linux主机安全基线检查脚本怎么做?...linux主机安全基线检查脚本 linux主机安全基线检查脚本是Linux主机安全维护当中重要的一环。通过主机安全基线检查脚本可以有效的防止和提前发现一些主机问题。...安全基线的检查内容 上面已经提到linux主机安全基线检查脚本是非常重要的一件事情,那么在安全基线的检查当中,都有哪些内容需要检查呢?首先是要进行共享账号的检查。还有多余账户锁定策略检查。...除此之外,安全基线的检查内容还有好多,在进行专业的脚本检查时,应当全部检查毫无遗漏。并且定期进行检查,防止其他的漏洞出现。 以上就是linux主机安全基线检查脚本怎么做的相关内容。
Nginx安全基线 NO.1 禁止某些文件类型的访问 原因 某些文件不小心传如web目录后存在很大风险 解决 location *.
[TOC] 0x00 前言简述 描述: 由于最近工作和学习的需要就将针对于Windows系统的一些安全配置做了如下记录,便于后期的知识结构化,并在后续的工作继续进行添加安全加固的一些技巧,同时希望广大的大佬也能多多扩充安全加固配置项...基础纲要 本章主要纲要: 1) 2) 3) Windows Server 安全基线关键项 4) Windows Server 安全基线检查与设置脚本编写 ### 适用范围: Windows Server...、入侵防范、恶意代码防范、剩余信息保护这7个方面 参考学习 参考标准: 1)《电信网和互联网安全防护基线配置要求及检测要求操作系统》(YD/T2701-2014) 2) ---- 0x01 0x02...安全基线关键项 1) 主机安全 1.1 系统账户 1.1.1 优化账号 操作目录: a) 减少或者不启用系统无用账号,降低风险 b) 建立一个普通权限的用户 c) 防止账户被爆破通杀 检查方法 :...1.1.3 账号口令策略调整 操作目的: a) 按照《网络安全等级保护基本要求》 进行调整增强口令的复杂度及锁定策略等降低被暴力破解的可能性 b) 按照《电信网和互联网安全防护基线配置要求及检测要求操作系统
6、用户锁定策略 安全基线项说明:对于采用静态口令认证技术的设备,应配置当用户连续认证失败次数超过10次,锁定该用户使用的帐号。...0x03 访问控制 1、用户的umask安全配置 安全基线项说明:帐号与口令-用户的umask安全配置 检测操作步骤:执行: more /etc/profile more /etc/csh.login...2、 Syslog.conf的配置审核 安全基线项说明:日志审计-Syslog.conf的配置审核 检测操作步骤:执行:more /etc/rsyslog.conf,查看是否设置了下列项: kern.warning...3、远程连接的安全性配置 安全基线项说明:帐号与口令-远程连接的安全性配置 检测操作步骤:执行:find / -name .netrc,检查系统中是否有.netrc文件, 执行:find / -name...0x06 入侵防范 1、操作系统Linux关闭不必要的服务 安全基线项说明:帐号与口令-关闭不必要的服务 检测操作步骤: 使用命令“who -r”查看当前init级别 使用命令“chkconfig -
对组织的运维和安全人员来说,如果运行的业务系统一直不出事,是想不到要做基线配置、升级补丁、修复漏洞这些事情的,考虑做基线管理,通常来自于3个原因: 合规性性要求,上级安全检查; 遇到安全事件,根源落在安全配置或加固未做好的原因上...二、怎样做好基线配置管理 从整个安全工作来说,需要组织高层的支持,基线配置管理也同样需要,安全运维人员需要跟业务、开发、运维一起讨论,定制一个适用的基础运维环境统一计划,使用相同版本的操作系统和应用软件...制定基线配置模板 基线配置模板可以包含运维和安全2个部分,运维部分如性能相关配置、稳定性相关配置、个性化配置。...安全的基线配置可以参考2个来源:工信部基线配置要求; ?...四、总结 落实好基线配置还是于其他部门做好配合,一般安全基线的创建和检查属于安全部门负责,实际的实施由运维来做,如果没有比较成熟的运维能力和系统支持,做基线效率很低容易遗漏。
设置用户权限配置文件的权限 | 文件权限 描述 设置用户权限配置文件的权限 加固建议 执行以下5条命令 chown root:root /etc/passwd /etc/shadow /etc/group...passwd chmod 0400 /etc/shadow chmod 0400 /etc/gshadow 复制代码 操作时建议做好记录或备份 确保SSH LogLevel设置为INFO | 服务配置...ClientAliveInterval 900 ClientAliveCountMax 0 ClientAliveCountMax和ClientAliveInterval 取消注释符号# 操作时建议做好记录或备份 SSHD强制使用V2安全协议...| 服务配置 描述 SSHD强制使用V2安全协议 加固建议 编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数: Protocol 2 操作时建议做好记录或备份 确保SSH MaxAuthTries...设置为3到6之间 | 服务配置 描述 设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。
apt-get install libpam-cracklib 2、编辑/etc/pam.d/common-password,在password requisite pam_cracklib.so开头的这一行配置...特殊字符等4类字符中的3类或4类)设置为3或4,即在行末尾加上参数minclass=3;在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置...降低密码猜测攻击风险 加固建议 编辑/etc/pam.d/common-password,在password [success=1 default=ignore] pam_unix.so开头的这一行增加配置...描述 禁止SSH空密码用户登录 加固建议 编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no: PermitEmptyPasswords no...ClientAliveInterval 600 ClientAliveCountMax 2 操作时建议做好记录或备份 设置用户权限配置文件的权限 | 文件权限 描述 设置用户权限配置文件的权限 加固建议
操作时建议做好记录或备份 检查是否配置Nginx账号锁定策略。...| 服务配置 描述 Nginx进程启动账号状态,降低被攻击概率 加固建议 修改Nginx进程启动账号: 1、打开conf/nginx.conf配置文件; 2、查看配置文件的user配置项,确认是非...修改Nginx配置文件权限: 执行chmod 644 来限制Nginx配置文件的权限;(为配置文件的路径,如默认/安装目录/conf/nginx.conf...或者/etc/nginx/nginx.conf,或用户自定义,请 自行查找) 操作时建议做好记录或备份 针对Nginx SSL协议进行安全加固 | 服务配置 描述 Nginx SSL协议的加密策略进行加固...加固建议 Nginx SSL协议采用TLSv1.2: 1、打开conf/nginx.cconf配置文件(或主配置文件中的inlude文件); 2、配置 server {
0x01 介绍 最近在做安全基线检查相关的,网上有一些代码比较零散;也有一些比较完整的项目,比如owasp中的安全基线检查项目,但是收费;还有一些开源且完整的,比如lynis,但是不符合我的要求。...最好能够达到阿里云里的安全基线检查的样子,差一点的话也没关系啦。本篇文章是代码中在centos7和win2012系统中将要检查的项目,参考CIS标准而来。...对于Linux: ? 3. 将Agent拖到要进行基线检查的服务器上,以管理员权限运行agent 4....这个项目目前可以针对Linux和Windows的部分操作系统进行基线检查,不适用于全部系统。...基线检查比较容易,只需要根据规范收集信息进行比较即可,而系统加固涉及的面就比较多了,不同的环境有不同的配置,系统加固一不小心就容易对系统环境造成损坏,所以这个项目不准备添加系统加固的功能 该项目的详细地址
主机安全的风险级别除了漏洞,另一个重要的参考值是安全基线的风险分值,本次介绍的主要是结合目前公司的业务实际情况制作的一份安全基线脚本,供大家进行参考。...适用环境 适用环境:RedHat系统Linux 注意 在配置系统基线测试之前,虚拟机一定要提前制作快照,配置测试期间尽量不要退出登录状态,以便出现差错的时候能够及时回退。...基线配置内容 /etc/pam.d/system-auth 是用户使用pam认证模块的登录策略配置文件,配置用户密码的复杂度、登录失败暂锁、重复使用密码次数等都是配置此文件。.../etc/login.defs 文件是配置用户密码策略的,基线检查项中包括密码的时效性及默认访问权限两项。...FTP安全设置,禁止匿名登录、禁止root登录、删除ftp账户登录系统 ? 设置重要的文件属性放篡改: ?
搞技术的礼物当然是技术礼物啦,这是我们实验室一位师傅改进的linux主机安全基线检查脚本(如果想薅羊毛的兄弟等实验室基本稳定了,Gamma安全实验室会自动把羊毛奉上) 脚本复制粘贴保存成.sh文件即可.../bin/bash ###################################### # Linux主机安全基线检查 # Date:2020-12-23 # 使用前请给文件执行权限:chmod...主机安全基线检查***********************************\033[0m" echo "" >> ${scanner_log} echo "*************..."****************************************************" >> ${scanner_log} echo "`hostname -s`远程连接的安全性配置检查结果...echo "****************************************************" >> ${scanner_log} action "[11] 远程连接的安全性配置检查中
加固建议 在redis的配置文件redis.conf中配置如下:bind 127.0.0.1或者内网IP,然后重启redis 操作时建议做好记录或备份 打开保护模式 | 访问控制 描述 redis默认开启保护模式...加固建议 redis.conf安全设置: # 打开保护模式protected-mode yes 操作时建议做好记录或备份 限制redis 配置文件访问权限 | 文件权限 描述 因为redis密码明文存储在配置文件中...,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600, 加固建议 执行以下命令修改配置文件权限: chmod 600 //redis.conf 操作时建议做好记录或备份...修改默认6379端口 | 服务配置 描述 避免使用熟知的端口,降低被初级扫描的风险 加固建议 编辑文件redis的配置文件redis.conf,找到包含port的行,将默认的6379修改为自定义的端口号...,设置配置项requirepass, 开户密码认证。
如有特殊需求,请务必确保为该功能配置了强口令 加固建议 编辑Tomcat根目录下的配置文件conf/tomcat-user.xml,修改user节点的password属性值为复杂密码, 密码应符合复杂性要求.../error.jsp,在webapps目录下创建error.jsp,定义自定义错误信息 操作时建议做好记录或备份 开启日志记录 | 安全审计...描述 Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位 加固建议 1、修改Tomcat根目录下的conf/server.xml文件。...param-value>false 操作时建议做好记录或备份 删除项目无关文件和目录 | 访问控制 描述 Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录,存在极大安全风险...加固建议 可使用以下方式修复加固 升级到以下安全版本进行防护 版本号 下载地址 Apache Tomcat 7.0.100 http://tomcat.apache.org/download-70.cgi
/bin/bash ###################################### # Linux主机安全基线检查 # Date:2020-12-23 # 使用前请给文件执行权限:chmod...export LANG="$default_LANG" } bk_safe(){ echo "" echo -e "\033[33m********************************Linux...主机安全基线检查***********************************\033[0m" echo "" >> ${scanner_log} echo "*************..."****************************************************" >> ${scanner_log} echo "`hostname -s`远程连接的安全性配置检查结果...echo "****************************************************" >> ${scanner_log} action "[11] 远程连接的安全性配置检查中
给大家分享两个可以搞定的大招: hosts.allow和hosts.deny /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux...然后再次回到linux系统,登录后一次输入如下: #mkdir /root/.ssh 创建一个.ssh的隐藏文件夹 #chmod 700 /root/.ssh 给.ssh的文件夹授权 #vi...6、然后再次使用 #vi /root/.ssh/authorized_keys 并把Xshell的公钥复制到另起一行,以#号开头的在linux当中是标注的意思! ?...10、然后最后一步,我们配置的防火墙只是暂时的关闭,重启电脑后就会失效,所以我需要永久的关闭它 #vi /etc/selinux/config #修改selinux的配置文件 更改“SELINUX...基于密钥认证的配置 # vi /etc/ssh/sshd_config PasswordAuthentication no //禁止使用基于口令认证的方式登陆 PubkeyAuthentication
1、 确保配置了bootloader配置的权限 chown root:root /boot/grub2/grub.cfg chmod og-rwx /boot/grub2/grub.cfg 2、 确保设置了引导程序密码...文件中设置以下参数: kernel.randomize_va_space = 2 运行以下命令来设置内核参数: sysctl -w kernel.randomize_va_space=2 6、 确保已配置...如下所示: MaxAuthTries 4 8、 确保已禁用SSH空密码登录 编辑/etc/ssh/sshd_config文件以设置参数: PermitEmptyPasswords no 9、 确保配置了密码尝试失败的锁定
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
