在IT运维领域,Linux系统的安全性是老生常谈的话题。随着网络攻击手段的不断升级,如何有效加固Linux系统,保障业务安全稳定运行,成为了运维人员必须掌握的技能。以下是10个最常用的Linux安全配置脚本,帮助运维人员提升系统的安全性。
用户账号管理脚本
定期删除不用的帐号和组,如
lp、sync等,可使用以下脚本:
for i in lp sync shutdown halt news uucp operator games gopher
do
userdel $i
groupdel $i
done
这样能减少潜在的安全风险,防止未授权访问.
密码策略配置脚本
修改
/etc/login.defs文件,设置密码最小长度为8等,增强口令安全性 :
sed -i '/PASS_MIN_LEN/s/5/8/g' /etc/login.defs
限制Root远程登录脚本
编辑
/etc/ssh/sshd_config,将PermitRootLogin改为no,禁止root帐号远程登录,降低被攻击风险.
禁用不必要服务脚本
关闭并禁用如telnet、ftp等不需要的网络服务和端口,减少暴露的攻击面 :
services=("telnet" "ftp" "rsh" "rlogin" "rexec")
for service in "${services[@]}"; do
systemctl disable $service
systemctl stop $service
done
文件权限设置脚本
确保关键系统文件和目录的权限设置正确,如使用
chattr命令锁定/etc/passwd等重要文件,防止其被修改 :
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
内核模块管理脚本
通过配置文件禁用不必要的内核模块,如:
echo "install dccp /bin/true" >> /etc/modprobe.d/disable-dccp.conf
减少潜在的攻击向量.
审计服务配置脚本
安装并配置auditd进行系统审计,记录所有重要的系统事件 :
apt-get install -y auditd
systemctl enable auditd
systemctl start auditd
防火墙配置脚本
使用
ufw等防火墙工具,设置默认策略为拒绝所有未明确允许的连接,控制网络流量 :
ufw default deny incoming
ufw default allow outgoing
ufw enable
日志管理脚本
合理配置日志轮转,确保日志文件不会无限增长,同时保留重要的安全信息,可通过修改
logrotate.conf文件等方式实现.
SSH加密配置脚本
修改/etc/ssh/sshd_config文件,配置SSH使用更安全的加密算法和认证方式,如:
sed -i 's/#PasswordAuthentication yes/PasswordAuthentication no/' /etc/ssh/sshd_config
提高远程登录的安全性.
通过这些脚本,运维人员可以大大提升Linux系统的安全性,减少潜在的安全风险。然而,安全是一个持续的过程,需要不断地评估、更新和改进安全措施。
近期文章:
