《linux安全加固》由会员分享,可在线阅读,更多相关《linux安全加固(36页珍藏版)》请在金锄头文库上搜索。
1、Linux查看程序端口占用情况今天发现服务器上Tomcat 8080端口起不来,老提示端口已经被占用。使用命令:ps -aux | grep tomcat发现并没有8080端口的Tomcat进程。使用命令:netstat apn查看所有的进程和端口使用情况。发现下面的进程列表,其中最后一栏是PID/Program name发现8080端口被PID为9658的Java进程占用。进一步使用命令:ps -aux | grep java,或者直接:ps -aux | grep pid 查看就可以明确知道8080端口是被哪个程序占用了!然后判断是否使用KILL命令干掉!方法二:直接使用 netstat
2、-anp | grepportno即:netstat apn | grep 8080Mysql 数据库不推荐root用户,普通用户精选文档Sql 不推荐sa用户Apcht 不推荐系统用户普通用户漏洞名称漏洞定级漏洞危害漏洞详情修复建议Linux查看用户输入vi /etc/passwd 可以查看此文件的内容 。本机内容如下:rootlocalhost # vi /etc/passwdroot:x:0:0:root:/root:/bin/bashroot:x:0:0:root:/root:/bin/bashbin:x:1:1:bin:/bin:/sbin/nologindaemon:x:2:2:d
3、aemon:/sbin:/sbin/nologin其中每一行代表一个账号,所以,想查看本机一共有多少账号,直接数passwd文件的行数就可以了,用命令rootlocalhost # cat /etc/passwd | wc -l42则代表本机一共有42个账号查找root用户的个数可以这样做:rootlocalhost # cat /etc/passwd | grep :0root:x:0:0:root:/root:/bin/bashsync:x:5:0:sync:/sbin:/bin/syncshutdown:x:6:0:shutdown:/sbin:/sbin/shutdownhalt:x:
4、7:0:halt:/sbin:/sbin/haltoperator:x:11:0:operator:/root:/sbin/nologin看哪些账号的第三个字段是0.那么这个就是管理员组账号精选文档Linux安全加固So本博文提供了关于Linux系统安全加固的具体实现脚本及基线检查规范,以供主机维护人员参考学习。其中以下脚本主要实现的功能包括:*加固项包括:密码长度、session超时时间、删除不用的帐号和组、限制root用户直接telnet或rlogin、ssh*检查是否存在除root之外UID为0的用户、确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目
5、录*检查操作系统Linux用户umask设置、检查重要目录和文件的权限、禁止除root之外的用户su操作、查找系统中任何人都有写权限的目录*查找系统中没有属主的文件、查找系统中的隐藏文件、判断日志与审计是否合规、登录超时设置、禁用不必要的服务*linux 安全加固适用于redhat、centos5.8至6.2具体内容如下,请结合自身业务需求进行系统级加固:#1、-echo 删除不用的帐号和组echo delete unused users and grupsfor i in lp sync shutdown halt news uucp operator games gopher精选文档doe
6、cho will delete user $iuserdel $iecho user $i have deletedonefor i in lp sync shutdown halt news uucp operator games gopherdoecho will delete group $igroupdel $iecho group $i have deletedonedate=date +%F#2、-#section1 密码要求密码长度大于8,口令90天过期/etc/login.defs#-#-echo cp /etc/login.defs to /etc/login.defs.ba
7、k_%date精选文档echo #-cp /etc/login.defs /etc/login.defs.bak_$date#echo 检查密码的配置echo Check the configure for users password.echo #-for i in PASS_MAX_DAYS PASS_MIN_LEN PASS_MIN_DAYS PASS_WARN_AGEdocat /etc/login.defs |grep $i|grep -v #done#set password min length 8echo #-echo Set users password min length
8、 is 8sed -i /PASS_MIN_LEN/s/5/8/g /etc/login.defsecho #-#set password max day 90#echo set password expired 90 day#sed -i /PASS_MAX_DAYS/s/99999/90/g /etc/login.defs#3、-echo #检查是否存在空口令精选文档echo Check if there have user without password!echo #-awk -F: ($2 = ) print $1 /etc/shadow#4、-#section2 限制root用户直
9、接telnet或rlogin,ssh无效#建议在/etc/securetty文件中配置:CONSOLE = /dev/tty01#-#帐号与口令-检查是否存在除root之外UID为0的用户#echo #检查系统中是否存在其它id为0的用户echo Check if the system have other users id is 0echo #-mesg=awk -F: ($3 = 0) print $1 /etc/passwd|grep -v rootif -z $mesg thenecho There dont have other user uid=0elseechoecho !ech
10、o $mesg uid=0精选文档echo !fi#5、-echo #确保root用户的系统路径中不包含父目录,在非必要的情况下,不应包含组权限为777的目录echo check the Path set for root,make sure the path for root dont have father directory and 777 rightsecho #-echo $PATH | egrep (|:)(.|:|$)find echo $PATH | tr : -type d ( -perm -002 -o -perm -020 ) -ls#6、-echo #检查操作系统Lin
11、ux远程连接echo Check if system have remote connection setingecho #-find / -name .netrcfind / -name .rhostsecho 检查操作系统Linux用户umask设置精选文档echo Check the system users umask settingecho #-for i in /etc/profile /etc/csh.login /etc/csh.cshrc /etc/bashrcdogrep -H umask $i|grep -v #done#设置umask为027#7、-#echo #检查重要目录和文件的权限#echo Check the important files and directory rightsecho #-for i in /etc /etc/rc.d/init.d /tmp /etc/i
