提兵百万西湖上,立马吴山第一峰!这篇文章主要讲述Linux主机登陆加固相关的知识,希望能为你提供帮助。
1、严格限制ssh登陆
修改ssh默认监听端口
禁用root登陆,单独设置用于ssh登陆的账号或组;
禁用密码登陆,采用证书登陆;
ListenAddress绑定本机内网ip,即只能ssh连接本机的内网ip进行登陆;
2、对登陆的ip做白名单限制
iptables、/etc/hosts.allow、/etc/hosts.deny
如果当iptables、hosts.allow和hosts.deny三者都设置时或设置出现冲突时,遵循的优先级是hosts.allow > hosts.deny > iptables
a、iptables和hosts.allow设置一致,hosts.deny不设置。如果出现冲突,以hosts.allow设置为主。
cat /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 114.165.77.144 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 133.110.186.130 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
cat /etc/hosts.allow
sshd:192.168.1.*,114.165.77.144,133.110.186.130,133.110.186.139:allow(最后的allow可以省略)
b、hosts.allow不设置,iptables和hosts.deny设置(二者出现冲突,以hosts.deny为主)
cat /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 114.165.77.144 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 133.110.186.130 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
cat /etc/hosts.deny
sshd:133.110.186.130:deny
c、当iptables、hosts.allow、hosts.deny三者都设置时,遵循的hosts.allow
d、hosts.deny不动,在hosts.allow里面设置deny(表示除了上面的ip之外都被限制登陆了)
sshd:192.168.1.*,114.165.77.144,133.110.186.130,133.110.186.139:allow
sshd:all:deny
【Linux主机登陆加固】3、堡垒机
其他机器做白名单后只能通过堡垒机登陆,将机房服务器的登陆进去的口子收紧
4、严格的sudo控制
5、使用chattr命令锁定服务器上重要信息文件
/etc/passwd、/etc/group、/etc/shadow、/etc/sudoers、/etc/sysconfig/iptables、/var/spool/cron/root等
6、禁ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
推荐阅读
- docker-Namespace隔离
- 7 个可以替换 Windows 任务管理器的工具
- 10个用来查找和删除重复文件的工具
- -LVM管理和ssm存储管理器使用
- 干货MySQL 数据库定时备份总结
- 带你彻底击溃跳表原理及其Golang实现!(内含图解)
- (Spring+SpringMVC+MyBatis)SSM三大框架整合
- Docker和虚拟机有什么不同(哪个好?)
- Linux系统常见的日志文件及优先级别!