Linux および Unix サーバーのセキュリティを強化する方法-Linuxの運用と保守-php.cn

ホームページ

運用・保守

Linuxの運用と保守

Linux および Unix サーバーのセキュリティを強化する方法

PHPz

May 19, 2023 pm 02:43 PM

linuxunix

1. システムセキュリティ記録ファイル

オペレーティングシステム内の記録ファイルは、ネットワーク侵入があるかどうかを検出するための重要な手がかりとなります。システムがインターネットに直接接続されており、多くの人がシステムに Telnet/FTP ログインを試行していることがわかった場合は、「#more /var/log/secure grep拒否」を実行してシステムへの攻撃をチェックできます。 Telnet/rlogin の代わりに ssh を使用するなどの対応策を講じることができます。

2. 起動とログインのセキュリティ

1. BIOS セキュリティ

BIOS パスワードを設定し、ブートシーケンスを変更して、フロッピーディスクからのシステムのブートを禁止します。

2.ユーザーパスワード

ユーザーパスワードは、Linux セキュリティの基本的な開始点です。多くの人が使用するユーザーパスワードは単純すぎるため、侵入者への扉を開いてしまいます。理論上は、十分な時間とリソースがある限り、インターネットセキュリティの助けを借りれば、解読できないユーザーパスワードはありませんが、適切に選択されたパスワードを解読するのは困難です。より良いユーザーパスワードは、そのユーザーだけが簡単に覚えて理解できる文字列であり、決してどこにも書き出すべきではありません。

3.デフォルトアカウント

は、オペレーティングシステム自体によって開始されるすべての不要なアカウントを禁止する必要があります。これは、システムを初めてインストールするときに行う必要があります。Linux には多くのデフォルトアカウントが用意されており、アカウントの数が増えるほど、優れているほど、システムは攻撃に対して脆弱になります。

次のコマンドを使用してアカウントを削除できます。

# userdel用户名

または、次のコマンドを使用してグループユーザーアカウントを削除します。

rreeee

4.パスワードファイル

chattr コマンドは、権限のないユーザーがアクセス許可を取得できないように、次のファイルに変更不可能な属性を追加します。

rreeee

5. ctrl alt delete コマンドを無効にしてマシンを再起動します。

/etc/inittab ファイルを変更し、「ca::ctrlaltdel:/sbin/shutdown -t3 -r now」行をコメントアウトします。。次に、/etc/rc.d/init.d/ ディレクトリ内のすべてのファイルの権限をリセットし、次のコマンドを実行します。

# groupdel username

これにより、root のみが上記のすべてのスクリプトの読み取り、書き込み、または実行を行うことができます。ファイル。

6. su コマンドを制限する

誰も root として su できないようにするには、/etc/pam.d/su ファイルを編集して、次の 2 行を追加します。

# chattr +i /etc/passwd

# chattr +i /etc/shadow

# chattr +i /etc/group

# chattr +i /etc/gshadow

現時点では、isd グループユーザーのみが root として su になれます。その後、ユーザー admin が root として su できるようにしたい場合は、コマンド

# chmod -r 700 /etc/rc.d/init.d/*

7 を実行します。ログイン情報の削除

デフォルトでは、ログインプロンプト情報には、Linux ディストリビューションのバージョン、カーネルのバージョン名、サーバーのホスト名などが含まれます。高度なセキュリティ要件を備えたマシンの場合、これにより漏洩する情報が多すぎます。 /etc/rc.d/rc.local を編集して、システム情報を出力する次の行をコメント化できます。

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=isd

次に、次の操作を実行します:

# usermod -g10 admin

3. ネットワークアクセスを制限します

1。 nfs access

nfs ネットワークファイルシステムサービスを使用する場合は、/etc/exports のアクセス許可設定が最も制限されていることを確認する必要があります。つまり、ワイルドカードを使用せず、root 書き込み許可を許可しないことを意味します。読み取り専用ファイルシステムとしてのみマウントされます。ファイル /etc/exports を編集し、次の 2 行を追加します。

# this will overwrite /etc/issue at every boot. so， make any changes you

# want to make to /etc/issue here or you will lose them when you reboot.

# echo "" > /etc/issue

# echo "$r" >> /etc/issue

# echo "kernel $(uname -r) on $a $(uname -m)" >> /etc/issue

# cp -f /etc/issue /etc/issue.net

# echo >> /etc/issue

/dir/to/export は出力するディレクトリ、host.mydomain.com はこのディレクトリにログインしているマシンの名前、ro は読み取り専用システムとしてマウントすることを意味し、root_squash はroot がディレクトリへの書き込みを禁止します。変更を有効にするには、次のコマンドを実行します。

rreeee

2。 inetd 設定

まず、/etc/inetd.conf の所有者が root であり、ファイルのアクセス許可が 600 に設定されていることを確認します。設定完了後は「stat」コマンドで確認できます。

# rm -f /etc/issue

# rm -f /etc/issue.net

# touch /etc/issue

# touch /etc/issue.net

次に、/etc/inetd.conf を編集して次のサービスを無効にします。

/dir/to/export host1.mydomain.com(ro，root_squash)

/dir/to/export host2.mydomain.com(ro，root_squash)

ssh/scp がインストールされている場合は、telnet/ftp を無効にすることもできます。変更を有効にするには、次のコマンドを実行します:

# /usr/sbin/exportfs -a

デフォルトでは、ほとんどの Linux システムはすべてのリクエストを許可しており、tcp_wrappers を使用してシステムのセキュリティを強化するのは簡単です。/etc / を変更できます。 hosts.deny および /etc /hosts.allow を使用してアクセス制限を強化します。たとえば、/etc/hosts.deny を「all: all」に設定すると、デフォルトですべてのアクセスが拒否されます。次に、許可されたアクセスを /etc/hosts.allow ファイルに追加します。たとえば、「sshd: 192.168.1.10/255.255.255.0 Gate.openarch.com」は、IP アドレス 192.168.1.10 とホスト名gate.openarch.com が ssh 経由で接続できることを意味します。

設定が完了したら、tcpdchk を使用して次のことを確認できます。

# chmod 600 /etc/inetd.conf

tcpchk は tcp_wrapper 設定チェックツールで、tcp ラッパー設定をチェックし、見つかったすべての潜在的/既存の問題をレポートします。

3.ログイン端末設定

/etc/securetty ファイルは、root ログインを許可する tty デバイスを指定します。これは、/bin/login プログラムによって読み取られます。その形式は、許可された名前のリストです。/etc/securetty は編集できます次の行をコメントアウトします。

ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

現時点では、root は tty1 端末にのみログインできます。

4.システムおよびバージョン情報を表示しないようにします。

リモートログインユーザーにシステム情報とバージョン情報を表示させたくない場合は、次の操作を通じて /etc/inetd.conf ファイルを変更できます。

#killall -hup inetd

-h を追加して、Telnet であることを示します。システム情報は表示されず、「login:」のみが表示されます。

4. 攻撃を防ぐ

1. ping をブロックする誰もシステムに ping を送信できない場合、セキュリティは自然に強化されます。これを行うには、/etc/rc.d/rc.local ファイルに

# tcpdchk

2 という行を追加します。 IP スプーフィングを防止する

编辑host.conf文件并增加如下几行来防止ip欺骗攻击。

order bind，hosts

multi off

nospoof on

3．防止dos攻击

对系统所有的用户设置资源限制可以防止dos类型攻击。如最大进程数和内存使用数量等。例如，可以在/etc/security/limits.conf中添加如下几行：

* hard core 0
* hard rss 5000
* hard nproc 20

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

session required /lib/security/pam_limits.so

上面的命令禁止调试文件，限制进程数为50并且限制内存使用为5mb。

以上がLinux および Unix サーバーのセキュリティを強化する方法の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。

声明

この記事は亿速云で複製されています。侵害がある場合は、admin@php.cn までご連絡ください。

Linuxのメンテナンスモード：それを使用する時期と理由Apr 25, 2025 am 12:15 AM

Linuxメンテナンスモードを使用するタイミングと理由：1）システムが起動するとき、2）主要なシステムの更新またはアップグレードを実行するとき、3）ファイルシステムメンテナンスを実行するとき。メンテナンスモードは、安全で制御された環境を提供し、運用上の安全性と効率を確保し、ユーザーへの影響を減らし、システムセキュリティを強化します。

Linux：必須コマンドと操作Apr 24, 2025 am 12:20 AM

Linuxの不可欠なコマンドは次のとおりです。1.LS：リストディレクトリの内容; 2.CD：作業ディレクトリを変更します。 3.mkdir：新しいディレクトリを作成します。 4.RM：ファイルまたはディレクトリを削除します。 5.CP：ファイルまたはディレクトリをコピーします。 6.MV：ファイルまたはディレクトリの移動または名前を変更します。これらのコマンドは、カーネルと対話することにより、ユーザーがファイルとシステムを効率的に管理するのに役立ちます。

Linux操作：ファイル、ディレクトリ、およびアクセス許可の管理Apr 23, 2025 am 12:19 AM

Linuxでは、ファイルおよびディレクトリ管理ではLS、CD、MKDIR、RM、CP、MVコマンドを使用し、許可管理はCHMOD、CHOWN、およびCHGRPコマンドを使用します。 1。LS-Lなどのファイルおよびディレクトリ管理コマンドは、詳細情報、MKDIR-Pを再帰的に作成するディレクトリを再帰的に作成します。 2。CHMOD755FILEセットファイル許可、CHOWNUSERFILEファイル所有者、CHGRPGROUPFILEの変更ファイルグループなどの許可管理コマンド。これらのコマンドは、ファイルシステム構造とユーザーおよびグループシステムに基づいており、システムコールとメタデータを介して動作および制御します。

Linuxのメンテナンスモードとは何ですか？説明したApr 22, 2025 am 12:06 AM

メンテナンスメモデンリンリンアスピアルブーテンビロンメント、criticalsystemmaincencetasks.itallowsadministratorstopertopertopertopersetstingtingpasswords、Repainingfilesystems、およびRecoveringfrombootfailurureSinaMinimalenvironment.

Linux：基本的な部分に深く潜りますApr 21, 2025 am 12:03 AM

Linuxのコアコンポーネントには、カーネル、ファイルシステム、シェル、ユーザー、カーネルスペース、デバイスドライバー、パフォーマンスの最適化とベストプラクティスが含まれます。 1）カーネルは、ハードウェア、メモリ、プロセスを管理するシステムのコアです。 2）ファイルシステムはデータを整理し、Ext4、BTRFS、XFSなどの複数のタイプをサポートします。 3）シェルは、ユーザーがシステムと対話するためのコマンドセンターであり、スクリプトをサポートします。 4）システムの安定性を確保するために、ユーザースペースをカーネルスペースから分離します。 5）デバイスドライバーは、ハードウェアをオペレーティングシステムに接続します。 6）パフォーマンスの最適化には、システム構成とベストプラクティスのチューニングが含まれます。

Linuxアーキテクチャ：5つの基本コンポーネントを発表しますApr 20, 2025 am 12:04 AM

Linuxシステムの5つの基本コンポーネントは次のとおりです。1。Kernel、2。Systemライブラリ、3。Systemユーティリティ、4。グラフィカルユーザーインターフェイス、5。アプリケーション。カーネルはハードウェアリソースを管理し、システムライブラリは事前コンパイルされた機能を提供し、システムユーティリティはシステム管理に使用され、GUIは視覚的な相互作用を提供し、アプリケーションはこれらのコンポーネントを使用して機能を実装します。

Linux操作：メンテナンスモードを利用しますApr 19, 2025 am 12:08 AM

Linuxメンテナンスモードは、Grubメニューから入力できます。特定の手順は次のとおりです。1）GRUBメニューのカーネルを選択し、「E」を押して編集し、2）「Linux」行の最後に「シングル」または「1」を追加し、3）Ctrl Xを押して開始します。メンテナンスモードは、システム修理、パスワードリセット、システムのアップグレードなどのタスクに安全な環境を提供します。

Linux：リカバリモード（およびメンテナンス）に入る方法Apr 18, 2025 am 12:05 AM

Linux Recoveryモードを入力する手順は次のとおりです。1。システムを再起動し、特定のキーを押してGrubメニューを入力します。 2。[RecoveryMode）でオプションを選択します。 3. FSCKやrootなどの回復モードメニューで操作を選択します。リカバリモードを使用すると、シングルユーザーモードでシステムを開始し、ファイルシステムのチェックと修理を実行し、構成ファイルを編集し、システムの問題を解決するのに役立ちます。

See all articles

ホットAIツール

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

脱衣画像を無料で

Clothoff.io

AI衣類リムーバー

Video Face Swap

完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。

ホットツール

SublimeText3 Mac版

神レベルのコード編集ソフト（SublimeText3）

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。