0x001 Linux安全简介 目前,大多数企业在应用中往往是 Linux、Unix 和 Windows 操作系统共存形成异构网络。...就安全性而言,Linux 相对于 Windows 具有更多的优势。但是,不管选择哪一种 Linux 发行版本,在安装完成以后都应该进行一些必要的配置,来增强它的安全性。.../dev: dev是Device(设备)的缩写, 该目录下存放的是Linux的外部设备,在Linux中访问设备的方式和访问文件的方式是相同的。.../media: linux 系统会自动识别一些设备,例如U盘、光驱等等,当识别后,linux会把识别的设备挂载到这个目录下。...检查网络参数 **操作目的:** Linux 中提供了 `sysctl` 命令,可调整网络参数 **检查方法:** 使用命令 `sysctl -a` 查看当前网络参数 **加固方法:** 使用命令
image.png 10 文件系统安全 chattr +i xxx ? image.png ? image.png 11 文件权限检查和修改 ? image.png ?
1、账号安全 系统账号清理 1)将非登录用户shell设为/sbin/nologin 2)锁定长期不使用的账号 3)删除无用的账号 4)锁定账号文件passwd...
SELinux SELinux(Security-Enhanced Linux)是一种基于 域-类型 模型(domain-type)的强制访问控制(MAC)安全系统,它由NSA编写并设计成内核模块包含到内核中...原来,它在DAC之外,设计了一个新的安全模型,叫MAC(Mandatory Access Control 强制访问控制)。...关于DAC和MAC: Linux系统先做DAC检查。如果没有通过DAC权限检查,则操作直接失败。通过DAC检查之后,再做MAC权限检查。...他们之间就是一种操作和被操作,或者说使用与被使用的关系。进程能发起动作,例如它能打开文件并操作它。而文件只能被进程操作。...range : SELinux为了满足军用和教育行业而设计的Multi-LevelSecurity(MLS)机制。
ssh命令是openssh套件中的客户端连接工具,可以给予ssh加密协议实现安全的远程登录服务器,实现对服务器的远程管理。
对称加密算法 DES 3DES RC-5 IDEA AES 优点:加密效率高 缺点:加密强度低、分发困难
远程执行管理员权限操作,应先以普通权限用户远程登录后,再切换到超级管理员权限账号后执行相应操作。...查看新建的文件或目录的权限,操作举例如下: #ls -l dir; #查看目录dir的权限 #cat /etc/default/login /etc/default/login不存在 (查看是否有umask027...rpm -qi $(rpm -qf /etc/rc.d/init.d/sshd) chkconfig –level 2345 服务名称 off 9.检查补丁安全,是否在确保业务不受影响的情况下及时更新操作系统补丁...service -–status-all | grep syslog 在root权限下,使用命令more、cat或vi查看 /var/log/message 系统启动后的信息和错误日志,是Red Hat Linux
Linux 系统安全与优化配置 Linux 系统安全问题 ---- 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3....Linux 系统资源调配 4.1. /etc/security/limits.conf 4.2. 关闭写磁盘I/O功能 5....Shell 安全 2.1. .history 文件 SA的操作记录问题 通过~/.bash_history文件记录系统管理员的操作记录,定制.bash_history格式 HISTSIZE...Linux 系统资源调配 4.1....关闭写磁盘I/O功能 对于某些文件没必要记录文件的访问时间,由其是在高并发的IO密集操作的环境下,通过两个参数可以实现noatime,nodiratime减少不必要的系统IO资源。
Linux中,日志轮转和切割这个服务是由 logrotate 提供的。logrotate这个程序的目录:/etc/cron.daily/logrotate 。...maillog:记录邮件的存取和往来; /var/log/cron:用来记录crontab定时任务的记录; /var/log/httpd:http服务的记录 /var/log/audit:包含被 Linux...audit daemon储存的信息 /var/log/dmesg:内核日志; /var/log/cpus:CPU的处理信息; /var/log/anaconda.log:在安装Linux时,所有的安装信息记录
系统安全和系统保护设计 要保证数据安全和系统稳定可用,我们应当全方位地对系统进行保护,这里主要分为两个层面。 一是系统的安全方面,这主要是面向非法入侵、非法请求的。...第一部分:系统安全设计 对于系统的安全防范,需要从全方位、多角度做工作,以确保整个业务链路、整个体系范围都能保证安全。以下就从多个角度来说明如何进行系统安全设计。...由于运维工具功能的不完善和滞后性,我们往往不得不直接登录到服务器上去直接执行命令,进行日志维护、服务进程维护、服务器维护等操作。由于已经直接触达服务器本身,因此这也是整个系统安全最高危的部分。...但从设计上,也应当留有多个方面的合规审计空间。 操作审计 记录用户的操作对象和操作历史。 权限审计 对权限的分配和变更,做严格的控制和记录,避免授予的权限不必要的扩大。...此时就需要防御性设计和防御性编程的思想,以此来保证我们的程序能够适应更广泛的输入错误,不至于在意外输入时而崩溃。 总结 以上简略地描述了做好系统安全设计和系统保护设计需要做的工作,具体没有展开。
学安全的我们,经常会听到说获得某服务器的shell,就是指获得某个服务器的操作权限。我们学习linux时,经常会遇到bash,bash也是指的是某个服务器的权限。那么,这两者有什么区别和联系呢?...我们先来看一些Linux系统的结构 ? 位于最内层的是硬件,然后是Linux系统内核。shell介于用户和系统内核之间。 那么shell的功能是什么呢?...然后将其传给系统内核,内核再调用硬件来操作。 shell script 我们很容易知道“Shell Script”指的是针对shell所写的脚本。...bash bash (Bourne Again shell),它是Linux操作系统缺省的shell,是Bourne shell的扩展,简称Bash,与Bourne shell完全向后兼容,并且在Bourne...而且在Redhat系列的Linux 操作系统中的 /bin/sh 是 /bin/bash 的符号链接。所以,用 sh执行脚本和bash 执行脚本,效果是一样的。所以我们通常会在脚本第一行写 #!
Linux 系统安全与优化配置 目录 1. Openssh 安全配置 1.1. 禁止root用户登录 1.2. 限制SSH验证重试次数 1.3. 禁止证书登陆 1.4....Linux 系统资源调配 4.1. /etc/security/limits.conf 4.2. 关闭写磁盘I/O功能 5....Shell 安全 2.1. .history 文件 SA的操作记录问题 通过~/.bash_history文件记录系统管理员的操作记录,定制.bash_history格式 HISTSIZE...Linux 系统资源调配 4.1....关闭写磁盘I/O功能 对于某些文件没必要记录文件的访问时间,由其是在高并发的IO密集操作的环境下,通过两个参数可以实现noatime,nodiratime减少不必要的系统IO资源。
基本的系统安全 物理安全和登录安全 禁用root登录和sudo 可插拔认证模块(PAM) 基于PAM的口令安全和口令策略 基于PAM的访问控制 1、基本的系统安全 安全的磁盘布局 使用挂装选项提高文件系统的安全性...例如: /dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0 方法二:如果对/etc/fstab文件操作不熟,建议通过Linuxconf程序来修改。 ...执行系统管理命令时无需知道超级用户的口令 适用于系统中有多个系统管理员的情况 允许 root 为几个用户或组委派权利,使之能运行部分或全部由 root (或另一个)用户执行的命令 sudo 设计者的宗旨...重启iptables 服务 service iptables restart #测试两个端口是否都能连上,连上后再将22端口删除 八、更安全措施:禁止帐号登录,使用pubkey登录 4、系统安全记录文件... 操作系统内部的记录文件是检测是否有网络入侵的重要线索。
last:查看最近登录成功的用户及信息,该命令是读取的是 /var/log/wtmp 文件
登陆linux启动bash时首先会去读取~/.bash_profile文件,这样~/.bashrc也就得到执行了,你的个性化设置也就生效了。
所有的su、sudo、操作,必须在系统日志文件中进行记录。 禁止使用ctrl+alt+del快捷键,只开放tty3、tty5终端,为GRUB引导菜单设置密码。...授权 通过visudo命令,授权用户zhangsan使用useradd、userdel、passwd、usermod命令,但禁止其执行“passwd root” 、 “usermod * root”操作...分别以zhangsan、lisi用户登录验证sudo操作。 如下图:zhangsan用户可以修改lisi密码(需要验证zhangsan密码),但不能修改root密码 ?...两台linux计算机,配置ip为192.168.1.0网段。(分别时1.10和1.20)一台安装NMAP扫描软件,另外一台安装ftp和http服务,并启动服务。 先扫描一下本机开放那些端口。
Linux系统安全配置Iptables服务 Linux防火墙介绍 Linux系统防火墙功能是由内核实现的,从2.4版本之后的内核中,包过滤机制是netfilter,管理工具是iptables netfilter...位于系统内核中的包过滤防火墙功能体系,被称为Linux防火墙的“内核态” iptables 位于/sbin/iptables,是用来管理防火墙的命令工具,被称为linux防火墙的“用户态” iptables
加固:修改用户名以及管理员组和用户的磁盘文件操作权限 Labs2-NTFS权限管理 概念: 二、标准NTFS文件夹权限的类型 读取:此权限可以查看文件夹内的文件名称,子文件夹的属性。...虽然删除的文件可以通过Shadow Copy或其他备份手段找回,但 毕竟麻烦,如果能让系统记录这一事件就比较好了 ,有系统记录就 推脱不了了,通过Windows的审核对象功能,就可以实现用户对文 件操作的监控了...即可限制用户对程序的一个操作。 根据HASH值做的访问控制,移动程序/脚本到其他路径 无法突破策略。
设置sshd,禁用root 例子: vim /etc/ssh/sshd_config PermitRootLogin yes => PermitRootLogi...
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
