監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價(jià)咨詢(xún)管理系統(tǒng) | 工程設(shè)計(jì)管理系統(tǒng) | 甲方項(xiàng)目管理系統(tǒng) | 簽約案例 | 客戶(hù)案例 | 在線試用
X 關(guān)閉
鷹潭網(wǎng)站建設(shè)公司

當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 江西OA系統(tǒng) > 鷹潭OA > 鷹潭網(wǎng)站建設(shè)公司

Linux系統(tǒng)平安Shell劇本用于Linux系統(tǒng)的平安初始化劇本

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà):400-8352-114

鷹潭網(wǎng)站建設(shè)www.diyphp.net

下面的這段Linux系統(tǒng)平安Shell劇本用于Linux系統(tǒng)的平安初始化劇本,可以在效勞器系統(tǒng)裝置終了之后立刻執(zhí)行以疾速樹(shù)立起效勞器的平安防護(hù)。開(kāi)始的劇本由曉輝撰寫(xiě),在數(shù)次修正之后曾經(jīng)很多使用在某大型媒體網(wǎng)站系統(tǒng)中。修正了一些bug,曾經(jīng)在CentOS 5.5 x86_64下經(jīng)過(guò),當(dāng)前在一些沒(méi)有硬件防火墻的效勞器上運(yùn)用。

  運(yùn)用辦法:將其復(fù)制,保管為一個(gè)shell文件,比方security.sh。將其上傳到linux效勞器上,執(zhí)行sh security.sh,就可以運(yùn)用該劇本了。建議人人在系統(tǒng)初始化后立刻執(zhí)行,然后創(chuàng)立了用戶(hù)帳號(hào)和暗碼后就不要再改動(dòng)了,以免影響主要文件的初始md5值。

  劇本內(nèi)容(以下內(nèi)容為了便利閱讀,對(duì)注釋進(jìn)行了翻譯):

  #!/bin/sh

  # desc: setup linux system security

  # author:coralzd

  # powered by www.baidu.org.tw

  # version 0.1.2 written by 2011.05.03

  #設(shè)置賬號(hào)

  passwd -l xfs

  passwd -l news

  passwd -l nscd

  passwd -l dbus

  passwd -l vcsa

  passwd -l games

  passwd -l nobody

  passwd -l avahi

  passwd -l haldaemon

  passwd -l gopher

  passwd -l ftp

  passwd -l mailnull

  passwd -l pcap

  passwd -l mail

  passwd -l shutdown

  passwd -l halt

  passwd -l uucp

  passwd -l operator

  passwd -l sync

  passwd -l adm

  passwd -l lp

  # 用chattr給用戶(hù)途徑更改屬性。chattr敕令用法參考文末闡明[1]

  chattr +i /etc/passwd

  chattr +i /etc/shadow

  chattr +i /etc/group

  chattr +i /etc/gshadow

  # 設(shè)置暗碼延續(xù)輸錯(cuò)3次后鎖定5分鐘 【 Linux公社 www.Linuxidc.com 】

  sed -i ‘s#auth required pam_env.so#auth required pam_env.so\nauth required pam_tally.so onerr=fail deny=3 unlock_time=300\nauth required /lib/security/$ISA/pam_tally.so onerr=fail deny=3 unlock_time=300#’ /etc/pam.d/system-auth

  # 5分鐘后主動(dòng)登出,緣由參考文末闡明[2]

  echo “TMOUT=300″ >>/etc/profile

  # 前史敕令記載數(shù)設(shè)定為10條

  sed -i “s/HISTSIZE=1000/HISTSIZE=10/” /etc/profile

  # 讓以上針對(duì) /etc/profile 的改動(dòng)立刻生效

  source /etc/profile

  # 在 /etc/sysctl.conf 中啟用 syncookie

  echo “net.ipv4.tcp_syncookies=1″ >> /etc/sysctl.conf

  sysctl -p # exec sysctl.conf enable

  # 優(yōu)化 sshd_config

  sed -i “s/#MaxAuthTries 6/MaxAuthTries 6/” /etc/ssh/sshd_config

  sed -i ”s/#UseDNS yes/UseDNS no/” /etc/ssh/sshd_config

  # 限制主要敕令的權(quán)限

  chmod 700 /bin/ping

  chmod 700 /usr/bin/finger

  chmod 700 /usr/bin/who

  chmod 700 /usr/bin/w

  chmod 700 /usr/bin/locate

  chmod 700 /usr/bin/whereis

  chmod 700 /sbin/ifconfig

  chmod 700 /usr/bin/pico

  chmod 700 /bin/vi

  chmod 700 /usr/bin/which

  chmod 700 /usr/bin/gcc

  chmod 700 /usr/bin/make

  chmod 700 /bin/rpm

  # 前史平安

  chattr +a /root/.bash_history

  chattr +i /root/.bash_history

  # 給主要敕令寫(xiě) md5

  cat > list << “EOF” &&

  /bin/ping

  /usr/bin/finger

  /usr/bin/who

  /usr/bin/w

  /usr/bin/locate

  /usr/bin/whereis

  /sbin/ifconfig

  /bin/vi

  /usr/bin/vim

  /usr/bin/which

  /usr/bin/gcc

  /usr/bin/make

  /bin/rpm

  EOF

  for i in `cat list`

  do

  if [ ! -x $i ];then

  echo “$i not found,no md5sum!”

  else

  md5sum $i >> /var/log/`hostname`.log

  fi

  done

  rm -f list

  常識(shí)點(diǎn)[1]:有關(guān)chattr敕令

  chattr 敕令可以修正文件屬性,到達(dá)維護(hù)文件和目次的效果。比擬改動(dòng)文件讀寫(xiě)、執(zhí)行權(quán)限的chmod敕令,chattr敕令可以節(jié)制更底層的文件屬性。該敕令非常強(qiáng)壯,個(gè)中一些功用是由Linux內(nèi)核版原本支撐的,假如Linux內(nèi)核版本低于2.2,那么很多功用不克不及完成。相同-D反省緊縮文件中的錯(cuò)誤的功用,需求2.5.19以上內(nèi)核才干支撐。別的,經(jīng)過(guò)chattr敕令修正屬功能夠進(jìn)步系統(tǒng)的平安性,然則它并不合適一切的目次。chattr敕令不克不及維護(hù)/、 /dev、/tmp、/var目次。

  此類(lèi)屬性的檢查可以經(jīng)過(guò)lsattr敕令完成。

  chattr敕令的用法:chattr [ -RV ] [ -v version ] [ mode ] files…

  最要害的是在[mode]局部,,即文件屬性局部。[mode]局部是由+-=和[ASacDdIijsTtu]這些字符組合的。

  + :在原有參數(shù)設(shè)定根底上,追加參數(shù)。

  - :在原有參數(shù)設(shè)定根底上,移除參數(shù)。

  = :更新為指定參數(shù)設(shè)定。

  A:文件或目次的 atime (access time)不成被修正(modified), 可以有用預(yù)防例如手提電腦磁盤(pán)I/O錯(cuò)誤的發(fā)作。

  S:硬盤(pán)I/O同步選項(xiàng),功用相似sync。

  a:即append,設(shè)定該參數(shù)后,只能向文件中添加數(shù)據(jù),而不克不及刪除,多用于效勞器日記文 件平安,只要root才干設(shè)定這個(gè)屬性。

  c:即compresse,設(shè)定文件能否經(jīng)緊縮后再存儲(chǔ)。讀取時(shí)需求經(jīng)由主動(dòng)解壓操作。

  d:即no dump,設(shè)定文件不克不及成為dump順序的備份目的。

  i:設(shè)定文件不克不及被刪除、更名、設(shè)定鏈接關(guān)系,還不克不及寫(xiě)入或新增內(nèi)容。i參數(shù)關(guān)于文件 系統(tǒng)的平安設(shè)置有很大協(xié)助。

  j:即journal,設(shè)定此參數(shù)使妥當(dāng)經(jīng)過(guò)mount參數(shù):data=ordered 或許 data=writeback 掛 載的文件系統(tǒng),文件在寫(xiě)入時(shí)會(huì)先被記載(在journal中)。假如filesystem被設(shè)定參數(shù)為 data=journal,則該參數(shù)主動(dòng)掉效。

  s:保護(hù)秘密性地刪除文件或目次,即硬盤(pán)空間被悉數(shù)回收。

  u:與s相反,當(dāng)設(shè)定為u時(shí),數(shù)據(jù)內(nèi)容其實(shí)還存在磁盤(pán)中,可以用于undeletion.

  各參數(shù)選項(xiàng)中常用到的是a和i。a選項(xiàng)強(qiáng)迫只可添加不成刪除,多用于日記系統(tǒng)的平安設(shè)定。而i是更為嚴(yán)厲的平安設(shè)定,只要superuser (root) 或具有CAP_LINUX_IMMUTABLE處置才能(標(biāo)識(shí))的歷程可以施加該選項(xiàng)。

  使用實(shí)例:

  1、用chattr敕令避免系統(tǒng)中某個(gè)要害文件被修正

<span style="COLOR: rgb(0,128,0)">  # chattr +i /etc/fstab

  然后試一下rm mv rename等敕令操作于該文件,都是獲得Operation not permitted 的后果

  2、讓某個(gè)文件只能往里面追加內(nèi)容,不克不及刪除,一些日記文件合用于這種操作

<span style="COLOR: rgb(0,128,0)">  # chattr +a /data1/user_act.log

  常識(shí)點(diǎn)[2]:為何要設(shè)置5分鐘后主動(dòng)登出

  因?yàn)榭蛻?hù)的維護(hù)人員經(jīng)常上岸上去后經(jīng)過(guò)直接封閉TERM端口不合法退出telnet,形成系統(tǒng)的pts歷程越來(lái)越多,一個(gè)月下來(lái)居然近百,當(dāng)歷程過(guò)多的時(shí)分系統(tǒng)就會(huì)發(fā)生報(bào)警。標(biāo)準(zhǔn)操作應(yīng)該是用exit或許ctrl+D,然則其別人并不如許操作,所以我們界說(shuō)了echo “TMOUT=300″ >& gt;/etc/profile這一項(xiàng)內(nèi)容,是讓效勞器主動(dòng)剔除300秒沒(méi)有任何舉措的客戶(hù)端。當(dāng)然了這一項(xiàng)人人可以依據(jù)實(shí)踐需求而決議能否添加。

發(fā)布:2007-03-31 14:57    編輯:泛普軟件 · xiaona    [打印此頁(yè)]    [關(guān)閉]
相關(guān)文章:
鷹潭OA
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢(xún):400-8352-114

加微信,免費(fèi)獲取試用系統(tǒng)

QQ在線咨詢(xún)

泛普鷹潭網(wǎng)站建設(shè)公司其他應(yīng)用

鷹潭軟件開(kāi)發(fā)公司 鷹潭門(mén)禁系統(tǒng) 鷹潭物業(yè)管理軟件 鷹潭倉(cāng)庫(kù)管理軟件 鷹潭餐飲管理軟件 鷹潭網(wǎng)站建設(shè)公司