强化Linux安全的10个技能分别是什么

这篇文章将为大家详细讲解有关强化Linux安全的10个技能分别是什么，文章内容质量较高，因此小编分享给大家做个参考，希望大家阅读完这篇文章后对相关知识有一定的了解。

1.找出不必要的服务

很明显，服务器上跑的服务，并不是每个都有用的。强烈建议检查并关掉不需要的服务，从而减少风险（多跑一个服务，就可能多几个漏洞）。

查询运行在runlevel 3的服务列表：

[afei@afei ~]# /sbin/chkconfig --list |grep '3:on'关闭指定的服务：[afei@afei ~]# chkconfig ip6tables off

疑问：为什么查询runlevel 3的服务？
Linux系统有7个运行级别(runlevel)，分别如下：
runlevel 0：系统停机状态，系统默认运行级别不能设为0，否则不能正常启动；
runlevel 1：单用户工作状态，root权限，用于系统维护，禁止远程登陆；
runlevel 2：多用户状态(没有NFS)；
runlevel 3：完全的多用户状态(有NFS)，登陆后进入控制台命令行模式。这个运行级别的服务会启动httpd，系统提供web server服务，所以主要查看这个运行级别的服务；
runlevel 4：系统未使用，保留；
runlevel 5：X11控制台，登陆后进入图形GUI模式；
runlevel 6：系统正常关闭并重启，默认运行级别不能设为6，否则不能正常启动；

2.检查监听的网络端口

通过netstat命名能够看到所有已经打开的端口，并且可以看到是哪些程序打开的。如果发现某些是必须要的，建议关掉：

[afei@afei~]# netstat -tulpnActive Internet connections (only servers)Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program nametcp 0 0 0.0.0.0:2181 0.0.0.0:* LISTEN 48983/javatcp 0 0 0.0.0.0:2182 0.0.0.0:* LISTEN 49051/java

3.优化CRON任务

linux的cron可以执行一些定时任务。并且还可以通过/etc/cron.allow 和 /etc/cron.deny 控制哪些用户可以运行JOB，哪位用户禁止运行JOB。例如:

允许用户afei允许JOB，执行如下命令：echo afei >> /etc/cron.allow禁止所有用户访问JOB，执行如下命令：echo ALL >>/etc/cron.deny

4.限制用户使用旧密码

linux用户的旧密码保存在文件/etc/security/opasswd中：

[root@LAPP-V1159 ~]# cat /etc/security/opasswdafei:504:4:$1$MVAi/EpJ$iXXkV5r3Hjc8AaK2b5KyQ/,$1$AbpFPYaD$ZKj12lK6qaYUqgQnEdocd0,$1$POabjmzY$F4Cp6aTwN6RRk1KjZWm8A/,$1$LoHe5GHY$QjkLGqABANpLmlQsRB4WE.检查是否有开启限制使用旧密码，在RHEL / CentOS / Fedora系统中，查看文件：/etc/pam.d/system-auth。在Ubuntu/Debian/Linux Mint系统中，查看文件：/etc/pam.d/common-password，需要下面两行关键内容，其中remember=4，表示不能使用最后4次密码，否则会报错：Password has been already used. Choose another.：auth sufficient pam_unix.so nullok try_first_passpassword sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4

5.检查密码过期

密码的过期属性可以通过如下命令查看：

[root@root ~]# chage -l afeiLast password change : Sep 14, 2018Password expires : Nov 13, 2018Password inactive : neverAccount expires : neverMinimum number of days between password change : 0Maximum number of days between password change : 60Number of days of warning before password expires : 7修改密码的过期属性可以执行如下命令：chage -M 60 -W 7 afei说明：-M 60表示密码最大有效期是60天。-W 7 表示密码还有7天过期时给出告警提醒。

6.检查密码为空的用户

密码为空意味着只要知道用户名就能访问，这非常危险。因为用户与密码信息保存在文件/etc/shadow中，且格式如下：

admin:$6$YTSkre3DLd4SAZ$Jy9piv/gPezhLrLzMMeUleV8F5DNjP:17765:0:99:5:::afei:$6$.vMcyE9ss96$YNk2Q5qiS/SAeGCcyEFsmspkC5dr3OXfnN:17788:0:60:7:::后面的几个数字是密码过期等属性信息，上面已经提及。所以，检查密码为空的用户，只需要执行如下命令即可，如果发现有这样的用户，通过root用户执行passwd username强行修改它的密码：cat /etc/shadow | awk -F: '($2==""){print $1}'

7.锁定&解锁用户

和删除用户账户不一样，这个只是限制用户登录。只需要执行如下密码即可锁定&解锁用户：

[root@root ~]# passwd -l afeiLocking password for user afei.passwd: Success[root@root ~]# passwd -u afeiUnlocking password for user afei.passwd: Success

说明：

参数l表示lock，即锁定用户密码；

参数u表示unlock，即解锁用户密码；

8.关闭IPv6

现在IPv6基本上没有实际使用，所以我们可以关掉它，在文件/etc/sysconfig/network中增加如下两行内容即可：

NETWORKING_IPV6=noIPV6INIT=no

9.复查日志

Linux服务器上很多的行为都会有记录相应的日志，简单列举一些如下，如果有一些非法操作，就能从这些日志中造成蛛丝马迹，例如非法登陆，非法定时任务等：

/var/log/message – Where whole system logs or current activity logs are available./var/log/auth.log – Authentication logs./var/log/kern.log – Kernel logs./var/log/cron.log – Crond logs (cron job)./var/log/maillog – Mail server logs./var/log/boot.log – System boot log./var/log/mysqld.log – MySQL database server log file./var/log/secure – Authentication log./var/log/utmp or /var/log/wtmp : Login records file./var/log/yum.log: Yum log files.

10.保持系统更新

总是让系统更新最新发行的补丁包，因为这些补丁包会修复一些BUG：

sudo apt-get upgradeyum check-updateyum upgrade

关于强化Linux安全的10个技能分别是什么就分享到这里了，希望以上内容可以对大家有一定的帮助，可以学到更多知识。如果觉得文章不错，可以把它分享出去让更多的人看到。