Linux系统平安Shell剧本用于Linux系统的平安初始化剧本

申请免费试用、咨询电话：400-8352-114

下面的这段Linux系统平安Shell剧本用于Linux系统的平安初始化剧本，可以在效劳器系统装置终了之后立刻执行以疾速树立起效劳器的平安防护。开始的剧本由晓辉撰写，在数次修正之后曾经很多使用在某大型媒体网站系统中。修正了一些bug，曾经在CentOS 5.5 x86_64下经过，当前在一些没有硬件防火墙的效劳器上运用。

　　运用办法：将其复制，保管为一个shell文件，比方security.sh。将其上传到linux效劳器上，执行sh security.sh，就可以运用该剧本了。建议人人在系统初始化后立刻执行，然后创立了用户帐号和暗码后就不要再改动了，以免影响主要文件的初始md5值。

　　剧本内容(以下内容为了便利阅读，对注释进行了翻译)：

　　#!/bin/sh

　　# desc: setup linux system security

　　# author:coralzd

　　# powered by www.baidu.org.tw

　　# version 0.1.2 written by 2011.05.03

　　#设置账号

　　passwd -l xfs

　　passwd -l news

　　passwd -l nscd

　　passwd -l dbus

　　passwd -l vcsa

　　passwd -l games

　　passwd -l nobody

　　passwd -l avahi

　　passwd -l haldaemon

　　passwd -l gopher

　　passwd -l ftp

　　passwd -l mailnull

　　passwd -l pcap

　　passwd -l mail

　　passwd -l shutdown

　　passwd -l halt

　　passwd -l uucp

　　passwd -l operator

　　passwd -l sync

　　passwd -l adm

　　passwd -l lp

　　# 用chattr给用户途径更改属性。chattr敕令用法参考文末阐明[1]

　　chattr +i /etc/passwd

　　chattr +i /etc/shadow

　　chattr +i /etc/group

　　chattr +i /etc/gshadow

　　# 设置暗码延续输错3次后锁定5分钟 【　Linux公社 www.Linuxidc.com　】

　　sed -i ‘s#auth required pam_env.so#auth required pam_env.so\nauth required pam_tally.so onerr=fail deny=3 unlock_time=300\nauth required /lib/security/$ISA/pam_tally.so onerr=fail deny=3 unlock_time=300#’ /etc/pam.d/system-auth

　　# 5分钟后主动登出，缘由参考文末阐明[2]

　　echo “TMOUT=300″ >>/etc/profile

　　# 前史敕令记载数设定为10条

　　sed -i “s/HISTSIZE=1000/HISTSIZE=10/” /etc/profile

　　# 让以上针对 /etc/profile 的改动立刻生效

　　source /etc/profile

　　# 在 /etc/sysctl.conf 中启用 syncookie

　　echo “net.ipv4.tcp_syncookies=1″ >> /etc/sysctl.conf

　　sysctl -p # exec sysctl.conf enable

　　# 优化 sshd_config

　　sed -i “s/#MaxAuthTries 6/MaxAuthTries 6/” /etc/ssh/sshd_config

　　sed -i ”s/#UseDNS yes/UseDNS no/” /etc/ssh/sshd_config

　　# 限制主要敕令的权限

　　chmod 700 /bin/ping

　　chmod 700 /usr/bin/finger

　　chmod 700 /usr/bin/who

　　chmod 700 /usr/bin/w

　　chmod 700 /usr/bin/locate

　　chmod 700 /usr/bin/whereis

　　chmod 700 /sbin/ifconfig

　　chmod 700 /usr/bin/pico

　　chmod 700 /bin/vi

　　chmod 700 /usr/bin/which

　　chmod 700 /usr/bin/gcc

　　chmod 700 /usr/bin/make

　　chmod 700 /bin/rpm

　　# 前史平安

　　chattr +a /root/.bash_history

　　chattr +i /root/.bash_history

　　# 给主要敕令写 md5

　　cat > list << “EOF” &&

　　/bin/ping

　　/usr/bin/finger

　　/usr/bin/who

　　/usr/bin/w

　　/usr/bin/locate

　　/usr/bin/whereis

　　/sbin/ifconfig

　　/bin/vi

　　/usr/bin/vim

　　/usr/bin/which

　　/usr/bin/gcc

　　/usr/bin/make

　　/bin/rpm

　　EOF

　　for i in `cat list`

　　do

　　if [ ! -x $i ];then

　　echo “$i not found,no md5sum!”

　　else

　　md5sum $i >> /var/log/`hostname`.log

　　fi

　　done

　　rm -f list

　　常识点[1]：有关chattr敕令

　　chattr 敕令可以修正文件属性，到达维护文件和目次的效果。比拟改动文件读写、执行权限的chmod敕令，chattr敕令可以节制更底层的文件属性。该敕令非常强壮，个中一些功用是由Linux内核版原本支撑的，假如Linux内核版本低于2.2，那么很多功用不克不及完成。相同-D反省紧缩文件中的错误的功用，需求2.5.19以上内核才干支撑。别的，经过chattr敕令修正属功能够进步系统的平安性，然则它并不合适一切的目次。chattr敕令不克不及维护/、 /dev、/tmp、/var目次。

　　此类属性的检查可以经过lsattr敕令完成。

　　chattr敕令的用法：chattr [ -RV ] [ -v version ] [ mode ] files…

　　最要害的是在[mode]局部，，即文件属性局部。[mode]局部是由+-=和[ASacDdIijsTtu]这些字符组合的。

　　+ ：在原有参数设定根底上，追加参数。

　　- ：在原有参数设定根底上，移除参数。

　　= ：更新为指定参数设定。

　　A：文件或目次的 atime (access time)不成被修正(modified), 可以有用预防例如手提电脑磁盘I/O错误的发作。

　　S：硬盘I/O同步选项，功用相似sync。

　　a：即append，设定该参数后，只能向文件中添加数据，而不克不及删除，多用于效劳器日记文 件平安，只要root才干设定这个属性。

　　c：即compresse，设定文件能否经紧缩后再存储。读取时需求经由主动解压操作。

　　d：即no dump，设定文件不克不及成为dump顺序的备份目的。

　　i：设定文件不克不及被删除、更名、设定链接关系，还不克不及写入或新增内容。i参数关于文件 系统的平安设置有很大协助。

　　j：即journal，设定此参数使妥当经过mount参数：data=ordered 或许 data=writeback 挂 载的文件系统，文件在写入时会先被记载(在journal中)。假如filesystem被设定参数为 data=journal，则该参数主动掉效。

　　s：保护秘密性地删除文件或目次，即硬盘空间被悉数回收。

　　u：与s相反，当设定为u时，数据内容其实还存在磁盘中，可以用于undeletion.

　　各参数选项中常用到的是a和i。a选项强迫只可添加不成删除，多用于日记系统的平安设定。而i是更为严厉的平安设定，只要superuser (root) 或具有CAP_LINUX_IMMUTABLE处置才能(标识)的历程可以施加该选项。

　　使用实例：

　　1、用chattr敕令避免系统中某个要害文件被修正

<span style="COLOR: rgb(0,128,0)">　　# chattr +i /etc/fstab

　　然后试一下rm mv rename等敕令操作于该文件，都是获得Operation not permitted 的后果

　　2、让某个文件只能往里面追加内容，不克不及删除，一些日记文件合用于这种操作

<span style="COLOR: rgb(0,128,0)">　　# chattr +a /data1/user_act.log

　　常识点[2]：为何要设置5分钟后主动登出

　　因为客户的维护人员经常上岸上去后经过直接封闭TERM端口不合法退出telnet，形成系统的pts历程越来越多，一个月下来居然近百，当历程过多的时分系统就会发生报警。标准操作应该是用exit或许ctrl+D，然则其别人并不如许操作，所以我们界说了echo “TMOUT=300″ >& gt;/etc/profile这一项内容，是让效劳器主动剔除300秒没有任何举措的客户端。当然了这一项人人可以依据实践需求而决议能否添加。