linux系统初始化后的安全策略加固

  1. 物理层安全
#原理:物理安全是系统安全的关键基础
#应对风险:被盗窃、被破坏、自然灾害、人为错误导致的灾难、意外导致的损坏
#安全措施:服务器双电源、服务器使用独占机柜、独占机柜加锁;退出服务器的本地shell登录;规范化机房维护操作步骤;重要服务器必须和一般服务器隔离;定期评估物理安全措施和实施进度;交换机端口设置,放在不可信设备接入、防止恶意嗅探和ARP欺骗攻击;重要数据异地备份或异地同步
  1. 网络层安全
原理:服务器通过网络对外提供服务,网络层安全可减少被入侵的可能
#通过防火墙映射需提供外网服务的NAT策略,无需对外提供服务的服务器放行访问权限即可。
#服务器iptables限制网络访问
+ 允许icmp协议
+ 允许所有IP访问本机对外服务端口的服务
+ 允许本机访问本地DNS和公共DNS服务
+ 允许内网堡垒机ip、内网VPNip和办公固定IP访问本机sshd服务
+ 禁止其他任何通信
#!/bin/bash
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type any -j ACCEPT #允许icmp协议,ping
iptables -A INPUT -p tcp --dport 80 -j ACCEPT #允许所有IP访问80端口
iptables -A INPUT -p tcp -s 202.101.172.35 --sport 53 -j ACCEPT #允许访问DNS
iptables -A INPUT -p udp -s 202.101.172.35 --sport 53 -j ACCEPT #允许访问DNS
iptables -A INPUT -p tcp -s 114.114.114.114 --sport 53 -j ACCEPT #允许访问DNS
iptables -A INPUT -p udp -s 114.114.114.114 --sport 53 -j ACCEPT #允许访问DNS
iptables -A INPUT -p tcp -s 192.168.0.194 --dport 22 -j ACCEPT #限制对22端口的访问
iptables -A INPUT -p tcp -s 192.168.0.176 --dport 22 -j ACCEPT #限制对22端口的访问
iptables -A INPUT -p tcp -s 115.236.38.80 --dport 22 -j ACCEPT #限制对22端口的访问
iptables -A INPUT -j DROP #禁止其他任何通信
iptables -A FORWARD -j DROP #禁止转发
核心交换机配置内网ACL策略进行精细化限制网络访问,实例参考A段访问B段,但B段不能访问A段
参考链接:https://support.huawei.com/enterprise/zh/doc/EDOC1100127132/a506cef0
#使用nmap检查端口存活
nmap -sS 192.168.1.0 -p1-65535 --max-retries 1 --host-timeout 10m
# -sS指定TCP Syn方式探测
# -p1-65535指定端口范围
# --max-retries 1重试1次
# --host-timeout 10m该主机探测在10m完成,否则退出
  1. 应用层安全
包括对账号密码的保护、sshd的安全配置、web服务器安全、数据库安全等
密码安全
+ 及时修改默认密码
+ 测试账号不可过于简单
+ 密码符合一定复杂度要求 大小写、数字、位数达12位以上
+ 免密加密存储 
+ 定期更换密码 90天
+ 启用验证码
+ 定期密码检查如John the Ripper工具
+ 对外文档做好发布前涉敏感数据处理
#sshd配置,使用TCP Wrappers增加安全性
# 原理:先读取/etc/hosts.allow匹配即允许,后读取/etc/hosts.deny匹配即拒绝
echo "sshd:192.168.0.0/255.255.255.0" >> /etc/hosts.allow
echo "sshd:115.236.38.80/255.255.255.255" >> /etc/hosts.allow
echo "sshd:ALL" >> /etc/hosts.deny

web防护思路:url解析错误、目录遍历、非Web文件获取、源代码泄露、SQL注入,通过WAF加固

数据库思路:删除测试数据库、检测数据库密码、授权最小化原则。

  1. Linux备份与恢复

linux系统备份与恢复参考:https://cloud.tencent.com/developer/article/1685102#:~:text=CentOS7%E4%B8%8B%E4%BD%BF%E7%94%A8Mondo%20Rescue%E5%AE%9E%E7%8E%B0%E7%B3%BB%E7%BB%9F%E5%85%A8%E5%A4%87%E4%BB%BD%201%20%E3%80%81%E5%9C%A8%E7%BA%BF%E5%AE%89%E8%A3%85%202,%E3%80%81%E4%BF%AE%E6%94%B9%E5%88%86%E5%8C%BA%E6%8C%82%E8%BD%BD%E6%96%87%E4%BB%B6%2Fetc%2Ffstab%203%20%E3%80%81%E8%BF%90%E8%A1%8Cmondoarchive%E8%BF%9B%E8%A1%8C%E5%A4%87%E4%BB%BD%204%20%E3%80%81%E5%88%A9%E7%94%A8%E5%A4%87%E4%BB%BD%E9%95%9C%E5%83%8F%E8%BF%9B%E8%A1%8C%E6%81%A2%E5%A4%8D

注意事项:备份恢复硬件一致,系统分区一致,/etc/fstab不使用UUID指定

全系统备份后,后续应用调整仅备份应用数据和配置即可。


上一篇:linux系统安装后的优化操作


下一篇:处理日期时间NSDate