Maison >Opération et maintenance >exploitation et maintenance Linux >Comment effectuer un renforcement de la sécurité et une réparation des vulnérabilités sur les systèmes Linux

Comment effectuer un renforcement de la sécurité et une réparation des vulnérabilités sur les systèmes Linux

PHPz
PHPzoriginal
2023-11-07 10:19:00872parcourir

Comment effectuer un renforcement de la sécurité et une réparation des vulnérabilités sur les systèmes Linux

Alors que chaque entreprise devient de plus en plus dépendante d'Internet, la cybersécurité devient de plus en plus une priorité organisationnelle. À cet égard, les systèmes Linux constituent un bon point de départ. En raison de ses caractéristiques open source, de son utilisation généralisée et de l’absence d’autorisation, le système Linux est devenu le système d’exploitation de choix pour de nombreuses organisations et entreprises. Cependant, les risques liés aux systèmes Linux augmentent également. Cet article explique comment renforcer et réparer les vulnérabilités du système Linux et fournit des exemples de code pour vous aider à configurer un système Linux plus sécurisé.

Tout d'abord, nous devons nous concentrer sur ces aspects : la gestion des utilisateurs, les autorisations des fichiers et des répertoires, la configuration du réseau et du serveur et la sécurité des applications. Des mesures détaillées et un exemple de code pour chaque aspect sont décrits ci-dessous.

  1. Gestion des utilisateurs

Mots de passe forts

Développez une politique de mot de passe qui oblige les utilisateurs à choisir des mots de passe complexes et à modifier régulièrement leurs mots de passe.

#强制用户选择具备最低密码强度的密码
auth requisite pam_passwdqc.so enforce=users
#强制/用户更改自己的密码
auth required pam_warn.so
auth required pam_passwdqc.so min=disabled,disabled,12,8,7
auth required pam_unix.so remember=24 sha512 shadow

Interdire la connexion à distance root

Il est recommandé que seuls les utilisateurs disposant des autorisations root puissent se connecter directement. Configurez PermitRootLogin dans /etc/ssh/sshd_config sur no.

Délai d'expiration de connexion

Les paramètres de délai d'attente peuvent garantir une déconnexion automatique après une période d'inactivité. Définissez comme suit dans /etc/profile ou ~/.bashrc :

#设置空闲登陆超时退出时间为300秒
TMOUT=300
export TMOUT
  1. Autorisations de fichiers et de répertoires

Configuration par défaut

La configuration par défaut permettra à tous les utilisateurs d'afficher tous les fichiers et répertoires. Ajoutez le contenu suivant au fichier /etc/fstab :

tmpfs /tmp            tmpfs defaults,noatime,mode=1777 0  0
tmpfs /var/tmp        tmpfs defaults,noatime,mode=1777 0  0
tmpfs /dev/shm        tmpfs defaults,noatime,mode=1777 0  0

Déterminez les autorisations pour les fichiers et répertoires sensibles

L'accès doit être limité à des groupes d'utilisateurs ou à des individus spécifiques. Utilisez les commandes chown et chmod pour modifier les autorisations des fichiers et des répertoires. L'exemple suivant consiste à définir un répertoire qui ne peut être modifié que par l'utilisateur root :

#修改某目录只能root用户修改
chown root /etc/cron.deny
chmod 600 /etc/cron.deny

Vérifiez le SUID, le SGID et les Sticky Bits

SUID (Set ID utilisateur), SGID (Set group ID), Sticky Bit et d'autres bits sont des marques de sécurité dans le système Linux et doivent être audités régulièrement. La commande suivante est utilisée pour rechercher les conditions d'autorisation non qualifiées :

#查找SUID权限未被使用的文件和目录
find / -perm +4000 ! -type d -exec ls -la {} ; 2>/dev/null
#查找SGID权限未被使用的文件和目录
find / -perm +2000 ! -type d -exec ls -la {} ; 2>/dev/null
#查找粘滞位未设置的目录
find / -perm -1000 ! -type d -exec ls -la {} ; 2>/dev/null
  1. Configuration du réseau et du serveur

Firewall

iptables est l'une des applications de pare-feu les plus couramment utilisées sous Linux. L'exemple de code suivant bloque tous les accès entrants :

#清空所有规则和链
iptables -F
iptables -X
#允许所有本地进出的通信,并拒绝所有远程的访问
iptables -P INPUT DROP
iptables -P OUTPUT DROP
#添加规则
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Restreindre l'accès aux services

Certains services ne doivent être exécutés que localement et il existe un grand risque d'accès depuis l'extérieur. Développez des règles dans les répertoires /etc/hosts.allow et /etc/hosts.deny pour limiter le temps d'accès, l'adresse IP et d'autres informations au service.

  1. Sécurité des applications

Mise à jour des packages logiciels

Les logiciels du noyau et de l'espace utilisateur nécessitent des mises à jour régulières pour résoudre les bogues et les vulnérabilités connus. Vous pouvez utiliser yum, rpm et d'autres outils pour mettre à jour les progiciels. Un exemple de code est donné ci-dessous :

#更新已安装的所有软件包
yum -y update
#更新单个软件包
yum -y update <package>

Évitez d'utiliser l'utilisateur root pour exécuter des applications

Lors de l'exécution d'applications, vous devez utiliser des utilisateurs non privilégiés et ne pas utiliser d'utilisateurs root pour exécuter des applications.

Compiler la bibliothèque de liens statiques

La bibliothèque de liens statiques contient toutes les dépendances pour l'écriture d'applications, ce qui peut empêcher d'autres utilisateurs de falsifier les packages dépendants. L'exemple de code est donné ci-dessous :

#编译静态链接库
gcc -o app app.c -static

Conclusion

Le travail de renforcement de la sécurité et de réparation des vulnérabilités du système Linux ne s'arrête pas là, mais les mesures ci-dessus peuvent nous aider à renforcer la sécurité du système Linux. Il convient de noter que ces mesures ne peuvent pas garantir pleinement la sécurité du système. Les organisations et les entreprises doivent prendre plusieurs mesures pour assurer la sécurité.

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!

Déclaration:
Le contenu de cet article est volontairement contribué par les internautes et les droits d'auteur appartiennent à l'auteur original. Ce site n'assume aucune responsabilité légale correspondante. Si vous trouvez un contenu suspecté de plagiat ou de contrefaçon, veuillez contacter admin@php.cn