加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_丽江站长网 (http://www.0888zz.com/)- 科技、建站、数据工具、云上网络、机器学习!
当前位置: 首页 > 服务器 > 搭建环境 > Linux > 正文

怎么用几个简单的命令改善你的Linux安全

发布时间:2022-07-15 16:29:27 所属栏目:Linux 来源:互联网
导读:本文中,我们将讨论如何通过一些Linux的安全命令,加固你的Linux系统。 在最开始,我们需要问的一个问题是:Linux是已经足够被安全加固了吗?答案当然是否定的。那些娴熟的攻击者所带来的危险是与日俱增的。每天、甚至是每小时都有新的漏洞被发现。对这些漏洞
  本文中,我们将讨论如何通过一些Linux的安全命令,加固你的Linux系统。
 
  在最开始,我们需要问的一个问题是:Linux是已经足够被安全加固了吗?答案当然是否定的。那些娴熟的攻击者所带来的危险是与日俱增的。每天、甚至是每小时都有新的漏洞被发现。对这些漏洞的利用方法通常建立在它们被发现后的数小时之内。一些漏洞甚至直到有人将其利用到攻击的主机上才被发现。可见,安全应该是我们所有人需要关心的。因此,我想在本文中用一些实际的例子来展示如何增强系统的安全性。
 
  一、控制台安全
 
  你可以通过限制能够登录的一组特定终端来限制root用户的访问。为了实现该目的,请编辑/etc/下安全文件的内容。该文件列出的是允许root用户登录的所有设备。
 
  我建议你只允许root用户去登录到一个终端之上,且强制所有其他用户都使用非root用户的身份进行登录。而如果确实需要root用户权限的时候,请使用su命令来获取。
 
  二、密码生命周期
 
  密码的生命周期就是允许你为密码指定一个有效的时间周期。时间到期后,系统将强制要求用户输入一个新的密码。这样有效地确保了密码的定期更换,以及密码在被偷盗、破解或为人所知的情况下能够迅速过期。
 
  有两种方法可以实现这个效果。第一种方法是通过命令行使用如下的改变命令:
 
  $ chage -M 20 likegeeks
 
  我们使用- M选项为likegeeks用户设置了有效期限为20天的密码。
 
  你也可以输入不带任何选项的chage命令,它会自动提示你选项:
 
  $ chage likegeeks
 
  第二种方法是在/etc/login.defs中为所有用户设置默认值。你可以参照下面,按需改变其数值:
 
  PASS_MAX_DAYS 20 PASS_MIN_DAYS 0 PASS_WARN_AGE 5
 
  三、Sudo的通知
 
  Sudo命令虽然可以使得你的“生活”更为轻松,但是它们也会因为Linux的安全问题而毁了你的“生活”。
 
  我们都知道,sudo命令允许非root用户以root身份运行各种命令。你可以在/etc/sudoers文件中查到所有的sudo配置。
 
  你可以禁止用户去运行那些root才能运行的命令。
 
  当sudo命令被使用的时侯,你可以通过在文件中添加如下一行语句,以配置其向外发送电子邮件。
 
  mailto yourname@yourdomain.com
 
  当然你也可以用如下语句改变sudo的发邮件状态:
 
  mail_always on
 
  四、SSH调优
 
  只要说到Linux安全,我们必然会讨论到SSH服务。SSH应该是你系统中重要的一种服务,它使你能够轻松地连接到自己的系统。而且这可能是在出现各种状况的时候,唯一能让你的系统“幸存”的途径。所以对SSH的调优是非常重要的。
 
  由于我们在本文所使用的是CentOS 7,那么其SSH的配置文件就存放在:
 
  /etc/ssh/sshd_config
 
  让我们来深入了解一下吧。
 
  攻击者所使用的扫描器或自动工具一般尝试运用默认端口22来连接SSH。因此通常情况下,你应该改变SSH的原有端口到另一个未使用的端口上,比如说5555。
 
 
  此外,当GSSAPI服务器被要求验证相关用户的身份时,SSH会调用一个不常用的功能来实现GSSAPI的认证方式。为了避免这种情况可能会引起的某种麻烦,请按照如下将GSSAPIAuthentication设为no:
 
  GSSAPIAuthentication no
 
  考虑到SSH通常会出现的超时问题,你可以通过正确地配置ServerAliveInterval、ServerAliveCountMax和TCPKeepAlive的值来进行管控。
 
  例如下面的规则就意味着每隔60秒就产生一个数据包。
 
  ServerAliveInterval 15 ServerAliveCountMax 3 TCPKeepAlive yes
 
  通过调整这些值,你可以提供一个更长的连接。
 
  ClientAliveInterval 30 ClientAliveCountMax 5
 
  你可以通过指定那些被允许用来使用SSH的用户名,从而使得SSH服务更为安全。
 
  AllowUsers user1 user2
 
 
  $ google-authenticator
 
  你的移动手机上应该已经安装了Google authenticator的应用,那么请将下面一行添加到/etc/pam.d/sshd之中。
 
  auth required pam_google_authenticator.so
 
  最后的事情就是通过添加下面一行到/etc/ssh/sshd_config中,以通知SSH。
 
  ChallengeResponseAuthentication yes
 
  然后重启你的SSH:
 
  $ systemctl restart sshd
 
  之后,当你使用SSH登录的时候,它将会询问一个验证码。这便意味着你的SSH已经能够应对暴力破解的攻击,且更为稳固了。

(编辑:应用网_丽江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

        【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

        建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的优质浏览效果

        Copygight © 2013-2023 http://www.0888zz.com/ All Rights Reserved. 应用网_丽江站长网

        ICP备案:浙ICP备12044117号 浙公网安备 33038102330468号