• <td id="ssscw"></td>
  • 北京Linux培訓
    達內北京天壇中心

    010-62126400

    北京linux培訓 > linux知識庫 >25條安全小竅門(下),讓運維2021無洞可漏!

    25條安全小竅門(下),讓運維2021無洞可漏!

    • 時間:2020-12-24 10:23
    • 發布:北京linux培訓
    • 來源:linux知識庫

    25條安全小竅門(下),讓運維2021無洞可漏!下面和達內北京Linux培訓機構一起來看看吧!

    13、如何檢查用戶密碼過期?

    在 Linux 中,用戶的密碼以加密的形式保存在 ‘/etc/shadow‘ 文件中。要檢查用戶的密碼是否過期,你需要使用 ‘chage‘ 命令。它將顯示密碼的最后修改日期及密碼期限的細節信息。這些細節就是系統決定用戶是否必須修改其密碼的依據。

    要查看任一存在用戶的老化信息,如 過期日 和 時長,使用如下命令。

    要修改任一用戶的密碼老化,使用如下命令。

    參數

    -M 設置天數最大數字

    -m 設定天數最小數字

    -W 設定想要的天數

    14、手動鎖定或解鎖用戶賬號

    鎖定和解鎖功能是非常有用的,你可以鎖定一個賬號一周或一個月,而不是將這個賬號從系統中剔除。可以用下面這個命令鎖定一個特定用戶。

    提示:這個被鎖定的用戶僅對root用戶仍然可見。這個鎖定是通過將加密過的密碼替換成(!)來實現的。如果有個想用這個賬號來進入系統,他會得到類似下面這個錯誤的提示。

    解鎖一個被鎖定的賬號時,用下面這個命令。這命令會將被替換成(!)的密碼改回來。

    15、增強密碼

    有相當數量的用戶使用很弱智的密碼,他們的密碼都可以通過字典攻擊或者暴力攻擊攻破。‘pam_cracklib‘模塊存于在PAM 中,它可以強制用戶設置復雜的密碼。通過編輯器打開下面的文件。

    在文件中增加一行,使用認證參數(lcredit, ucredit, dcredit 或者 ocredit 對應小寫字母、大寫字母,數字和其他字符)

    16、啟用IPtable(防火墻)

    高度推薦啟用linux防火墻來禁止非法程序訪問。使用iptable的規則來過濾入站、出站和轉發的包。我們可以針對來源和目的地址進行特定udp/tcp端口的準許和拒絕訪問。

    17、禁止Ctrl+Alt+Delete重啟

    在大多數的linux發行版中,按下‘CTRL-ALT-DELETE’將會讓你的系統重啟。只說生產服務器上這是不是一個很好的做法,這可能導致誤操作。

    這個配置是在‘ /etc/inittab‘文件,如果你打開這個文件,你可以看到下面類似的段落。默認的行已經被注釋掉了。我們必須注釋掉他。這個特定按鍵會讓系統重啟。

    18、檢查空密碼賬號

    任何空密碼的賬戶意味這可以讓Web上任何無授權的用戶訪問,這是linux服務器的一個安全威脅。所以,確定所有的用戶擁有一個復雜的密碼并且不存在特權用戶。空密碼帳號是安全風險,可以被輕易的攻克。可以利用下面的命令來檢查是否有空密碼賬戶存在。

    19、登錄前顯示SSH提示

    在ssh認證時候,使用一個法律和安全警示是很好的建議。

    20、監視用戶行為

    如果你有很多的用戶,去收集每一個用戶的行為和和他們的進程消耗的信息非常重要。可以隨后和一些性能優化和安全問題處理時進行用戶分析。但是如果監視和搜集用戶行為信息呢 ?

    有兩個很有用的工具‘psacct‘ 和 ‘acct‘可以用來監視系統中用戶的行為和進程。這些工具在系統后臺執行并且不斷記錄系統中每一個用戶的行為和各個服務比如Apache, MySQL, SSH, FTP, 等的資源消耗。

    21、定期查看日志

    將日志移動到專用的日志服務器里,這可避免入侵者輕易的改動本地日志。下面是常見linux的默認日志文件及其用處:

    22、重要文件備份

    在生產環境里,為了災難恢復,有必要將重要文件備份并保存在安全的遠程磁帶保險庫、遠程站點或異地硬盤。

    23、NIC 綁定

    有兩種類型的NIC綁定模式,需要在綁定接口用得到。

    mode=0 – 循環賽模式

    mode=1 – 激活和備份模式

    NIC綁定可以幫助我們避免單點失敗。在NIC綁定中,我們把兩個或者更多的網卡綁定到一起,提供一個虛擬的接口,這個接口設置ip地址,并且和其他服務器會話。這樣在一個NIC卡down掉或者由于其他原因不能使用的時候,我們的網絡將能保持可用。

    24、保持 /boot 只讀

    linux內核和他的相關的文件都保存在/boot目下,默認情況下是可以讀寫的。把它設為了只讀可以減少一些由于非法修改重要boot文件而導致的風險。

    在文件最后增加下面的行,并且保存

    如果你今后需要升級內核的話,你需要修回到讀寫模式。

    25、忽略ICMP和Broadcast請求

    在/etc/sysctl.conf中添加下面幾行,屏蔽掉ping和broadcast請求。

    運行下面這一行加載修改或更新

    如果你覺得了上述安全小貼士很好用,或還有什么其它需要補充進去,請在下面的評論框里寫寫,不斷追求進步的TecMint一如既往地愿意聽到您的評論、建議以及討論。

    達內北京Linux培訓機構為幫助零基礎想轉行的學員選對方向,特推出為期5天26門熱門互聯網技術任意免費學,12月免費課程搶先中!運維技術免費學,莫錯良機!

    上一篇:25條安全小竅門(上),讓運維2021無洞可漏!
    下一篇:10條命令即可檢查Linux服務器性能!

    馬上預約七天免費體驗課

    姓名:

    電話:

    達內北京Linux培訓:關于故障排查和修復技巧!

    2021年的運維高薪技能點都有哪些?

    能讓運維加薪的26個技巧,快來學習吧!

    運維加固Linux工作站的 6 個方法!

    • 關注微信公眾號

      回復關鍵字:視頻資料

      免費領取 達內課程視頻學習資料

    • 視頻學習QQ群

      添加QQ群:1143617948

      免費領取達內課程視頻學習資料

    Copyright ? 2018 Tedu.cn All Rights Reserved 京ICP備08000853號-56 京公網安備 11010802029508號 達內時代科技集團有限公司 版權所有

    選擇城市和中心
    江西省

    貴州省

    廣西省

    海南省

    中国农村夫妇做人爱视频,亚洲91在线97,欧美色在线精品视频,7m视频最新的路线二