Linux主机登陆加固

提兵百万西湖上,立马吴山第一峰!这篇文章主要讲述Linux主机登陆加固相关的知识,希望能为你提供帮助。
1、严格限制ssh登陆

修改ssh默认监听端口
禁用root登陆,单独设置用于ssh登陆的账号或组;
禁用密码登陆,采用证书登陆;
ListenAddress绑定本机内网ip,即只能ssh连接本机的内网ip进行登陆;

2、对登陆的ip做白名单限制
iptables、/etc/hosts.allow、/etc/hosts.deny
如果当iptables、hosts.allow和hosts.deny三者都设置时或设置出现冲突时,遵循的优先级是hosts.allow > hosts.deny > iptables
a、iptables和hosts.allow设置一致,hosts.deny不设置。如果出现冲突,以hosts.allow设置为主。
cat /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 114.165.77.144 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 133.110.186.130 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

cat /etc/hosts.allow
sshd:192.168.1.*,114.165.77.144,133.110.186.130,133.110.186.139:allow(最后的allow可以省略)

b、hosts.allow不设置,iptables和hosts.deny设置(二者出现冲突,以hosts.deny为主)
cat /etc/sysconfig/iptables
-A INPUT -s 192.168.1.0/24 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 114.165.77.144 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -s 133.110.186.130 -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

cat /etc/hosts.deny
sshd:133.110.186.130:deny

c、当iptables、hosts.allow、hosts.deny三者都设置时,遵循的hosts.allow

d、hosts.deny不动,在hosts.allow里面设置deny(表示除了上面的ip之外都被限制登陆了)
sshd:192.168.1.*,114.165.77.144,133.110.186.130,133.110.186.139:allow
sshd:all:deny

【Linux主机登陆加固】3、堡垒机
其他机器做白名单后只能通过堡垒机登陆,将机房服务器的登陆进去的口子收紧

4、严格的sudo控制

5、使用chattr命令锁定服务器上重要信息文件
/etc/passwd、/etc/group、/etc/shadow、/etc/sudoers、/etc/sysconfig/iptables、/var/spool/cron/root等

6、禁ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all



    推荐阅读