/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改...操作时建议做好记录或备份 检查系统空密码账户 | 身份鉴别 描述 检查系统空密码账户 加固建议 为用户设置一个非空密码,或者执行passwd -l 锁定用户 操作时建议做好记录或备份...14之间,建议为7: PASS_WARN_AGE 7 同时执行命令使root用户设置生效: chage --warndays 7 root 操作时建议做好记录或备份 设置SSH空闲超时退出时间 | 服务配置...ClientAliveInterval 600 ClientAliveCountMax 2 操作时建议做好记录或备份 确保SSH MaxAuthTries设置为3到6之间 | SSH服务配置 描述 设置较低的.../sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,建议为4: MaxAuthTries 4 操作时建议做好记录或备份 确保rsyslog服务已启用 | 安全审计
对于电脑系统来说安全是第一大问题,所以每一个电脑系统或者主机系统都会配置许多的防护软件以及安全软件。...定期的来检查电脑的安全系统,以及一些其他的系统安全问题,可以有效的预防电脑漏洞的出现以及安全隐患的出现。现在来了解一下linux主机安全基线检查脚本怎么做?...linux主机安全基线检查脚本 linux主机安全基线检查脚本是Linux主机安全维护当中重要的一环。通过主机安全基线检查脚本可以有效的防止和提前发现一些主机问题。...安全基线的检查内容 上面已经提到linux主机安全基线检查脚本是非常重要的一件事情,那么在安全基线的检查当中,都有哪些内容需要检查呢?首先是要进行共享账号的检查。还有多余账户锁定策略检查。...除此之外,安全基线的检查内容还有好多,在进行专业的脚本检查时,应当全部检查毫无遗漏。并且定期进行检查,防止其他的漏洞出现。 以上就是linux主机安全基线检查脚本怎么做的相关内容。
给大家分享两个可以搞定的大招: hosts.allow和hosts.deny /etc/hosts.allow和/etc/hosts.deny两个文件是控制远程访问设置的,通过他可以允许或者拒绝某个ip或者ip段的客户访问linux...然后再次回到linux系统,登录后一次输入如下: #mkdir /root/.ssh 创建一个.ssh的隐藏文件夹 #chmod 700 /root/.ssh 给.ssh的文件夹授权 #vi...6、然后再次使用 #vi /root/.ssh/authorized_keys 并把Xshell的公钥复制到另起一行,以#号开头的在linux当中是标注的意思! ?...10、然后最后一步,我们配置的防火墙只是暂时的关闭,重启电脑后就会失效,所以我需要永久的关闭它 #vi /etc/selinux/config #修改selinux的配置文件 更改“SELINUX...基于密钥认证的配置 # vi /etc/ssh/sshd_config PasswordAuthentication no //禁止使用基于口令认证的方式登陆 PubkeyAuthentication
在进行 Linux 安全检查时,需要使用相关的脚本对系统的安全情况进行全面分析,一方面需要尽可能的收集系统的相关信息,另一方面在数量较多的时候尽可能的提高效率。...在这种情况下,本人写了一个 Linux 安全检查的脚本,该脚本主要在以下场景使用: 1、Linux 主机安全检查时 2、 Linux 主机发生安全事件需要全面分析时 该脚本完成有一段时间,最近在应急响应群里讨论...,发现这块的安全检查是大家的一个强需求,因此把该检查脚本共享给大家,共享的目的主要以两个:一是提高大家在 Linux 安全检查时的效率,释放大家的精力;另一方面希望大家在使用的过程中可以不断地发现问题,...检查内容 整体框架 关于 Linux 安全检查,这里面我总结主要需要检查以下内容: 1、系统安全检查(进程、开放端口、连接、日志等) 这一块是目前个人该脚本所实现的功能 2、 Rootkit 建议使用...使用 使用比较简单,将本脚本拷贝到自己一台 Linux 主机上,可以使用虚拟机,将需要被检查的服务器的 IP、账号、密码放到 hosts.txt 目录中,直接运行即可实现一键安全检查。
但是,当他们确实专注于安全性时,通常会想到的就是典型的事情,例如防止SQL注入或访问控制错误,但是对安全性的关注应该远远超过这些。...变更跟踪/版本控制 跟踪代码或配置文件的更改对于许多安全问题至关重要:功能可靠性,跟踪修改记录,确保黑客没有进行任何篡改等等。...跟踪配置文件的更改,并使用源代码管理(Git,SVN)可确保在何时何地更改了哪些内容。 管理权限 当在较大的团队中工作时,拥有管理员级别权限的人数可能会增加。...Web安全扫描程序 将每个功能和每个用户操作组合起来,安全风险的可能性呈指数增长。...甚至安全团队都不可能手动验证和测试所有内容,但是好的自动Web安全扫描程序不仅可以测试漏洞,而且可以发现一些开发人员可能不会考虑的问题。 SQL注入 当然,SQL注入是最常见的安全问题。
未授权访问 描述 ZooKeeper在未设置访问控制情况下,攻击者可通过执行envi命令获得系统大量的敏感信息,任务用户或者客户端不需要认证就可以连上zk的服务端,并且可以对znode进行增删等操作,非常不安全的
加固建议 在redis的配置文件redis.conf中配置如下: bind 127.0.0.1或者内网IP,然后重启redis 2.禁止使用root用户启动 描述 使用root权限去运行网络服务是比较有风险的...描述 因为redis密码明文存储在配置文件中,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600, 加固建议 执行以下命令修改配置文件权限: chmod 600 /<filepath...要是配置里没有指定bind和密码,开启该参数后,redis只能本地访问,拒绝外部访问。...加固建议 redis.conf安全设置: # 打开保护模式protected-mode yes 7.开启redis密码认证,并设置高复杂度密码 描述 redis在redis.conf配置文件中,设置配置项...检查提示 存在弱密码(配置文件|密码):/usr/local/redis/redis.conf|zh****uo 加固建议 打开redis.conf,找到requirepass所在的地方,修改为指定的密码
1.为svn服务设置高复杂度口令 描述 svn在/conf/svnserve.conf配置文件中,配置密码存储路径,根据password-db的配置可以找到密码文件,请确保该文件中的密码为强密码 加固建议...打开版本库目录,在配置文件/conf/svnserve.conf找到password-db所在的地方,根据password-db配置找到密码配置文件路径,将该文件中的密码修改为指定的密码(默认为passwd...建议楼上好好去学习svn服务器的搭建吧,特别是弄明白apache的http.conf文件的配置吧。svn是个好东西,可以去看TortoiseSVN中文手册 。
1.jenkins未授权访问 描述 jenkins不当配置可导致未授权访问管理控制台,可以通过脚本命令行执行系统命令。...通过脚本命令行功能执行系统命令,如反弹shell,wget写webshell文件 加固建议 打开jenkins页面,点击左侧的系统管理—>Configure Global Security,进入权限配置界面...若使用了安全矩阵,确保anonymous用户不能具有read之外的权限 Jenkins会默认安装一些插件,但是可能还不够,我们需要另外安装一些; 我们需要 确保下面的插件都已经安装,后面需要用到: Ant...安装Publish over SSH插件好后,配置一下: 我们可以添加多个SSH Servers,每一个SSH Server 可以使用默认值,或进行单独的配置: Name、Hostname填ip地址,...Username填root,Remote Directory填需要发布的远程目录,点击高级,进行一些高级配置。
设置用户权限配置文件的权限 | 文件权限 描述 设置用户权限配置文件的权限 加固建议 执行以下5条命令 chown root:root /etc/passwd /etc/shadow /etc/group...ClientAliveInterval 900 ClientAliveCountMax 0 ClientAliveCountMax和ClientAliveInterval 取消注释符号# 操作时建议做好记录或备份 SSHD强制使用V2安全协议...| 服务配置 描述 SSHD强制使用V2安全协议 加固建议 编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数: Protocol 2 操作时建议做好记录或备份 确保SSH MaxAuthTries...设置为3到6之间 | 服务配置 描述 设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。...首先,你需要检查单个的数据包以确定其包含有哪些二进制文件。然后你需要限制这些二进制文件的权限。
检查提示 主目录:/usr/local/alibaba/es/es/elasticsearch | /usr/local/alibaba/es/es/elasticsearch | /usr/local.../alibaba/es/es/elasticsearch 加固建议 限制http端口的IP访问,不对公网开放 修改主目录下 config/elasticsearch.yml 配置文件,将network.host...配置为内网地址或者127.0.0.1 network.host: 127.0.0.1 使用x-pack插件为Elasticsearch访问增加登录验证 在主目录下运行 bin/elasticsearch-plugin...install x-pack 安装x-pack插件 config/elasticsearch.yml 配置文件增加以下配置 xpack.security.enabled: True xpack.ml.enabled
1 – 记录主机信息 每当您正在使用新的Linux主机进行安全增强时,您需要创建一个文档并记录本文档中列出的项目,工作完成后,您将需要检查这些项目。...在Kali Linux中,您可以使用以下命令更新系统: ? 8 – 检查已安装的软件包 列出您的Linux系统中的所有已安装的软件包,然后删除不需要的软件包。...如果您在自己的Linux服务器中发现以下遗留服务,请快速删除它们: Telnet服务器 RSH服务器 NIS服务器 TFTP服务器 TALK服务器 9 – 检查打开的端口 识别与互联网的开放连接是非常重要的任务...在Kali Linux中,我们可以使用以下命令查找隐藏的开放端口: ? 10 – 增强SSH的安全性 是的,SSH真的很安全,但是我们还要继续在现有的基础上增强其安全性。...11 – 启用SELinux SELinux是支持访问控制安全策略的内核安全机制。SELinux有三种配置模式: 禁用:关闭 允许:打印警告 执法:政策是强制执行 打开配置文件: ?
Checklist 安全检查列表 MongoDB also provides the Security Checklist for a list of recommended actions to protect...MongoDB还为如何保护MongoDB部署提供了一个建议的操作列表即安全检查列表 Last updated: 2019-12-05 最后更新于:2019-12-05 This documents provides...确保MongoDB运行在受信任的网络环境中并且配置防火墙或者安全组来控制MongoDB实例的入站和出站流量。...请参阅:网络和配置加固 ➤ Request a Security Technical Implementation Guide (where applicable) ➤索取安全技术实施指南(如适用) The...定期对你的设备打补丁并且检查操作指南 检查策略及流程变更,尤其是网络规则的更改,以防无意中将MongoDB暴露在互联网。 检查MongoDB数据库用户并定期进行轮换。
本文旨在指导系统管理人员或安全检查人员进行Linux操作系统的安全合规性检查和加固。14个Linux系统安全小妙招,总有一招用的上! 1....1.2 检查特殊账号 检查是否存在空口令和root权限的账号。...2.2 SSH服务安全 对SSH服务进行安全加固,防止暴力破解成功。 操作步骤 使用命令 vim /etc/ssh/sshd_config 编辑配置文件。 不允许root账号直接登录系统。...配置文件修改完成后,重启sshd服务生效。 3. 文件系统 3.1 设置umask值 设置默认的umask值,增强安全性。...操作步骤 Linux系统默认启用以下类型日志: 系统日志(默认)/var/log/messages cron日志(默认)/var/log/cron 安全日志(默认)/var/log/secure 注意:
搞技术的礼物当然是技术礼物啦,这是我们实验室一位师傅改进的linux主机安全基线检查脚本(如果想薅羊毛的兄弟等实验室基本稳定了,Gamma安全实验室会自动把羊毛奉上) 脚本复制粘贴保存成.sh文件即可.../bin/bash ###################################### # Linux主机安全基线检查 # Date:2020-12-23 # 使用前请给文件执行权限:chmod...echo "****************************************************" >> ${scanner_log} echo "`hostname -s`SSH配置检查结果..."****************************************************" >> ${scanner_log} echo "`hostname -s`远程连接的安全性配置检查结果...echo "****************************************************" >> ${scanner_log} action "[11] 远程连接的安全性配置检查中
0.不要使用特权容器 描述 使用--privileged标志将所有Linux内核功能赋予容器,从而覆盖--cap-add和--cap-drop标志。 确保不使用它。...docker服务 systemctl daemon-reload systemctl restart docker 12.确认docker相关的文件具有合适的权限 描述 确保可能包含敏感参数的文件和目录的安全对确保...Docker守护程序的正确和安全运行至关重要 加固建议 执行以下命令为docker相关文件配置权限: chown root:root /usr/lib/systemd/system/docker.service...FragmentPath docker.socket systemctl show -p FragmentPath docker.service 13.审核Docker文件和目录 描述 除了审核常规的Linux...加固建议 可以使用以下方法修复 限制Docker Remote API端口的公网访问,将端口绑定地址改为127.0.0.1 开启TLS,参照官方文档配置 Remote API 的认证措施
控制台弱密码检查 | 身份鉴别 描述 tomcat-manger是Tomcat提供的web应用热部署功能,该功能具有较高权限,会直接控制Tomcat应用,应尽量避免使用此功能。.../error.jsp,在webapps目录下创建error.jsp,定义自定义错误信息 操作时建议做好记录或备份 开启日志记录 | 安全审计...描述 Tomcat需要保存输出日志,以便于排除错误和发生安全事件时,进行分析和定位 加固建议 1、修改Tomcat根目录下的conf/server.xml文件。...param-value>false 操作时建议做好记录或备份 删除项目无关文件和目录 | 访问控制 描述 Tomcat安装提供了示例应用程序、文档和其他可能不用于生产程序及目录,存在极大安全风险...加固建议 可使用以下方式修复加固 升级到以下安全版本进行防护 版本号 下载地址 Apache Tomcat 7.0.100 http://tomcat.apache.org/download-70.cgi
6.修改默认3306端口 描述 避免使用熟知的端口,降低被初级扫描的风险 加固建议 编辑/my.cnf文件,[mysqld] 段落中配置新的端口参数,并重启MySQL服务: port...=3506 7.禁用symbolic-links选项 描述 禁用符号链接以防止各种安全风险 加固建议 编辑Mysql配置文件/my.cnf,在[mysqld] 段落中配置symbolic-links...=0,5.6及以上版本应该配置为skip_symbolic_links=yes,并重启mysql服务。...加固建议 编辑Mysql配置文件/my.cnf,在[mysqld_safe] 段落中配置log-error参数,代表存放日志文件路径,如:/var/log/mysqld.log.../my.cnf,在[mysqld] 段落中配置local-infile参数为0,并重启mysql服务: local-infile=0
加固建议 在redis的配置文件redis.conf中配置如下:bind 127.0.0.1或者内网IP,然后重启redis 操作时建议做好记录或备份 打开保护模式 | 访问控制 描述 redis默认开启保护模式...加固建议 redis.conf安全设置: # 打开保护模式protected-mode yes 操作时建议做好记录或备份 限制redis 配置文件访问权限 | 文件权限 描述 因为redis密码明文存储在配置文件中...,禁止不相关的用户访问改配置文件是必要的,设置redis配置文件权限为600, 加固建议 执行以下命令修改配置文件权限: chmod 600 //redis.conf 操作时建议做好记录或备份...修改默认6379端口 | 服务配置 描述 避免使用熟知的端口,降低被初级扫描的风险 加固建议 编辑文件redis的配置文件redis.conf,找到包含port的行,将默认的6379修改为自定义的端口号...,设置配置项requirepass, 开户密码认证。
/bin/bash ###################################### # Linux主机安全基线检查 # Date:2020-12-23 # 使用前请给文件执行权限:chmod...主机安全基线检查***********************************\033[0m" echo "" >> ${scanner_log} echo "*************...echo "****************************************************" >> ${scanner_log} echo "`hostname -s`SSH配置检查结果..."****************************************************" >> ${scanner_log} echo "`hostname -s`远程连接的安全性配置检查结果...echo "****************************************************" >> ${scanner_log} action "[11] 远程连接的安全性配置检查中
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议
