Cara melakukan pengerasan keselamatan dan pembaikan kelemahan pada sistem Linux-operasi dan penyelenggaraan linux-php.cn

Rumah

Operasi dan penyelenggaraan

operasi dan penyelenggaraan linux

Cara melakukan pengerasan keselamatan dan pembaikan kelemahan pada sistem Linux

PHPz

Nov 07, 2023 am 10:19 AM

Pengerasan keselamatan sistem Linux: pengerasan keselamatanPembaikan kelemahan sistem Linux: pembaikan kelemahankeselamatan sistem linux: keselamatan

Cara melakukan pengerasan keselamatan dan pembaikan kelemahan pada sistem Linux

Memandangkan setiap perniagaan semakin bergantung kepada Internet, keselamatan siber semakin menjadi tumpuan organisasi. Dalam hal ini, sistem Linux adalah titik permulaan yang baik. Disebabkan ciri-ciri sumber terbuka, penggunaan meluas, dan tidak memerlukan kebenaran, sistem Linux telah menjadi sistem pengendalian pilihan bagi banyak organisasi dan perusahaan. Walau bagaimanapun, risiko sistem Linux juga semakin meningkat. Artikel ini akan memperkenalkan cara untuk mengeras dan membaiki kelemahan sistem Linux, dan menyediakan beberapa kod sampel untuk membantu anda mengkonfigurasi sistem Linux yang lebih selamat.

Pertama, kita perlu menumpukan pada aspek ini: pengurusan pengguna, kebenaran fail dan direktori, konfigurasi rangkaian dan pelayan serta keselamatan aplikasi. Langkah terperinci dan kod sampel untuk setiap aspek diterangkan di bawah.

Pengurusan Pengguna

Kata Laluan Kuat

Bangunkan dasar kata laluan yang memerlukan pengguna memilih kata laluan yang kompleks dan menukar kata laluan dengan kerap.

#强制用户选择具备最低密码强度的密码
auth requisite pam_passwdqc.so enforce=users
#强制/用户更改自己的密码
auth required pam_warn.so
auth required pam_passwdqc.so min=disabled,disabled,12,8,7
auth required pam_unix.so remember=24 sha512 shadow

Larang log masuk jauh root

Adalah disyorkan bahawa hanya pengguna yang mempunyai kebenaran root boleh menyambung terus. Konfigurasikan PermitRootLogin dalam /etc/ssh/sshd_config ke no.

Masa Log Masuk

Tetapan tamat masa boleh memastikan pemotongan automatik selepas tempoh masa terbiar. Tetapkan seperti berikut dalam /etc/profile atau ~/.bashrc:

#设置空闲登陆超时退出时间为300秒
TMOUT=300
export TMOUT

Kebenaran fail dan direktori

Konfigurasi lalai

Konfigurasi lalai akan membenarkan semua pengguna melihat semua fail dan direktori. Tambahkan kandungan berikut pada fail /etc/fstab:

tmpfs /tmp            tmpfs defaults,noatime,mode=1777 0  0
tmpfs /var/tmp        tmpfs defaults,noatime,mode=1777 0  0
tmpfs /dev/shm        tmpfs defaults,noatime,mode=1777 0  0

Tentukan kebenaran untuk fail dan direktori sensitif

Akses harus dihadkan kepada kumpulan pengguna atau individu tertentu. Gunakan arahan chown dan chmod untuk mengubah suai kebenaran fail dan direktori Contoh berikut adalah untuk menetapkan direktori yang hanya boleh diubah suai oleh pengguna root:

#修改某目录只能root用户修改
chown root /etc/cron.deny
chmod 600 /etc/cron.deny

Semak SUID, SGID, dan Sticky Bits

SUID (Set. ID pengguna), SGID (Set group ID), Sticky Bit dan bit lain adalah beberapa tanda keselamatan dalam sistem Linux dan perlu diaudit secara berkala. Arahan berikut digunakan untuk mencari sebarang syarat kebenaran yang tidak layak:

#查找SUID权限未被使用的文件和目录
find / -perm +4000 ! -type d -exec ls -la {} ; 2>/dev/null
#查找SGID权限未被使用的文件和目录
find / -perm +2000 ! -type d -exec ls -la {} ; 2>/dev/null
#查找粘滞位未设置的目录
find / -perm -1000 ! -type d -exec ls -la {} ; 2>/dev/null

Konfigurasi Rangkaian dan Pelayan

Firewall

iptables ialah salah satu aplikasi tembok api yang paling biasa digunakan di Linux. Kod sampel berikut menyekat semua akses masuk:

#清空所有规则和链
iptables -F
iptables -X
#允许所有本地进出的通信，并拒绝所有远程的访问
iptables -P INPUT DROP
iptables -P OUTPUT DROP
#添加规则
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Hadkan akses perkhidmatan

Sesetengah perkhidmatan hanya boleh dijalankan secara tempatan dan terdapat risiko besar untuk diakses dari luar. Bangunkan peraturan dalam direktori /etc/hosts.allow dan /etc/hosts.deny untuk mengehadkan masa capaian, IP dan maklumat lain kepada perkhidmatan.

Keselamatan Aplikasi

Kemas kini Pakej Perisian

Kedua-dua perisian kernel dan ruang pengguna memerlukan kemas kini tetap untuk menyelesaikan pepijat dan kelemahan yang diketahui. Anda boleh menggunakan yum, rpm dan alatan lain untuk mengemas kini pakej perisian. Contoh kod diberikan di bawah:

#更新已安装的所有软件包
yum -y update
#更新单个软件包
yum -y update <package>

Elakkan menggunakan pengguna root untuk menjalankan aplikasi

Apabila menjalankan aplikasi, anda harus menggunakan pengguna yang tidak mempunyai hak istimewa dan jangan gunakan pengguna root untuk menjalankan aplikasi.

Kompilasi perpustakaan pautan statik

Pustaka pautan statik mengandungi semua kebergantungan untuk menulis aplikasi, yang boleh menghalang pengguna lain daripada mengganggu pakej bergantung. Kod sampel diberikan di bawah:

#编译静态链接库
gcc -o app app.c -static

Kesimpulan

Kerja pengerasan keselamatan dan kelemahan sistem Linux tidak terhenti di situ, tetapi langkah di atas boleh membantu kami mengukuhkan keselamatan sistem Linux. Perlu diingatkan bahawa langkah-langkah ini tidak dapat menjamin sepenuhnya keselamatan sistem Organisasi dan perusahaan harus mengambil pelbagai langkah untuk memastikan keselamatan.

Atas ialah kandungan terperinci Cara melakukan pengerasan keselamatan dan pembaikan kelemahan pada sistem Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan

Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn

Artikel Berkaitan

Linux: Memasuki dan Keluar Mod PenyelenggaraanMay 02, 2025 am 12:01 AM

Kaedah untuk memasukkan mod penyelenggaraan Linux termasuk: 1. Edit fail konfigurasi grub, tambah parameter "tunggal" atau "1" dan mengemas kini konfigurasi grub; 2. Edit parameter permulaan dalam menu Grub, tambah "Single" atau "1". Mod penyelenggaraan keluar hanya memerlukan memulakan semula sistem. Dengan langkah -langkah ini, anda boleh memasukkan mod penyelenggaraan dengan cepat apabila diperlukan dan keluar dengan selamat, memastikan kestabilan sistem dan keselamatan.

Memahami Linux: Komponen Teras ditakrifkanMay 01, 2025 am 12:19 AM

Komponen teras Linux termasuk kernel, shell, sistem fail, pengurusan proses dan pengurusan memori. 1) Sumber Sistem Pengurusan Kernel, 2) Shell menyediakan antara muka interaksi pengguna, 3) Sistem fail menyokong pelbagai format, 4) Pengurusan proses dilaksanakan melalui panggilan sistem seperti garpu, dan 5) Pengurusan memori menggunakan teknologi memori maya.

Blok bangunan Linux: Komponen utama dijelaskanApr 30, 2025 am 12:26 AM

Komponen teras sistem Linux termasuk kernel, sistem fail, dan ruang pengguna. 1. Kernel menguruskan sumber perkakasan dan menyediakan perkhidmatan asas. 2. Sistem fail bertanggungjawab untuk penyimpanan data dan organisasi. 3. Jalankan program dan perkhidmatan pengguna di ruang pengguna.

Menggunakan Mod Penyelenggaraan: Menyelesaikan masalah dan membaiki LinuxApr 29, 2025 am 12:28 AM

Mod penyelenggaraan adalah tahap operasi khas yang dimasukkan dalam sistem Linux melalui mod pengguna tunggal atau mod penyelamatan, dan digunakan untuk penyelenggaraan dan pembaikan sistem. 1. Masukkan mod penyelenggaraan dan gunakan perintah "Sudosystemctlisolaterscue.target". 2. Dalam mod penyelenggaraan, anda boleh menyemak dan membaiki sistem fail dan menggunakan arahan "FSCK/DEV/SDA1". 3. Penggunaan lanjutan termasuk menetapkan semula kata laluan pengguna root, memasang sistem fail dalam mod baca dan tulis dan mengedit fail kata laluan.

Mod Penyelenggaraan Linux: Memahami TujuannyaApr 28, 2025 am 12:01 AM

Mod penyelenggaraan digunakan untuk penyelenggaraan sistem dan pembaikan, yang membolehkan pentadbir bekerja dalam persekitaran yang mudah. 1. Pembaikan Sistem: Pembaikan Sistem Fail Rasuah dan Loader Boot. 2. Reset Kata Laluan: Tetapkan semula kata laluan pengguna root. 3. Pengurusan Pakej: Pasang, Kemas kini atau Padam Pakej Perisian. Dengan mengubah suai konfigurasi grub atau memasuki mod penyelenggaraan dengan kunci tertentu, anda boleh keluar dengan selamat selepas melaksanakan tugas penyelenggaraan.

Operasi Linux: Konfigurasi Rangkaian dan RangkaianApr 27, 2025 am 12:09 AM

Konfigurasi rangkaian Linux boleh diselesaikan melalui langkah -langkah berikut: 1. Konfigurasi antara muka rangkaian, gunakan arahan IP untuk menetapkan atau mengedit tetapan ketekunan fail konfigurasi. 2. Sediakan IP statik, sesuai untuk peranti yang memerlukan IP tetap. 3. Menguruskan firewall dan gunakan alat -alat iptables atau firewalld untuk mengawal trafik rangkaian.

Mod Penyelenggaraan di Linux: Panduan Pentadbir SistemApr 26, 2025 am 12:20 AM

Mod penyelenggaraan memainkan peranan utama dalam pengurusan sistem Linux, membantu membaiki, menaik taraf dan perubahan konfigurasi. 1. Masukkan mod penyelenggaraan. Anda boleh memilihnya melalui menu grub atau menggunakan arahan "SudosystemCtlisolaterscue.target". 2. Dalam mod penyelenggaraan, anda boleh melakukan pembaikan sistem fail dan operasi kemas kini sistem. 3. Penggunaan lanjutan termasuk tugas -tugas seperti menetapkan semula kata laluan root. 4. Kesilapan umum seperti tidak dapat memasukkan mod penyelenggaraan atau memasang sistem fail, boleh diperbaiki dengan memeriksa konfigurasi grub dan menggunakan arahan FSCK.

Mod penyelenggaraan di linux: kapan dan mengapa menggunakannyaApr 25, 2025 am 12:15 AM

Masa dan alasan untuk menggunakan mod penyelenggaraan Linux: 1) Apabila sistem bermula, 2) apabila melakukan kemas kini sistem utama atau peningkatan, 3) apabila melakukan penyelenggaraan sistem fail. Mod penyelenggaraan menyediakan persekitaran yang selamat dan terkawal, memastikan keselamatan dan kecekapan operasi, mengurangkan kesan kepada pengguna, dan meningkatkan keselamatan sistem.

See all articles