linux安全维护

linux安全维护
【新建普通用户】
useradd -m tangziwei
passwd tangziwei
chmod 777 /etc/sudoers
vim /etc/sudoers
chmod 440 /etc/sudoers
  所有者    所属组      目录
chown -R tangziwei.tangziwei /home/test
chown -R tangziwei.tangziwei /usr/local/webserver
【限制root权限远程登录】
1. 修改文件 vim /etc/ssh/sshd_config配置
PermitRootLogin no
2. 重启sshd服务 service sshd restart
【设置连续输错5次口令，帐号锁定5分钟】
centos
修改配置vim /etc/pam.d/password-auth（将配置添加到合适的位置）:
auth required pam_tally2.so deny=5 unlock_time=300 even_deny_root root_unlock_time=300
account required pam_tally2.so
【设置Linux系统的空闲等待时间TMOUT】
为了增强Linux系统的安全性，我们需要在用户输入空闲一段时间后自动断开，这个操作可以由设置TMOUT值来实现。将以下字段加入到/etc/profile 中即可（对所有用户生效）。
export TMOUT=900    # 设置900秒内用户无操作就字段断开终端
readonly TMOUT     # 将值设置为readonly 防止用户更改
注意：设置了readonly 之后在当前shell下是无法取消的，需要先将/etc/profile 中设置readonly行注释起来或直接删除，logout 后重新login
【口令老化】（Password aging）是一种增强的系统口令生命期认证机制，能够确保用户的口令定期更换，提高系统安全性。
参考链接	
http://man7.org/linux/man-pages/man5/login.defs.5.html
修复方案	
修改文件/etc/login.defs，配置
PASS_MAX_DAYS 90
80 端口被入侵可能是由于 SQL注入，挂马等原因导致， 通常 80端口是需要暴露在公网的
【MySQL加固建议】：
1. 密码强化，使用复杂密码设置，防止被破解。
2. 不推荐使用默认的端口3306， 换一个其他不常用的端口，避免通过端口进行攻击；
3. 不推荐开启远程访问， my.cnf 配置文件中添加 bind-address =127.0.0.1, 仅配置本地访问。
4. 如果有远程访问的需求，建议收敛账户的主机Host配置，允许特定安全网段访问数据库。
5. 使用云主机的安全组功能，限制访问来源和端口。
6. 定期修改账户密码，使用12位以上大小写字母、数字、特殊字符。
【Redis加固建议】
1. 禁止Redis服务对公网开放，可通过修改redis.conf配置文件中的"#bind 127.0.0.1" ，去掉前面的"#"即可（Redis本来就是作为内存数据库，只要监听在本机即可）；
2. 设置密码访问认证，可通过修改redis.conf配置文件中的"requirepass" 设置复杂密码 （需要重启Redis服务才能生效）；
3. 对访问源IP进行访问控制，可在防火墙限定指定源ip才可以连接Redis服务器；
4. 修改Redis默认端口，将默认的6379端口修改为其他端口；
5. 禁用config指令避免恶意操作，在Redis配置文件redis.conf中配置rename-command项"RENAME_CONFIG"，这样即使存在未授权访问，也能够给攻击者使用config 指令加大难度；
6. Redis使用普通用户权限，禁止使用 root 权限启动Redis 服务，这样可以保证在存在漏洞的情况下攻击者也只能获取到普通用户权限，无法获取root权限；