首页 > 代码库 > linux系统安全

linux系统安全

方法一:

  1. 密码足够复杂

    密码的长度要大于8位,最好大于14位。密码的复杂度是密码要尽可能有数字、大小写字符和特殊字符混合组成。

  2. 修改默认ssh端口

  使用iptables关闭不需要使用的端口

sshd 默认端口号:22

vim /etc/ssh/sshd_config

#Port 22

Port 81

service sshd restart


3.使用扫描工具,对主机查看开放哪些端口。

yum install nmap

nmap 192.168.103.117


4.不使用root用户名登录,这样可以黑客猜不到你的用户名,也就无法暴力破解

不使用root用户,但需要拥有root权限,下面有两种方法:

    前提是不让root用户登录,root用户的/bin/bash 改成 /sbin/nologin

(1)把bob用户的uid和gid都改成0,让bob用户拥有root权限。这样bob用户也拥有root权限,但和root本身的区别是,他们的家目录不一样,登录进去都是#,权限是一样的。

(2)也可以给用户拥有sudo权限

    visudo  或者 vi /etc/sudoers

    root   ALL=(ALL)       ALL

    bob   ALL=(ALL)     ALL


5.用户登录可以让他们使用密钥登录,密钥上也设置密码。

使用方法在本人博文里面查找。


6.防止暴力破解

案例:最近公司网络一直被人暴力破解sshd服务密码,虽然没有成功,但会导致系统负载很高,原因是在暴力破解的时候,系统会不断认证用户,从而增加了系统资源额外开销,导致公司网络很慢。


工具介绍:fail2ban可以监视你的系统日志,然而匹配日志的错误信息(正则式匹配)执行相应的屏蔽动作(一般下是防火墙),而且可与i发送email通知系统管理员,功能很强大。

fail2ban运行机制:简单来说其功能就是防止暴力破解,工作原理是通过分析一定时间内的相关服务日志,将满足动作的相关ip利用iptables加入到dorp(丢弃)列表一定时间。


设置条件:ssh远程登录5分钟内3次密码验证失败,禁止用户ip访问主机1小时,1小时后该限制自动解除。


软件包下载:

https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz

安装步骤:

wget https://github.com/fail2ban/fail2ban/archive/0.9.4.tar.gz

tar zxvf 0.9.4.tar.gz

cd fail2ban-0.8.14

一般安装步骤在README.md里面能找到。

vim README.md

To install, just do:


    tar xvfj fail2ban-0.9.4.tar.bz2

    cd fail2ban-0.9.4

    python setup.py install

需要安装python开发环境,并且版本要大于2.4的

查看python版本

python -V

安装:

phthon setup.py install


vi /etc/fail2ban/jail.conf


.....待续


本文出自 “IT阿宝” 博客,请务必保留此出处http://907832555.blog.51cto.com/4033334/1876691

linux系统安全