Metasploit

Liunx系统加固

来自 |已发表

版权声明:转载原创文章请以超链接形式请注明原文章出处,尊重作者,尊重原创!


恰饭广告




查看系统已开放的服务和端口 

ps -aus
nmap -sV ip地址

探查网段内存活主机

nmap -sP ip/24

查看系统存在的用户

cat /etc/passwd

删除不必要的账户,并修改默认密码

userdel username //删除用户
passwd username //修改密码

禁止非root用户对系统服务进行操作

chmod -R 700 /etc/init.d/

找到flag文件,并设置权限

find / -name flag*
chmod 600 flag.txt
chown root:root flag.txt

基础加固 

vi /etc/sysctl.conf

有则修改,无则添加

net.ipv4.icmp_echo_ignore_all=0  //系统禁止被ping

生效

sysctl -p

防止spoof攻击

vi /etc/host.conf

添加

nospoof on

创建用户用于登录ssh 

useradd username

ssh端口更改和限制操作 

vi /etc/ssh/sshd_config

有则修改,无则添加

Port 2333 //端口号
Protocol 2 //协议2
PermitEmptyPasswords no //禁止空密码
PermitRootLogin no //禁止root登录
MaxauthTries 3 //尝试三次
LoginGracetime 20 //限时登录
Allowuser username //只允许username登录

重启服务

service sshd restart

telnet加固 

vi /etc/xinetd.d/telnet

添加

#禁止telnet用户远程登录
service telnet      
 {
no_access = 172.16.1.0/24  #网段地址
 }

ftp(vsftpd)加固 

touch /etc/vsftpd/chroot_list
cut -d : -f  1 /etc/passwd>>/etc/vsftpd/chroot_list  //把全部系统用户限制不能离开ftp主目录
cut -d : -f  1 /etc/passwd>>/etc/vsftpd/user_list  //把全部系统用户加入ftp黑名单
cut -d : -f  1 /etc/passwd>>/etc/vsftpd/ftpusers

重启ftp 

service vsftpd restart

apache加固 

vi /etc/httpd/conf/httpd.conf

有则修改,无则添加

ServerTokens Prod  //隐藏apache服务及版本
ServerSignature Off

修改Options Indexs FollowSymLinks为

Options FollowSymLinks  //apache目录列出漏洞

末尾添加

#apache解析漏洞防御
<Files ~ “.(php.|php3.)”>
        Order Allow,Deny
        Deny from all
</Files>

php加固

vi /etc/php.ini

有则修改,无则添加

expose_php = Off  //隐藏版本信息
safe_mode = on //启用安全模式
open_basedir =网站目录 //控制php脚本可以访问的目录
register_globals = off //关闭注册全局变量

重启apache 

service httpd restart

mysql加固 

mysqladmin -u root password  //设置root初始密码
mysql_secure_installation

注意:只用输入y或n

Change the root password? [Y/n]   n  //前面设置了root密码,所以这里不用

Remove annoymous user [Y/n]  y  //禁止匿名登录

Disallow root login remotely [Y/n]  y  //禁止root远程登录

Remove test database and access to it [Y/n]  y  //删除测试数据库和测试账号

Reload privilege tables now [Y/n]  y  //现在更新数据库 

mysql -u root -p //登录数据库
select host,user,password from mysql.user;  //显示用户信息
use mysql;
update user set host = "localhost" where user = "root" and host= "%";  //关闭远程访问
flush privileges;  //刷新数据库

exit;

修改mysql的root密码

mysqladmin -u root password oldpasswd "newpasswd"

重启mysql

service mysqld restart

samba用户的密码修改 

pdbedit -L //查看samba服务的用户列表

iptables加固 

iptables -F //清空防火墙规则

iptables -A INPUT -p icmp -j DROP  //防止被ping


vi /etc/sysconfig/iptables

添加

-A FORWARD -p tcp --syn -m limit --limit 1/s --limit-burst 5 -j ACCEPT  #每秒中最多允许5个新连接
-A FORWARD -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT  #防止各种端口扫描
-A FORWARD -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT  #防御Ping洪水攻击

屏蔽某个ip

iptables -I INPUT -s ip地址 -j DROP

重启防火墙

service iptables restart

原文链接:https://www.idaobin.com/archives/975.html

让我恰个饭吧.ヘ( ̄ω ̄ヘ)

支付宝 ——————- 微信
图片加载中图片加载中



恰饭广告


广告

你可能也喜欢

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

89 − 79 =