監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉
鷹潭網(wǎng)站建設(shè)公司

當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 江西OA系統(tǒng) > 鷹潭OA > 鷹潭網(wǎng)站建設(shè)公司

Linux系統(tǒng)平安Shell劇本用于Linux系統(tǒng)的平安初始化劇本

申請免費(fèi)試用、咨詢電話:400-8352-114

鷹潭網(wǎng)站建設(shè)www.diyphp.net

下面的這段Linux系統(tǒng)平安Shell劇本用于Linux系統(tǒng)的平安初始化劇本,可以在效勞器系統(tǒng)裝置終了之后立刻執(zhí)行以疾速樹立起效勞器的平安防護(hù)。開始的劇本由曉輝撰寫,在數(shù)次修正之后曾經(jīng)很多使用在某大型媒體網(wǎng)站系統(tǒng)中。修正了一些bug,曾經(jīng)在CentOS 5.5 x86_64下經(jīng)過,當(dāng)前在一些沒有硬件防火墻的效勞器上運(yùn)用。

  運(yùn)用辦法:將其復(fù)制,保管為一個shell文件,比方security.sh。將其上傳到linux效勞器上,執(zhí)行sh security.sh,就可以運(yùn)用該劇本了。建議人人在系統(tǒng)初始化后立刻執(zhí)行,然后創(chuàng)立了用戶帳號和暗碼后就不要再改動了,以免影響主要文件的初始md5值。

  劇本內(nèi)容(以下內(nèi)容為了便利閱讀,對注釋進(jìn)行了翻譯):

  #!/bin/sh

  # desc: setup linux system security

  # author:coralzd

  # powered by www.baidu.org.tw

  # version 0.1.2 written by 2011.05.03

  #設(shè)置賬號

  passwd -l xfs

  passwd -l news

  passwd -l nscd

  passwd -l dbus

  passwd -l vcsa

  passwd -l games

  passwd -l nobody

  passwd -l avahi

  passwd -l haldaemon

  passwd -l gopher

  passwd -l ftp

  passwd -l mailnull

  passwd -l pcap

  passwd -l mail

  passwd -l shutdown

  passwd -l halt

  passwd -l uucp

  passwd -l operator

  passwd -l sync

  passwd -l adm

  passwd -l lp

  # 用chattr給用戶途徑更改屬性。chattr敕令用法參考文末闡明[1]

  chattr +i /etc/passwd

  chattr +i /etc/shadow

  chattr +i /etc/group

  chattr +i /etc/gshadow

  # 設(shè)置暗碼延續(xù)輸錯3次后鎖定5分鐘 【 Linux公社 www.Linuxidc.com 】

  sed -i ‘s#auth required pam_env.so#auth required pam_env.so\nauth required pam_tally.so onerr=fail deny=3 unlock_time=300\nauth required /lib/security/$ISA/pam_tally.so onerr=fail deny=3 unlock_time=300#’ /etc/pam.d/system-auth

  # 5分鐘后主動登出,緣由參考文末闡明[2]

  echo “TMOUT=300″ >>/etc/profile

  # 前史敕令記載數(shù)設(shè)定為10條

  sed -i “s/HISTSIZE=1000/HISTSIZE=10/” /etc/profile

  # 讓以上針對 /etc/profile 的改動立刻生效

  source /etc/profile

  # 在 /etc/sysctl.conf 中啟用 syncookie

  echo “net.ipv4.tcp_syncookies=1″ >> /etc/sysctl.conf

  sysctl -p # exec sysctl.conf enable

  # 優(yōu)化 sshd_config

  sed -i “s/#MaxAuthTries 6/MaxAuthTries 6/” /etc/ssh/sshd_config

  sed -i ”s/#UseDNS yes/UseDNS no/” /etc/ssh/sshd_config

  # 限制主要敕令的權(quán)限

  chmod 700 /bin/ping

  chmod 700 /usr/bin/finger

  chmod 700 /usr/bin/who

  chmod 700 /usr/bin/w

  chmod 700 /usr/bin/locate

  chmod 700 /usr/bin/whereis

  chmod 700 /sbin/ifconfig

  chmod 700 /usr/bin/pico

  chmod 700 /bin/vi

  chmod 700 /usr/bin/which

  chmod 700 /usr/bin/gcc

  chmod 700 /usr/bin/make

  chmod 700 /bin/rpm

  # 前史平安

  chattr +a /root/.bash_history

  chattr +i /root/.bash_history

  # 給主要敕令寫 md5

  cat > list << “EOF” &&

  /bin/ping

  /usr/bin/finger

  /usr/bin/who

  /usr/bin/w

  /usr/bin/locate

  /usr/bin/whereis

  /sbin/ifconfig

  /bin/vi

  /usr/bin/vim

  /usr/bin/which

  /usr/bin/gcc

  /usr/bin/make

  /bin/rpm

  EOF

  for i in `cat list`

  do

  if [ ! -x $i ];then

  echo “$i not found,no md5sum!”

  else

  md5sum $i >> /var/log/`hostname`.log

  fi

  done

  rm -f list

  常識點(diǎn)[1]:有關(guān)chattr敕令

  chattr 敕令可以修正文件屬性,到達(dá)維護(hù)文件和目次的效果。比擬改動文件讀寫、執(zhí)行權(quán)限的chmod敕令,chattr敕令可以節(jié)制更底層的文件屬性。該敕令非常強(qiáng)壯,個中一些功用是由Linux內(nèi)核版原本支撐的,假如Linux內(nèi)核版本低于2.2,那么很多功用不克不及完成。相同-D反省緊縮文件中的錯誤的功用,需求2.5.19以上內(nèi)核才干支撐。別的,經(jīng)過chattr敕令修正屬功能夠進(jìn)步系統(tǒng)的平安性,然則它并不合適一切的目次。chattr敕令不克不及維護(hù)/、 /dev、/tmp、/var目次。

  此類屬性的檢查可以經(jīng)過lsattr敕令完成。

  chattr敕令的用法:chattr [ -RV ] [ -v version ] [ mode ] files…

  最要害的是在[mode]局部,,即文件屬性局部。[mode]局部是由+-=和[ASacDdIijsTtu]這些字符組合的。

  + :在原有參數(shù)設(shè)定根底上,追加參數(shù)。

  - :在原有參數(shù)設(shè)定根底上,移除參數(shù)。

  = :更新為指定參數(shù)設(shè)定。

  A:文件或目次的 atime (access time)不成被修正(modified), 可以有用預(yù)防例如手提電腦磁盤I/O錯誤的發(fā)作。

  S:硬盤I/O同步選項(xiàng),功用相似sync。

  a:即append,設(shè)定該參數(shù)后,只能向文件中添加數(shù)據(jù),而不克不及刪除,多用于效勞器日記文 件平安,只要root才干設(shè)定這個屬性。

  c:即compresse,設(shè)定文件能否經(jīng)緊縮后再存儲。讀取時需求經(jīng)由主動解壓操作。

  d:即no dump,設(shè)定文件不克不及成為dump順序的備份目的。

  i:設(shè)定文件不克不及被刪除、更名、設(shè)定鏈接關(guān)系,還不克不及寫入或新增內(nèi)容。i參數(shù)關(guān)于文件 系統(tǒng)的平安設(shè)置有很大協(xié)助。

  j:即journal,設(shè)定此參數(shù)使妥當(dāng)經(jīng)過mount參數(shù):data=ordered 或許 data=writeback 掛 載的文件系統(tǒng),文件在寫入時會先被記載(在journal中)。假如filesystem被設(shè)定參數(shù)為 data=journal,則該參數(shù)主動掉效。

  s:保護(hù)秘密性地刪除文件或目次,即硬盤空間被悉數(shù)回收。

  u:與s相反,當(dāng)設(shè)定為u時,數(shù)據(jù)內(nèi)容其實(shí)還存在磁盤中,可以用于undeletion.

  各參數(shù)選項(xiàng)中常用到的是a和i。a選項(xiàng)強(qiáng)迫只可添加不成刪除,多用于日記系統(tǒng)的平安設(shè)定。而i是更為嚴(yán)厲的平安設(shè)定,只要superuser (root) 或具有CAP_LINUX_IMMUTABLE處置才能(標(biāo)識)的歷程可以施加該選項(xiàng)。

  使用實(shí)例:

  1、用chattr敕令避免系統(tǒng)中某個要害文件被修正

<span style="COLOR: rgb(0,128,0)">  # chattr +i /etc/fstab

  然后試一下rm mv rename等敕令操作于該文件,都是獲得Operation not permitted 的后果

  2、讓某個文件只能往里面追加內(nèi)容,不克不及刪除,一些日記文件合用于這種操作

<span style="COLOR: rgb(0,128,0)">  # chattr +a /data1/user_act.log

  常識點(diǎn)[2]:為何要設(shè)置5分鐘后主動登出

  因?yàn)榭蛻舻木S護(hù)人員經(jīng)常上岸上去后經(jīng)過直接封閉TERM端口不合法退出telnet,形成系統(tǒng)的pts歷程越來越多,一個月下來居然近百,當(dāng)歷程過多的時分系統(tǒng)就會發(fā)生報警。標(biāo)準(zhǔn)操作應(yīng)該是用exit或許ctrl+D,然則其別人并不如許操作,所以我們界說了echo “TMOUT=300″ >& gt;/etc/profile這一項(xiàng)內(nèi)容,是讓效勞器主動剔除300秒沒有任何舉措的客戶端。當(dāng)然了這一項(xiàng)人人可以依據(jù)實(shí)踐需求而決議能否添加。

發(fā)布:2007-03-31 14:57    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
鷹潭OA
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢

泛普鷹潭網(wǎng)站建設(shè)公司其他應(yīng)用

鷹潭軟件開發(fā)公司 鷹潭門禁系統(tǒng) 鷹潭物業(yè)管理軟件 鷹潭倉庫管理軟件 鷹潭餐飲管理軟件 鷹潭網(wǎng)站建設(shè)公司