### 知识点一:Linux密码策略与加固 #### 密码策略配置文件 - **配置文件路径**:`/etc/login.defs` - `PASS_MAX_DAYS`:定义密码的有效期限,即密码最长可以使用多少天。 - `PASS_MIN_DAYS`:设定密码更改的最短间隔,即在新密码设置后的多少天内不允许再次更改密码。 - `PASS_MIN_LEN`:设置密码的最小长度。 - `PASS_WARN_AGE`:设置密码过期前的警告天数。 - **密码复杂度配置**:`/etc/pam.d/password-auth` - `ocredit`、`dcredit`、`ucredit`、`lcredit`:分别代表其他字符、数字、大写字母、小写字母的最小数量要求。 #### 密码加固实践 - **实现步骤**: 1. 调整`/etc/login.defs`中的参数以满足安全需求。 2. 编辑`/etc/pam.d/password-auth`文件来设置密码复杂度要求。 3. 使用命令行工具检查并验证配置的有效性。 ### 知识点二:Linux服务加固 #### MySQL服务加固 - **以非管理员账户运行MySQL**:通过修改配置文件`/etc/my.cnf`来指定MySQL服务使用普通用户身份运行。 - **删除不必要的数据库**:使用SQL命令`drop database test;`删除默认的`test`数据库。 - **更改默认管理员用户名**:使用SQL命令`update user set user='superroot' where user='root';`将管理员账号更改为`superroot`。 - **加密用户密码**:利用MySQL内置的MD5函数加密用户密码,例如`update user set password=md5('P@ssw0rd1!') where user='user1';` #### SSH服务加固 - **修改SSH端口号**:编辑`/etc/ssh/sshd_config`文件中的`Port`选项,将其设置为一个非常规端口号,如2222。 - **禁止root远程登录**:同样在`sshd_config`文件中设置`PermitRootLogin no`。 - **配置SSH登录记录等级**:将`LogLevel`设置为`INFO`级别,以便于追踪异常登录行为。 - **调整登录超时时间和最大会话数**:通过设置`LoginGraceTime`和`MaxSessions`参数控制登录超时时间和并发会话的最大数量。 - **SSH自动化管理**:利用`/etc/crontab`实现SSH服务的定时开启和关闭,例如周一至周五每天7:50启动SSH服务,22:50关闭服务,周六7:00重启服务。 #### FTP服务加固 - **禁用匿名登录功能**:在`/etc/vsftpd/vsftpd.conf`文件中设置`anonymous_enable=NO`。 - **激活FTP日志记录**:设置`xferlog_enable=YES`启用FTP传输日志记录。 - **设置空闲会话超时时间**:通过`idle_session_timeout`参数限制长时间未操作的会话自动断开的时间。 - **限制最大传输速率**:分别针对本地用户和匿名用户的最大传输速率进行限制。 - **限制单个IP地址的连接数**:通过`max_per_ip`参数控制每个IP地址的最大连接数。 - **限制客户端连接端口范围**:在`/etc/vsftpd/vsftpd.conf`文件末尾添加`pasv_min_port`和`pasv_max_port`来指定被动模式下的端口范围。 - **限制用户访问范围**:设置`chroot_local_user=YES`将本地用户的活动范围限制在其家目录内。 #### HTTP服务加固 - **更改HTTP服务默认端口**:编辑`/etc/httpd/conf/httpd.conf`文件中的`Listen`指令。 - **禁止目录浏览功能**:修改`<Directory>`标签内的`Options`参数,移除`Indexes`以禁用目录索引功能。 - **隐藏Apache版本信息**:在配置文件末尾添加`ServerTokens Prod`和`ServerSignature Off`来隐藏Apache版本信息。 #### DNS服务加固 - **隐藏BIND版本号**:在`/etc/named.conf`文件中添加`version "[cuisir]";`来隐藏BIND的真实版本号。 ### 知识点三:防火墙规则与后门端口检测 - **使用Nmap工具进行扫描**:通过Nmap工具进行非侵入式的端口扫描(不使用`-sS`选项),以避免触发潜在的安全机制。 - **检测并封锁后门端口**:利用`iptables`命令来添加规则,阻止特定端口的入站流量,例如: - 针对TCP端口:`iptables -A INPUT -p tcp --dport <端口号> -j DROP` - 针对UDP端口:`iptables -A INPUT -p udp --dport <端口号> -j DROP` 以上就是从给定文件中提取的关键知识点及其详细说明,涵盖了Linux系统中的密码策略、服务加固以及防火墙规则等方面的内容。
- 粉丝: 0
- 资源: 1
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助