“Linux安全及服务器安全”的版本间的差异

来自linux中国网wiki
跳到导航 跳到搜索
docker>Evan
→‎ssh
 
 
(未显示同一用户的38个中间版本)
第1行: 第1行:
 +
=进阶 书=
 +
[https://developer.aliyun.com/article/726928 带你读《Linux系统安全:纵深防御、安全扫描与入侵检测》之二:Linux网络防火墙]
 +
=站内相关=
 +
[[Linux安全渗透]]
 +
 +
=2020遇到的安全问题=
 +
zerotie 病毒
 +
 +
服务器中了 zerotier-one 其实聪说了 原来的 什么文同学就已中毒了的
 +
 +
https://www.jenkins.io/security/advisories/
 +
 +
Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。Jenkins历史上出现过多种高危漏洞,比如CVE_2015_8103、CVE_2017_1000353、控制台未授权访问漏洞等等。
 +
漏洞详情:https://jenkins.io/security/advisories/
 +
 +
 +
[https://xz.aliyun.com/t/4756 Jenkins RCE漏洞成ImposterMiner挖矿木马新"跳板" ]
 +
 +
[https://blog.csdn.net/g6U8W7p06dCO99fQ3/article/details/90205674  jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!]
 +
 +
[https://bbs.csdn.net/topics/393688224?utm_medium=distribute.pc_relevant_t0.none-task-discussion_topic-BlogCommendFromBaidu-1.control&depth_1-utm_source=distribute.pc_relevant_t0.none-task-discussion_topic-BlogCommendFromBaidu-1.control  最近几天爆发的jenkins漏洞感染挖矿病毒有没有办法治治他? ]
 +
 +
[https://www.cnblogs.com/gaoyuechen/p/10466098.html Jenkins这种构建工具,一般都是内部使用,所以外部基本上不能访问]
 +
 +
=安全扫描=
 +
git clone https://github.com/grayddq/GScan.git  && cd  GScan  && python GScan.py
 +
 
=账户和登录安全=
 
=账户和登录安全=
 
==删除特殊的用户和用户组==
 
==删除特殊的用户和用户组==
第4行: 第31行:
 
sendmail telnet
 
sendmail telnet
  
== 密码安全==
+
== 密码安全 Disable Password-based Authentication==
用key  不用直接root  use sudo -i  
+
用key  不用直接root  use sudo -i
 +
 
 
== 删减系统登录欢迎信息==
 
== 删减系统登录欢迎信息==
  
第11行: 第39行:
 
== 远程登录取消telnet 只用ssh==
 
== 远程登录取消telnet 只用ssh==
 
==启用tcp_wrappers ==
 
==启用tcp_wrappers ==
 +
 +
<pre>
 +
vi /etc/hosts.allow
 +
sshd:12.0.0.1,192.168.80.*
 +
 +
vi /etc/hosts.deny
 +
sshd:ALL
 +
</pre>
 +
[https://www.lxlinux.net/1503.html Linux系统中TCP Wrappers配置教程]
  
 
== ==
 
== ==
第18行: 第55行:
 
==非root 运行服务==
 
==非root 运行服务==
 
eg redis
 
eg redis
 +
 +
=隐藏版本号和信息=
 +
==php 隐藏版本号和信息==
 +
[https://www.liuhaolin.com/php/357.html php如何隐藏php的版本号(X-Powered-By: PHP)]
 +
 +
[https://blog.csdn.net/huxyc/article/details/124459246  隐藏PHP版本]
 +
 +
==Nginx 隐藏版本号和信息==
 +
 +
===进入nginx配置文件的目录===
 +
<pre>
 +
1、进入nginx配置文件的目录(此目录根据安装时决定)
 +
 +
    # vim nginx.conf
 +
 +
在http {—}里加上server_tokens off; 如:
 +
 +
http {
 +
……
 +
sendfile on;
 +
tcp_nopush on;
 +
keepalive_timeout 60;
 +
tcp_nodelay on;
 +
server_tokens off;
 +
…….
 +
 +
#如果有会报错
 +
 +
查看之前和之后的结果
 +
 +
用 curl -I  url  #-I, --head
 +
 +
</pre>
 +
 +
===php-fpm配置文件 ===
 +
<pre>
 +
2、编辑php-fpm配置文件,如fastcgi.conf或fcgi.conf(这个配置文件名也可以自定义的,根据具体文件名修改):
 +
 +
/usr/local/openresty/nginx/conf/fastcgi.conf
 +
    找到:
 +
    fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
 +
    改为:
 +
    fastcgi_param SERVER_SOFTWARE nginx;
 +
 +
3、重新加载nginx配置:
 +
openresty  -t && openresty  -s reload
 +
 +
这样就完全对外隐藏了nginx版本号了,就是出现404、501等页面也不会显示nginx版本。
 +
</pre>
 +
 +
 +
 +
 +
curl -I  url
 +
[https://www.jianshu.com/p/8794d638d54f Nginx 隐藏版本号和信息]
 +
 +
[https://blog.csdn.net/yongyong169/article/details/80966960  nginx隐藏版本号]
 +
 +
[https://blog.csdn.net/weixin_39831567/article/details/119693583  nginx网站服务器的版本号,隐藏nginx版本号的两种方法]
 +
 +
= Fail2Ban=
 +
[https://zhuanlan.zhihu.com/p/33546122 如何在 Linux 上用 Fail2Ban 保护服务器免受暴力攻击]
 +
 +
[https://www.debian.cn/archives/2880  Debian 安装 fail2ban 方式SSH爆破攻击]
 +
 +
[https://www.digitalocean.com/community/tutorials/how-to-protect-ssh-with-fail2ban-on-centos-7 How To Protect SSH With Fail2Ban on CentOS 7]
  
 
=firewall=
 
=firewall=
  
=ssh=
+
==ufw==
 +
https://wiki.ubuntu.com.cn/Ufw%E4%BD%BF%E7%94%A8%E6%8C%87%E5%8D%97
 +
 
 +
https://wiki.ubuntu.com.cn/UFW%E9%98%B2%E7%81%AB%E5%A2%99%E7%AE%80%E5%8D%95%E8%AE%BE%E7%BD%AE
 +
 
 +
=openssh=
 
[[Openssh安全性配置]]
 
[[Openssh安全性配置]]
  
= =
+
=rootkit =
 +
[https://developer.aliyun.com/article/718970 Linux系统安全之Rootkit原理解析与检测实践]
  
 
=deny root =
 
=deny root =
第37行: 第146行:
 
[https://www.cnblogs.com/sun-sunshine123/p/7119472.html Linux系统安全配置基线]
 
[https://www.cnblogs.com/sun-sunshine123/p/7119472.html Linux系统安全配置基线]
  
  [[category:ops]]
+
[https://wiki.ubuntu.com.cn/StrongPasswords StrongPasswords]
 +
 
 +
[https://os.51cto.com/art/202012/637806.htm Linux操作系统加固]
 +
 
 +
 
 +
[https://geekflare.com/cloud-vm-security-guide/ How to Secure and Harden Cloud VM]
 +
 
 +
[https://zhuanlan.zhihu.com/p/39591309 提高linux服务器安全的方法?]
 +
 
 +
[https://zhangchenchen.github.io/2016/09/16/secure-your-ubuntu-server/  安全系列 --简单加固 ubuntu 服务器 ]
 +
 
 +
[https://linux.cn/article-13298-1.html 6 个提升 Linux 服务器安全的开源工具和技巧 ]
 +
 
 +
[https://www.crisen.org/archives/253  服务器安全加强攻略(linux)]
 +
 
 +
[https://www.sysgeek.cn/linux-server-security-tips/ 加强Linux服务器安全的20项建议]
 +
 
 +
[https://cloud.tencent.com/developer/article/1163847 20个Linux服务器安全强化建议(一)]
 +
  [[category:ops]]  [[category:Security]]

2022年10月12日 (三) 07:34的最新版本

进阶 书

带你读《Linux系统安全:纵深防御、安全扫描与入侵检测》之二:Linux网络防火墙

站内相关

Linux安全渗透

2020遇到的安全问题

zerotie 病毒

服务器中了 zerotier-one 其实聪说了 原来的 什么文同学就已中毒了的

https://www.jenkins.io/security/advisories/

Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。Jenkins历史上出现过多种高危漏洞,比如CVE_2015_8103、CVE_2017_1000353、控制台未授权访问漏洞等等。 漏洞详情:https://jenkins.io/security/advisories/


Jenkins RCE漏洞成ImposterMiner挖矿木马新"跳板"

jenkins漏洞导致服务器中了挖矿病毒!cpu飙高351%!看我如何消灭它!

最近几天爆发的jenkins漏洞感染挖矿病毒有没有办法治治他?

Jenkins这种构建工具,一般都是内部使用,所以外部基本上不能访问

安全扫描

git clone https://github.com/grayddq/GScan.git  && cd  GScan  && python GScan.py

账户和登录安全

删除特殊的用户和用户组

关闭不要的服务

sendmail telnet

密码安全 Disable Password-based Authentication

用key 不用直接root use sudo -i

删减系统登录欢迎信息

远程访问和认证安全

远程登录取消telnet 只用ssh

启用tcp_wrappers

vi /etc/hosts.allow
 sshd:12.0.0.1,192.168.80.*
 
 vi /etc/hosts.deny
 sshd:ALL

Linux系统中TCP Wrappers配置教程

非root 运行服务

eg redis

隐藏版本号和信息

php 隐藏版本号和信息

php如何隐藏php的版本号(X-Powered-By: PHP)

隐藏PHP版本

Nginx 隐藏版本号和信息

进入nginx配置文件的目录

1、进入nginx配置文件的目录(此目录根据安装时决定)

    # vim nginx.conf

在http {—}里加上server_tokens off; 如:

http {
……
sendfile on;
tcp_nopush on;
keepalive_timeout 60;
tcp_nodelay on;
server_tokens off;
…….

#如果有会报错 

查看之前和之后的结果

用 curl -I  url  #-I, --head

php-fpm配置文件

2、编辑php-fpm配置文件,如fastcgi.conf或fcgi.conf(这个配置文件名也可以自定义的,根据具体文件名修改):

/usr/local/openresty/nginx/conf/fastcgi.conf
    找到:
    fastcgi_param SERVER_SOFTWARE nginx/$nginx_version;
    改为:
    fastcgi_param SERVER_SOFTWARE nginx;

3、重新加载nginx配置:
openresty  -t && openresty  -s reload 

这样就完全对外隐藏了nginx版本号了,就是出现404、501等页面也不会显示nginx版本。



curl -I  url

Nginx 隐藏版本号和信息

nginx隐藏版本号

nginx网站服务器的版本号,隐藏nginx版本号的两种方法

Fail2Ban

如何在 Linux 上用 Fail2Ban 保护服务器免受暴力攻击

Debian 安装 fail2ban 方式SSH爆破攻击

How To Protect SSH With Fail2Ban on CentOS 7

firewall

ufw

https://wiki.ubuntu.com.cn/Ufw%E4%BD%BF%E7%94%A8%E6%8C%87%E5%8D%97

https://wiki.ubuntu.com.cn/UFW%E9%98%B2%E7%81%AB%E5%A2%99%E7%AE%80%E5%8D%95%E8%AE%BE%E7%BD%AE

openssh

Openssh安全性配置

rootkit

Linux系统安全之Rootkit原理解析与检测实践

deny root

see also

系统安全工具介绍

Linux系统安全加固设置详细教程

Linux系统安全配置基线

StrongPasswords

Linux操作系统加固


How to Secure and Harden Cloud VM

提高linux服务器安全的方法?

安全系列 --简单加固 ubuntu 服务器

6 个提升 Linux 服务器安全的开源工具和技巧

服务器安全加强攻略(linux)

加强Linux服务器安全的20项建议

20个Linux服务器安全强化建议(一)