检查建立安全的Linux服务器来提高Linux安全性（二）

很多使用Linux系统的小伙伴们都不知道如何来提高Linux的安全性，在上篇文章中小编也为大家介绍了几种提高Linux安全性方法的文章，在本篇文章中小编将继续为大家带来，提高Linux安全的后面的方法，我们一起来看一看吧。

8– 检查已安装的软件包

列出您的Linux系统中的所有已安装的软件包，然后删除不需要的软件包。如果您正在服务器上工作，那么您必须非常小心，因为服务器通常仅用于安装应用程序和服务。您可以按照以下命令列出在Kali Linux中安装的软件包：

记住要禁用那些不需要减少服务器攻击面的服务。如果您在自己的Linux服务器中发现以下遗留服务，请快速删除它们：

Telnet服务器

RSH服务器

NIS服务器

TFTP服务器

TALK服务器

9– 检查打开的端口

识别与互联网的开放连接是非常重要的任务。在Kali Linux中，我们可以使用以下命令查找隐藏的开放端口：

10– 增强SSH的安全性

是的，SSH真的很安全，但是我们还要继续在现有的基础上增强其安全性。首先，如果你可以禁用SSH，那么问题就解决了。但是，如果仍然需要使用它，则需要修改SSH的默认配置。切换到目录/ etc / ssh，然后打开“sshd_config”文件。

-将默认端口号（22）更改为另一个号码（例如99）。 

-确保root用户无法通过SSH远程登录： 

-允许某些特殊用户：

如果您需要更丰富的配置，请确保您阅读SSH手册并了解该文件中的所有配置项。

另外，您还需要确保在“sshd_config”文件中配置以下配置选项：

协议2

IgnoreRhosts为yes

Hostbase验证无

PermitEmptyPasswords o

打开X11Forwarding没有

MaxAuthTries 5

密码aes128-ctr，aes192-ctr，aes256-ctr

ClientAliveInterval 900

ClientAliveCountMax 0

UsePAM是的

最后，设置文件访问权限，以确保只有root用户可以修改文件的内容：

11– 启用SELinux

SELinux是支持访问控制安全策略的内核安全机制。SELinux有三种配置模式：

禁用：关闭

允许：打印警告

执法：政策是强制执行

打开配置文件：

确保SELinux已打开： 

12– 网络参数

保护Linux主机网络活动也非常重要，从来没有希望防火墙能够帮助您完成所有的任务。打开/etc/sysctl.conf文件并进行以下设置：

-将net.ipv4.ip_forward参数设置为0。

-将net.ipv4.conf.all.send_redirects和net.ipv4.conf.default.send_redirects参数设置为0。

-将net.ipv4.conf.all.accept_redirects和net.ipv4.conf.default.accept_redirects参数设置为0。

-将net.ipv4.icmp_ignore_bogus_error_responses参数设置为1。

13– 密码政策

人们通常在不同的地方使用相同的密码，这是一个非常糟糕的习惯。旧密码存储在/ etc / security / opasswd文件中，我们需要使用PAM模块来管理Linux主机中的安全策略。在Debian版本中，您可以打开/etc/pam.d/common-password文件，并添加以下信息，以防止用户重复使用最近使用的四个密码：

另一个密码策略是强制用户使用强大的密码。PAM模块提供了一个库（pam_cracklib），可以帮助您的服务器进行字典攻击和爆破攻击。打开/etc/pam.d/system-auth文件并添加以下信息：

Linux是密码哈希，所以你想确保系统使用SHA512哈希算法。

另一个有趣的功能是“五次锁定帐户后的密码输出错误”。打开/etc/pam.d/password-auth文件并添加以下数据：

然后打开/etc/pam.d/system-auth文件并添加以下信息：

密码错误五次后，只有管理员可以解锁帐号，解锁命令如下：

另一个好习惯就是设置“密码到期后的90天”。

-将/etc/login.defs中的PASS_MAX_DAYS参数设置为90。

-修改当前用户的密码到期时间：

现在，我们必须限制对su命令的访问。打开/etc/pam.d/su文件，然后设置pam_wheel.so参数：

最后一步是禁止非root用户访问系统帐户。可以使用以下bash脚本完成此步骤：

14– 许可和验证

毫无疑问，如果要确保Linux主机的安全性，那么权限当然是最重要的。

使用以下命令为/ etc / anacrontab，/ etc / crontab和/etc/cron.*设置适当的权限：

为/ var / spool / cron分配适当的权限：

为“passwd”，“group”，“shadow”和“gshadow”文件分配适当的权限：

以上就是通过检查建立安全的Linux服务器来提高Linux安全性的全部内容了，希望在阅读完本篇文章后能够对你有所帮助，想了解更多的Linux相关信息欢迎关注达内Linux官网。