Linux 安全设置脚本,部分配置按需修改

Linux 安全设置脚本,部分配置按需修改

#!/bin/bash
# Filename:     security_setting.sh
# Author:       Jeff.Cui
# Date:         2023-05-22
############### 安全设置主要修改功能 ###############
# 修改禁止 root ssh 登录,如只有root用户,则添加用户:dbaadmin/DBA_Test1 用户;
# 修改 ssh 端口为 922 ;
# 修改密码最大可用时间180天,最少8位大写字母、小写字母、数字、特殊字符;
# 修改限制IP网段访问,hosts.allow 和 firewalld
# 修改超时限制 1800s;

# 红字、高亮
RGB_DANGER() {
    echo -e "\n\033[31;1m# $1 \033[0m\n"
}
# 白字、半亮
RGB_WAIT() {
    echo -e "\n\033[37;2m# $1 \033[0m\n"
}
# 绿字、高亮
RGB_SUCCESS() {
    echo -e "\n\033[32;1m# $1 \033[0m\n"
}
# 黄字、半亮
RGB_WARNING() {
    echo -e "\n\033[33;2m# $1 \033[0m\n"
}
# 天蓝字、半亮
RGB_INFO() {
    echo -e "\n\033[36;2m# $1 \033[0m"
}
# 检查操作系统大版本,如6/7/8
CHECK_VER=$(egrep "^VERSION_ID" /etc/os-release | cut -d\" -f2 | cut -d\. -f1)
# 检查 RAM 大小,此处未使用
CHECK_RAM=$(cat /proc/meminfo | grep "MemTotal" | awk -F" " '{ram=$2/1024/1024}{printf("%.0f",ram)}')
# 设置日志名字,脚本同目录下
conflog=linux_security_$(date +'%Y%m%d').log
# 检查 kernel 版本,用以同 4.9 比较大小,BBR 要求 4.9 及以上版本
KERN=$(uname -r | awk -F. '{ printf("%d.%d\n",$1,$2); }')
kern_int=$(echo $KERN|cut -d\. -f1)
kern_dec=$(echo $KERN|cut -d\. -f2)
if [ $kern_int -gt 4 ];then
    cansue_bbr = "Y"
elif [ $kern_int -eq 4 ] && [ $kern_dec -ge 9 ];then
    cansue_bbr = "Y"
fi

# 检查是否 root 执行
check_root() {
    if [[ $EUID -ne 0 ]]; then
        RGB_DANGER "This script must be run as root!"
        exit 1
    fi
}

# 检查 OS 版本是否为 7
check_os() {
    if [ "${CHECK_VER}" != '7' ]; then
        RGB_DANGER "This script must be run on Linux 7!"
        exit 1
    fi
}

# 启用 BBR,防止网络拥塞,需要内核版本>=4.9
open_bbr() {
    echo "============= bbr =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    sed -i '/default_qdisc\|BBR\|tcp_congestion_control/d' /etc/sysctl.conf
    echo "# BBR" >>/etc/sysctl.conf
    echo "net.core.default_qdisc=fq" >>/etc/sysctl.conf
    echo "net.ipv4.tcp_congestion_control=bbr" >>/etc/sysctl.conf
    sysctl -p >>${conflog} 2>&1
    sysctl -n net.ipv4.tcp_congestion_control >>${conflog} 2>&1
    lsmod | grep bbr >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 设置禁用 SELinux
disable_selinux() {
    echo "============= selinux =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    seconf=$(grep -i ^selinux= /etc/selinux/config | sed 's/ //g' | cut -d\= -f2)
    seconf=$(echo $seconf | tr [:upper:] [:lower:])
    if [ "${seconf}" != "disabled" ];then
        sed -i 's/^SELINUX=.*$/SELINUX=disabled/g' /etc/selinux/config
        setenforce 0
    else
        RGB_INFO "SELinux already configed to 'disabled',see /etc/selinux/config:$(grep -i ^selinux= /etc/selinux/config)"
    fi
    # systemctl disable firewalld.service >>${conflog} 2>&1
    # systemctl stop firewalld.service >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 设置仅允许指定 IP 可以 ssh 登录
limit_sshIP() {
    sed -i '/10.10.212.89/d' /etc/hosts.allow
    echo "sshd:10.10.212.89/255.255.252.0" >>/etc/hosts.allow
    sed -i '/sshd:/d' /etc/hosts.deny
    echo 'sshd:ALL' /etc/hosts.deny
    systemctl restart firewalld # 开启防火墙
    systemctl enable firewalld # 开机自启动防火墙
    firewall-cmd --zone=public --list-rich-rules
    firewall-cmd --permanent --remove-service=ssh
    firewall-cmd --permanent --zone=public --remove-service=ssh # 取消没有限制的ssh服务,限制远程登录
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="192.168.56.0/23" port protocol="tcp" port="922" accept' #添加 192.168.56.0/23 网段 访问 922号端口白名单
    firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="10.10.212.89/22" port protocol="tcp" port="922" accept' #添加 10.10.212.89/22 网段 访问 922号端口白名单
    firewall-cmd --reload # 生效设置
    firewall-cmd --zone=public --list-rich-rules
}

# 设置时区为东八区 'Asia/Shanghai' "+0800"
time_zone() {
    echo "============= time zone =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    if [ "$(date +%z)" != "+0800" ];then
        rm -rf /etc/localtime >>${conflog} 2>&1
        ln -sf /usr/share/zoneinfo/Asia/Shanghai /etc/localtime >>${conflog} 2>&1
        ls -ln /etc/localtime >>${conflog} 2>&1
    else
        tz=$(echo " $(ls -l /etc/localtime | awk -F"/" '{print $(NF-1)"/"$NF}') ($(date +'%Z, %z'))" | sed 's/^ //g')
        RGB_INFO "Time Zone already set to 'Asia/Shanghai', like $tz,see /etc/localtime"
    fi
    RGB_SUCCESS "Configuration Success"
}

# 可选,测试环境可用
custom_profile() {
    echo "============= custom profile =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    cat >/etc/profile.d/secu.sh <>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 禁用 ctrl-alt-del 重启组合键
disable_cad() {
    echo "============= disable cad =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    if [ -h /etc/systemd/system/ctrl-alt-del.target ];then
        rm -rf /usr/lib/systemd/system/ctrl-alt-del.target
        RGB_INFO "removed ctrl-alt-del.target link"
    else
        RGB_INFO "Already removed ctrl-alt-del.target link"
    fi
    # systemctl mask ctrl-alt-del.target >>${conflog} 2>&1 # 创建或修改软连接指向 /dev/null
    RGB_SUCCESS "Configuration Success"
}

# 锁定没有登录权限的账户
lock_user() {
    echo "============= Lock users =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    for account in $(egrep "/sbin/nologin" /etc/passwd | cut -f 1 -d ":"); do
        passwd -l $account 2>&1 >/dev/null
    done
    # 如果只有 root 账户可登录系统,则建立其他管理员账户,如:dbaadmin/DBA_Test1
    if [ $(egrep "/bin/bash|/bin/csh|/bin/sh" /etc/passwd | cut -f 1 -d ":" | grep -v root| wc -l) -eq 0 ];then
        useradd dbaadmin -g wheel -G wheel
        echo "DBA_Test1" | passwd --stdin dbaadmin
    fi
    # cut -d : -f 1 /etc/passwd >>${conflog} 2>&1
    # for g in adm lp mail games ftp; do
    #     groupdel ${g} >>${conflog} 2>&1
    # done
    # cat /etc/group >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 系统文件权限
sys_permissions() {
    echo "============= sys permissions =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    chmod 644 /etc/passwd >>${conflog} 2>&1
    chmod 644 /etc/group >>${conflog} 2>&1
    chmod 000 /etc/shadow >>${conflog} 2>&1
    chmod 000 /etc/gshadow >>${conflog} 2>&1
    ls -la /etc/passwd >>${conflog} 2>&1
    ls -la /etc/group >>${conflog} 2>&1
    ls -la /etc/shadow >>${conflog} 2>&1
    ls -la /etc/gshadow >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

#修改已经存在的账户的密码过期时间
exist_account_pwd_policy() {
    name=$(egrep "/bin/bash|/bin/csh|/bin/sh" /etc/passwd | grep -v root | awk -F ":" '{print $1}')
    echo "Check exist account and change expire time for password..."
    if [ -n "$name" ]; then
        for i in $name; do
            passwd -n 2 -x 180 -w 7 $i 2>&1 >/dev/null
        done
        printf "OK\n"
    else
        printf "Do not exist account,OK\n"
    fi
}

# 修改默认密码策略,对后加账户生效
password_policy() {
    echo "============= default password policy =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    passwd_maxdays=$(grep -i ^PASS_MAX_DAYS /etc/login.defs | awk '{print $2}')
    if [ $passwd_maxdays -gt 180 ];then
        cp /etc/login.defs /etc/login.defs.$(date +'%F')
        sed -i 's/^PASS_MAX_DAYS.*$/PASS_MAX_DAYS   180/' /etc/login.defs
        sed -i 's/^PASS_MIN_DAYS.*$/PASS_MIN_DAYS   0/' /etc/login.defs
        sed -i  's/^PASS_MIN_LEN.*$/PASS_MIN_LEN    8/' /etc/login.defs
        sed -i 's/^PASS_WARN_AGE.*$/PASS_WARN_AGE   7/' /etc/login.defs
    else
        RGB_INFO "Default Password lifetime policy already changed, do nothing"
    fi
    grep -Ev "^$|^#" /etc/login.defs >>${conflog} 2>&1
    # 修改密码复杂度
    plnum=$(grep -Ei "^minlen|^difok|^dcredit|^ucredit|^ocredit|^lcredit" /etc/security/pwquality.conf| wc -l)
    if [ $plnum -eq 0 ];then
        cat >>/etc/security/pwquality.conf <>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    sed -i 's/^INACTIVE.*$/INACTIVE=180/' /etc/default/useradd
    cat /etc/default/useradd >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 配置 ssh 策略
sec_ssh() {
    echo "============= ssh 安全设置(禁止root登录、修改ssh默认端口为922) =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    cp /etc/ssh/sshd_config /etc/ssh/sshd_config_$(date +'%F')
    sed -i '/^UseDNS\|^Port\|^AllowTcpForwarding\|^X11UseLocalhost\|^X11Forwarding\|^LoginGraceTime\|^PermitEmptyPasswords\|^PubkeyAuthentication\|^MaxAuthTries\|^ClientAlive\|^PermitRootLogin/d' /etc/ssh/sshd_config
    sed -i '/^#UseDNS/a\UseDNS no' /etc/ssh/sshd_config
    sed -i '/^#Port/a\Port 922' /etc/ssh/sshd_config
    sed -i '/^#AllowTcpForwarding/a\AllowTcpForwarding yes' /etc/ssh/sshd_config
    sed -i '/^#X11UseLocalhost/a\X11UseLocalhost no' /etc/ssh/sshd_config
    sed -i '/X11Forwarding/a\X11Forwarding yes' /etc/ssh/sshd_config
    sed -i '/^#LoginGraceTime/a\LoginGraceTime 90' /etc/ssh/sshd_config
    sed -i '/^#PermitEmptyPasswords/a\PermitEmptyPasswords no' /etc/ssh/sshd_config
    sed -i '/^#PubkeyAuthentication/a\PubkeyAuthentication yes' /etc/ssh/sshd_config
    sed -i '/^#MaxAuthTries/a\MaxAuthTries 5' /etc/ssh/sshd_config
    sed -i '/^#ClientAliveInterval/a\ClientAliveInterval 60' /etc/ssh/sshd_config
    sed -i '/^#ClientAliveCountMax/a\ClientAliveCountMax 3' /etc/ssh/sshd_config
    sed -i '/^#PermitRootLogin/a\PermitRootLogin no' /etc/ssh/sshd_config
    sed -i "s/#Banner none/Banner \/etc\/issue.net/g" /etc/ssh/sshd_config
    echo "ATTENTION:You have logged onto a secured server, ONLY Authorized users can access..." > /etc/issue
    echo "ATTENTION:You have logged onto a secured server, ONLY Authorized users can access..." > /etc/issue.net
    echo "ATTENTION:You have logged onto a secured server, ONLY Authorized users can access..." > /etc/motd
    systemctl restart sshd >/dev/null 2>&1
    grep -Ev "^$|^#" /etc/ssh/sshd_config >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 禁用 USB 设备
dsiable_usb() {
    echo "============= 禁用 USB 设备 =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    echo "install usb-storage /bin/true" >/etc/modprobe.d/block_usb.conf
    cat /etc/modprobe.d/block_usb.conf >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 超时设置
timeout_config() {
    echo "============= timeout config =============" >>${conflog} 2>&1
    RGB_WAIT "Configuring..."
    echo "export TMOUT=1800" >>/etc/profile.d/custom.conf
    cat /etc/profile.d/custom.conf >>${conflog} 2>&1
    RGB_SUCCESS "Configuration Success"
}

# 询问是否重启 OS, reboot
reboot_os() {
    RGB_WARNING "Please restart the server and see if the services start up fine."
    RGB_WARNING "Do you want to restart OS ? [y/n]: "
    while :; do
        read REBOOT_STATUS
        if [[ ! "${REBOOT_STATUS}" =~ ^[y,n]$ ]]; then
            echo -en "${RGB_DANGER}Input error, please only input 'y' or 'n': "
        else
            break
        fi
    done
    REBOOT_STATUS=$(echo $REBOOT_STATUS | tr [:upper:] [:lower:])
    [ "${REBOOT_STATUS}" == 'y' ] && reboot
}

# 主步骤
main() {
    RGB_INFO "1/13 : Customize the profile (color and alias)"
    custom_profile
    RGB_INFO "2/13 : Time zone adjustment,设置时区"
    time_zone
    RGB_INFO "3/13 : Disable selinux,禁用 SELinux"
    disable_selinux
    RGB_INFO "4/13 : Configure Limit IP login,限制 IP 远程访问"
    limit_sshIP
    RGB_INFO "5/13 : Disable Ctrl+Alt+Del"
    disable_cad
    if [ "$cansue_bbr" = "Y" ];then
        RGB_INFO "6/13 : Enable Google bbr congestion control algorithm,启用 Google BBR 防拥堵,内核版本≥4.9"
        open_bbr
    else
        RGB_INFO "6/13 : 不支持 Google BBR 防拥堵配置,内核版本<4.9,Not support Google bbr congestion control algorithm, do nothing..."
    fi
    RGB_INFO "7/13 : 锁定(Lock)没有登录权限的账户 ( $(egrep "/sbin/nologin" /etc/passwd | cut -d: -f1 | paste -s -d ","s) )"
    lock_user
    RGB_INFO "8/13 : System permissions for sensitive files,修改passwd/group等系统文件读写权限"
    exist_account_pwd_policy
    RGB_INFO "9/13 : System permissions for sensitive files,修改passwd/group等系统文件读写权限"
    sys_permissions
    RGB_INFO "10/13 : Modify Account Password Survival Policy,设置密码最大可用天数、最小长度等"
    password_policy
    RGB_INFO "11/13 : Maximum number of days an account is valid after password expiration strategy"
    change_useradd
    RGB_INFO "12/13 : SSH 安全设置,禁用 root 远程登录,修改默认端口为 922"
    sec_ssh
    RGB_INFO "13/13 : Timeout Auto-Logout Configuration, 设置 30 分钟超时退出"
    timeout_config
    reboot_os
}
clear
check_root
check_os
main

你可能感兴趣的:(linux安全shelldba)

  • 【Linux命令大全】Linux安全模块(LSM)终极指南:SELinux与AppArmor实战
    【Linux命令大全】Linux安全模块(LSM)终极指南:SELinux与AppArmor实战安全警报:90%的Linux系统未正确配置强制访问控制!掌握这些技术可防御95%的提权攻击!本文包含100+策略案例,25张权限流程图,企业级安全方案全公开!前言:为什么LSM是系统安全的最后防线?在日益复杂的攻击环境下,我们面临的核心安全挑战:零日漏洞的应急防护容器逃逸攻击防御横向移动限制合规审计要求
  • 第27篇:SELinux安全增强机制深度解析与OpenEuler实践指南
    SELinux安全增强机制深度解析与OpenEuler实践指南一、SELinux核心概念与安全体系架构1.1访问控制机制演进与SELinux定位在计算机系统安全领域,访问控制机制经历了从简单到复杂的发展历程。传统的自主访问控制(DAC)以文件所有者权限为核心,如Linux中的UID/GID权限体系,允许所有者自由分配权限,但这种机制在面对多用户复杂环境时存在安全隐患——一旦用户账户被入侵,攻击者可
  • Linux基础学习 生活vs诗和远方 Linux
    1操作系统操作系统一般分为桌面系统、服务器系统、嵌入式系统、移动设备操作系统等四种;操作系统用来管理硬件系统1.1桌面操作系统Windows系列用户群体大MacOS适合于开发人员Linux应用软件少服务器系统嵌入式系统应用较广1.2服务器系统Linux安全、稳定、免费占有率高WindowsServer付费占有率低1.3嵌入式操作系统Linux内核:(只有一个)系统调用----->硬件终端命令---
  • Linux系统安全管理 LPH3119 网络linux系统安全安全
    目录一、SELinux安全上下文1、SELinux简介1.1、概述1.2、核心思想1.3、工作模式2、基础操作命令3、安全上下文(SecurityContext)3.1、查看上下文3.2、修改上下文chcon命令semanage命令4、SELinux布尔值(Booleans)5、日志分析与故障排除1.查看SELinux日志2.生成解决方案建议6、常见问题与解决方案场景1:Web服务器无法访问文件场
  • 【Linux命令大全】iptables/nftables终极指南:防火墙与流量控制实战 全息架构师 Linux前沿技术与应用linux运维服务器
    【Linux命令大全】iptables/nftables终极指南:防火墙与流量控制实战安全警报:全球每分钟遭受超过10,000次网络攻击!掌握这些防火墙技巧可阻断99%的恶意流量!本文包含150+规则案例,35张架构图,企业级安全方案全公开!前言:为什么防火墙是Linux安全的基石?在日益复杂的网络威胁环境中,我们面临的核心安全挑战:零日漏洞的应急防护分布式拒绝服务(DDoS)攻击应用层攻击防御南
  • 《网络安全自学教程》- Linux安全标识符、身份鉴别、访问控制 士别三日wyx 《网络安全快速入门》《网络安全自学教程》安全web安全linux网络安全人工智能
    《网络安全自学教程》操作系统有4个安全目标,也就是说想要保证操作系统的安全,就必须实现这4个需求:标识系统中的用户和进行身份鉴别。依据系统安全策略对用户的操作进行访问控制,防止用户和外来入侵者对计算机资源的非法访问。审计系统运行的安全性。保证系统自身的安全性和完整性。Linux系统使用「安全标识符」、「身份鉴别」、「访问控制」这三个安全机制实现前两个需求。Linux1、Linux系统标识2、Lin
  • Linux课件:从入门到精通,通俗易懂 方祯
    本文还有配套的精品资源,点击获取简介:本课件专为Linux初学者设计,旨在传授Linux操作系统的基础知识和系统管理技能。内容覆盖了Linux的历史、发行版选择、命令行操作、文件系统结构与权限、软件管理、系统服务、网络配置、Shell脚本编程以及Linux安全性等关键主题。通过PPT形式的讲解,结合实际操作指导,帮助初学者顺利入门并逐步成为熟练的Linux管理员。1.Linux基础知识介绍Linu
  • Android SELinux权限 sw.dev Android应用android
    Android使用安全增强型Linux(SELinux)对所有进程强制执行强制访问控制(MAC),其中包括以Root/超级用户权限运行的进程(Linux功能)。工作模式宽容模式-仅记录但不强制执行SELinux安全政策。强制模式-强制执行并记录安全政策。如果失败,则显示为EPERM错误。可以通过getenfoce来获取当前工作模式:console:/#getenforceEnforcing还可以通
  • Linux安全模块:SELinux与AppArmor深度解析 杨凯凡 linux服务器运维安全
    引言在Linux安全领域,SELinux和AppArmor就像两位忠诚的"系统保镖",为你的服务器提供强制访问控制(MAC)保护!本文将深入解析这两大安全模块的工作原理、配置方法和实战技巧。无论你是要加固Web服务器,还是想保护关键数据,掌握这些知识都能让你的系统安全性提升一个等级!让我们一起探索Linux安全模块的奥秘吧~Linux安全模块SELinuxAppArmor一、SELinux(Sec
  • Linux学习笔记----第四章 GD_MI 学习笔记
    1.Linux安全模型资源分派Authentication:认证,验证用户身份Authorization:授权,不同的用户设置不同权限Accouting:审计,事后行为在Linux系统中,当用户登录成功时,系统会自动分配令牌token,包括:用户标识和组成员等信息。审计日志#查看日志journalctl[root@localhost~]#journalctl-usshd--LogsbeginatT
  • 红帽认证 Linux安全 级别 博睿谷IT99_ 红帽认证网工资讯linux安全运维
    红帽认证体系将安全能力划分为‌专项技能认证‌与‌架构师路径‌,覆盖从基础加固到企业级安全架构设计。以下是安全相关认证的级别、核心内容及职业定位:一、红帽安全认证分级与定位‌认证名称级别考试代码核心方向考试难度适用人群‌RedHatCertifiedSpecialistinSecurity‌中级EX415系统安全加固与合规审计★★★☆☆安全运维、合规工程师‌RedHatCertifiedEngine
  • 如何学习网络安全?(网络安全学习笔记) 网络安全_入门教程 学习web安全笔记windows安全microsoft网络
    概括来说,网络安全课程的主要内容包括:安全基本知识应用加密学协议层安全Windows安全(攻击与防御)Unix/Linux安全(攻击与防御)防火墙技术入侵监测系统审计和日志分析下面分别对每部分知识介绍相应的具体内容和一些参考书。一、安全基本知识这部分的学习过程相对容易些,可以花相对较少的时间来完成。这部分的内容包括:安全的概念和定义、常见的安全标准等。大部分关于网络安全基础的书籍都会有这部分内容的
  • 树莓派搭php,Raspberry Pi 树莓派搭LAMP服务器 平平无奇的美女 树莓派搭php
    目录:为什么要用树莓派?DebianLinux安全性操作系统性能优化配置网络开启sshMakingtheserveravailableontheInternetDNS安装apache安全MySQL安装PHP配置完成本文将会介绍如何把树莓派配置为一台LAMP服务器.这和把XUbuntu配成LAMP服务器有些相似,但是针对树莓派有些需要特殊处理的地方.下面是LAMP服务器的最通用配置:Linux–操作
  • Linux安全与密钥登录指南 gkfkfhk linux安全运维
    目录Linux安全概述密钥登录的配置生成密钥对配置SSH密钥登录查看登录日志限制IP访问设置IP封禁允许特定IP访问查看系统可登录的账号1.Linux安全概述Linux系统安全主要依赖于控制访问权限、监控异常行为以及进行安全配置。通过适当的登录方式和访问限制,可以有效避免未经授权的访问。密钥登录是一种更安全的认证方式,避免了明文密码的风险。而登录日志和IP限制则可以帮助我们识别和防御潜在的入侵。2
  • KVM安全模块生产环境配置与优化指南 TechStack 创行者 #服务器容器Linux服务器运维安全kvmSELinux
    KVM安全模块生产环境配置与优化指南一、引言在当今复杂多变的网络安全环境下,生产环境中KVM(Kernel-basedVirtualMachine)的安全配置显得尤为重要。本指南旨在详细阐述KVM安全模块的配置方法,结合强制访问控制(MAC)、硬件隔离及合规性要求,为您提供全面且深入的操作建议,确保KVM环境的安全性和稳定性。二、SELinux安全模块配置1.基础策略配置SELinux(Secur
  • 高通Linux安全指南(二) weixin_38498942 linux安全Qualcomm
    功能高通TEE增强了安全功能及其扩展。它提供了接口,允许通过受信任应用程序(TA)扩展安全功能集。某些功能集成在硬件支持的TZ架构中,提供了一种系统安全配置。这些功能可以进一步定制以满足特定需求。有关高通TEE和安全组件的信息,请参阅高通TEE和架构。在本全面教程中,解锁在高通设备上安全启动技术的全部潜力。从生成加密密钥到编程硬件熔断器和管理安全启动状态,本视频详细介绍了每个步骤。适合希望通过认证
  • Linux安全与密钥登录指南,零基础入门到精通,收藏这篇就够了 网安导师小李 程序员编程网络安全linux安全运维web安全网络服务器计算机网络
    在使用Linux服务器时,确保服务器的安全至关重要。本文将为你介绍一些关键的Linux安全措施,包括开启密钥登录、查看登录日志、限制登录IP以及查看系统中能够登录的账号。以下内容适合小白用户,通过简单的操作就能有效提升服务器的安全性。目录Linux安全概述密钥登录的配置生成密钥对配置SSH密钥登录查看登录日志限制IP访问设置IP封禁允许特定IP访问查看系统可登录的账号1.Linux安全概述Linu
  • 6. 深入Linux安全世界:构建坚不可摧的系统屏障 涛ing Linux概览linux安全运维服务器ubuntuunixc++
    本章目录前言6.1理解Linux安全模型深入了解文件权限权限位详解:修改文件权限:绘制示例图:文件权限的结构6.2用户账户的安全设置查看系统中的用户示例解释:管理用户的安全策略6.3防火墙与网络安全性常用iptables规则1.**只允许特定IP访问SSH服务**2.限制连接速率简单网络流量防火墙结构示意图:6.4数据加密技术使用GPG进行文件加密1.生成密钥对2.加密文件3.解密文件数据加密的流
  • Linux安全体系学习笔记之二:OpenSSL源代码分析(1) Aegeaner 安全Linux安全体系学习笔记代码分析linuxsslsessioncallbackextension
    OpenSSL的源代码包括三部分:加密算法库、SSL库和应用程序。加密算法库的源代码主要在crypto文件夹里,包括ASN.1编码与解码接口(crypto/asn1/asn1.h),伪随机数产生器(crypto/rand/rand.h),ENGINE机制(crypto/engine),统一密码算法的EVP密码算法接口(crypto/evp/evp.h),大数运算接口(crypto/bn/bn.h)
  • 网络安全从入门到精通(特别篇I):Linux安全事件应急响应之Linux应急响应基础必备技能 HACKNOE 网络安全应急响应科研室web安全linux安全网络安全
    网络安全应急响应1.Linux应急响应1.1询问攻击情况范围1.2应急排查思路1.3判断事件类型1.4信息收集:1.5备份所有信息1.6断开网络1.6.1重启/禁用网卡1.6.1.1Centos6重启所有网卡1.6.1.2Centos7重启所有网卡1.6.2重启单个eth0网卡1.6.2.1禁用单个eth0网卡1.6.2.2重启/禁用网卡1.6.2.3长期禁用一块网卡1.6.3云上阻断异常网络通信
  • Linux安全基线加固实战 wespten LinuxSRE运维部署与监控系统性能指标故障排除全栈网络安全渗透测试代码审计网络安全工具开发postgresql数据库
    1、身份鉴别1.应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换root权限打开etc/shadow,查看第二列的密码是否为空,查看是否有相同标识的账户。其他做法参考:--vim打开etc/passwd这一行有x则开机后需要输入密码。/etc/passwd中一行记录对应着一个用户,每行记录又被冒号(:)分隔为7个字段,其格式和具体含义为:用户名:口令:用户
  • 【RH134问答题】第十章 控制启动过程 不怕娜 服务器数据库网络
    系列文章第一章提高命令行生产效率第二章计划将来的任务第三章调优系统性能第四章使用ACL控制对文件的访问第五章管理SELinux安全性第六章管理基本存储第七章管理逻辑卷第八章实施高级存储功能第九章访问网络附加存储目录系列文章请简要说明RHEL8的启动过程。系统重启和关机的命令分别是什么?Systemdtarget是什么?重置丢失的root密码需要哪些步骤?如何让系统日志在重启后持久保留?请简要说明R
  • linux安全配置规范 十年人间~ linux安全服务器
    一、概述1.1适用范围本配置规范适用于凝思操作系统,主要涉及LINUX操作系统安全配置方面的基本要求,用于指导LINUX操作系统安全加固工作,落实信息安全等级保护等保三级系统操作系统安全配置,为主机安全配置核查提供依据。1.2实施策略序号配置类别配置项名称实施策略1身份鉴别口令复杂度策略合规2身份鉴别登录失败账户锁定策略合规3身份鉴别口令最长生存期策略合规4身份鉴别SSH登录配置合规5访问控制多余
  • Linux安全基线与加固 ghost+ linux运维
    基于CIS基线GitHub-daniel-armbrust/linux-security-baseline:LinuxSecurityBaselinebasedonCISBenchmarks.|=----------------=[GNU/Linux安全基线与加固-0.3]=----------------=|0.Aboutthisdoc1.Routinesecuritybaseline1.1Se
  • iptables防火墙 Mr_Black0_0 网络服务器运维
    iptables[-t表名]管理选项[链名][匹配条件][-j控制类型]1.表:filter:过滤规则表,根据预定义的规则过滤符合条件的数据包,默认表nat:networkaddresstranslation地址转换规则表mangle:修改数据标记位规则表raw:关闭启用的连接跟踪机制,加快封包穿越防火墙速度security:用于强制访问控制(MAC)网络规则,由Linux安全模块(如SELinu
  • 保护你的 Linux VPS:入门指南 白如意i linuxlinux运维服务器
    简介掌控自己的Linux服务器是一个尝试新事物并利用强大平台的机会。然而,Linux服务器管理员必须像对待任何网络连接的机器一样谨慎,以保持其安全性和稳定性。有许多不同的安全主题属于“Linux安全”这一总类,并且对于Linux服务器的适当安全级别有许多不同的看法。最重要的是,你将不得不自行决定哪些安全保护措施是必要的。在这之前,你应该意识到风险和权衡,并决定对于你来说,可用性和安全性之间的平衡是
  • Linux账号密码安全运维 运维linux安全漏洞
    前言随着云计算厂商的兴起,云资源如ECS不再只有企业或者公司才会使用,普通人也可以自己买一台ECS来搭建自己的应用或者网站。虽然云计算厂商帮我们做了很多安全相关的工作,但并不代表我们的机器资源就绝对是安全的。要知道有很多事情是云计算厂商不能为我们做的,就比如账号密码的安全策略配置,而账号密码的安全又是Linux安全中的第一道安全锁,我们必须重视起来。比如一个具有公网IP的服务器,我们可以使用Lin
  • Linux安全警示:揭秘十大著名恶意软件及其危害 知白守黑V 系统安全安全运维Linuxlinux系统运维安全运维Linux系统安全Linux病毒防御安全策略Linux安全管理
    Linux系统由于其高度的安全性和开源特性,比起Windows和其他操作系统,病毒和恶意软件的感染案例要少得多。然而,这并不意味着Linux系统就是完全安全的,它们也可能受到攻击。以下是一些曾影响Linux系统的恶意软件以及它们的概述和危害:1.Slapper简介和危害:Slapper是一个使用Apache的SSL漏洞的蠕虫病毒,它在2002年出现。这个病毒可以创建一个网络,让攻击者远程控制受感染
  • Linux安全与防护 CC学妹 经验分享笔记
    Linux系统的安全与防护涉及多个方面,以下是一些关键的安全建议:确保操作系统端口安全:TCP或UDP网络数据通过使用端口号才能被正确地指向相应的应用程序,攻击者可能会利用各种手段对目标主机的端口进行扫描和探测。因此,建议使用网络工具定期检测网络端口的异常活动,发现可疑行为后应立即采取防护措施。管理用户和目录权限:用户在管理自己的目录时应谨慎配置权限,以防止未经授权的用户访问。一般情况下,除非特定
  • Linux安全技术与iptables防火墙 敢敢936 linux安全服务器网络
    一.安全技术:入侵检测系统(IntrusionDetectionSystems):特点是不阻断任何网络访问,量化、定位来自内外网络的威胁情况,主要以提供报警和事后监督为主,提供有针对性的指导措施和安全决策依据,类似于监控系统一般采用旁路部署(默默的看着你)方式。入侵防御系统(IntrusionPreventionSystem):以透明模式工作,分析数据包的内容如:溢出攻击、拒绝服务攻击、木马、蠕虫
  • Java实现的基于模板的网页结构化信息精准抽取组件:HtmlExtractor yangshangchuan 信息抽取HtmlExtractor精准抽取信息采集
    HtmlExtractor是一个Java实现的基于模板的网页结构化信息精准抽取组件,本身并不包含爬虫功能,但可被爬虫或其他程序调用以便更精准地对网页结构化信息进行抽取。   HtmlExtractor是为大规模分布式环境设计的,采用主从架构,主节点负责维护抽取规则,从节点向主节点请求抽取规则,当抽取规则发生变化,主节点主动通知从节点,从而能实现抽取规则变化之后的实时动态生效。 如
  • java编程思想 -- 多态 百合不是茶 java多态详解
    一: 向上转型和向下转型 面向对象中的转型只会发生在有继承关系的子类和父类中(接口的实现也包括在这里)。父类:人    子类:男人向上转型: Person p = new Man() ; //向上转型不需要强制类型转化向下转型: Man man =
  • [自动数据处理]稳扎稳打,逐步形成自有ADP系统体系 comsci dp
          对于国内的IT行业来讲,虽然我们已经有了"两弹一星",在局部领域形成了自己独有的技术特征,并初步摆脱了国外的控制...但是前面的路还很长....       首先是我们的自动数据处理系统还无法处理很多高级工程...中等规模的拓扑分析系统也没有完成,更加复杂的
  • storm 自定义 日志文件 商人shang stormclusterlogback
    Storm中的日志级级别默认为INFO,并且,日志文件是根据worker号来进行区分的,这样,同一个log文件中的信息不一定是一个业务的,这样就会有以下两个需求出现: 1. 想要进行一些调试信息的输出 2. 调试信息或者业务日志信息想要输出到一些固定的文件中   不要怕,不要烦恼,其实Storm已经提供了这样的支持,可以通过自定义logback 下的 cluster.xml 来输
  • Extjs3 SpringMVC使用 @RequestBody 标签问题记录 21jhf
    springMVC使用 @RequestBody(required = false) UserVO userInfo 传递json对象数据,往往会出现http 415,400,500等错误,总结一下需要使用ajax提交json数据才行,ajax提交使用proxy,参数为jsonData,不能为params;另外,需要设置Content-type属性为json,代码如下: (由于使用了父类aaa
  • 一些排错方法 文强chu 方法
    1、java.lang.IllegalStateException: Class invariant violation at org.apache.log4j.LogManager.getLoggerRepository(LogManager.java:199)at org.apache.log4j.LogManager.getLogger(LogManager.java:228) at o
  • Swing中文件恢复我觉得很难 小桔子 swing
           我那个草了!老大怎么回事,怎么做项目评估的?只会说相信你可以做的,试一下,有的是时间!        用java开发一个图文处理工具,类似word,任意位置插入、拖动、删除图片以及文本等。文本框、流程图等,数据保存数据库,其余可保存pdf格式。ok,姐姐千辛万苦,
  • php 文件操作 aichenglong PHP读取文件写入文件
    1 写入文件 @$fp=fopen("$DOCUMENT_ROOT/order.txt", "ab"); if(!$fp){ echo "open file error" ; exit; } $outputstring="date:"." \t tire:".$tire."
  • MySQL的btree索引和hash索引的区别 AILIKES 数据结构mysql算法
    Hash 索引结构的特殊性,其 检索效率非常高,索引的检索可以一次定位,不像B-Tree 索引需要从根节点到枝节点,最后才能访问到页节点这样多次的IO访问,所以 Hash 索引的查询效率要远高于 B-Tree 索引。     可能很多人又有疑问了,既然 Hash 索引的效率要比 B-Tree 高很多,为什么大家不都用 Hash 索引而还要使用 B-Tree 索引呢
  • JAVA的抽象--- 接口 --实现 百合不是茶
    抽象 接口 实现接口   //抽象 类 ,方法   //定义一个公共抽象的类 ,并在类中定义一个抽象的方法体 抽象的定义使用abstract   abstract class A 定义一个抽象类 例如: //定义一个基类 public abstract class A{     //抽象类不能用来实例化,只能用来继承 //
  • JS变量作用域实例 bijian1013 作用域
    <script> var scope='hello'; function a(){ console.log(scope); //undefined var scope='world'; console.log(scope); //world console.log(b);
  • TDD实践(二) bijian1013 javaTDD
    实践题目:分解质因数 Step1: 单元测试: package com.bijian.study.factor.test; import java.util.Arrays; import junit.framework.Assert; import org.junit.Before; import org.junit.Test; import com.bijian.
  • [MongoDB学习笔记一]MongoDB主从复制 bit1129 mongodb
    MongoDB称为分布式数据库,主要原因是1.基于副本集的数据备份, 2.基于切片的数据扩容。副本集解决数据的读写性能问题,切片解决了MongoDB的数据扩容问题。   事实上,MongoDB提供了主从复制和副本复制两种备份方式,在MongoDB的主从复制和副本复制集群环境中,只有一台作为主服务器,另外一台或者多台服务器作为从服务器。 本文介绍MongoDB的主从复制模式,需要指明
  • 【HBase五】Java API操作HBase bit1129 hbase
    import java.io.IOException; import org.apache.hadoop.conf.Configuration; import org.apache.hadoop.hbase.HBaseConfiguration; import org.apache.hadoop.hbase.HColumnDescriptor; import org.apache.ha
  • python调用zabbix api接口实时展示数据 ronin47
    zabbix api接口来进行展示。经过思考之后,计划获取如下内容:     1、  获得认证密钥     2、  获取zabbix所有的主机组     3、  获取单个组下的所有主机     4、  获取某个主机下的所有监控项  
  • jsp取得绝对路径 byalias 绝对路径
    在JavaWeb开发中,常使用绝对路径的方式来引入JavaScript和CSS文件,这样可以避免因为目录变动导致引入文件找不到的情况,常用的做法如下: 一、使用${pageContext.request.contextPath}   代码” ${pageContext.request.contextPath}”的作用是取出部署的应用程序名,这样不管如何部署,所用路径都是正确的。
  • Java定时任务调度:用ExecutorService取代Timer bylijinnan java
    《Java并发编程实战》一书提到的用ExecutorService取代Java Timer有几个理由,我认为其中最重要的理由是: 如果TimerTask抛出未检查的异常,Timer将会产生无法预料的行为。Timer线程并不捕获异常,所以 TimerTask抛出的未检查的异常会终止timer线程。这种情况下,Timer也不会再重新恢复线程的执行了;它错误的认为整个Timer都被取消了。此时,已经被
  • SQL 优化原则 chicony sql
    一、问题的提出  在应用系统开发初期,由于开发数据库数据比较少,对于查询SQL语句,复杂视图的的编写等体会不出SQL语句各种写法的性能优劣,但是如果将应用系统提交实际应用后,随着数据库中数据的增加,系统的响应速度就成为目前系统需要解决的最主要的问题之一。系统优化中一个很重要的方面就是SQL语句的优化。对于海量数据,劣质SQL语句和优质SQL语句之间的速度差别可以达到上百倍,可见对于一个系统
  • java 线程弹球小游戏 CrazyMizzz java游戏
    最近java学到线程,于是做了一个线程弹球的小游戏,不过还没完善 这里是提纲 1.线程弹球游戏实现 1.实现界面需要使用哪些API类 JFrame JPanel JButton FlowLayout Graphics2D Thread Color ActionListener ActionEvent MouseListener Mouse
  • hadoop jps出现process information unavailable提示解决办法 daizj hadoopjps
    hadoop jps出现process information unavailable提示解决办法   jps时出现如下信息: 3019 -- process information unavailable3053 -- process information unavailable2985 -- process information unavailable2917 --
  • PHP图片水印缩放类实现 dcj3sjt126com PHP
    <?php class Image{ private $path; function __construct($path='./'){ $this->path=rtrim($path,'/').'/'; } //水印函数,参数:背景图,水印图,位置,前缀,TMD透明度 public function water($b,$l,$pos
  • IOS控件学习:UILabel常用属性与用法 dcj3sjt126com iosUILabel
    参考网站: http://shijue.me/show_text/521c396a8ddf876566000007 http://www.tuicool.com/articles/zquENb http://blog.csdn.net/a451493485/article/details/9454695 http://wiki.eoe.cn/page/iOS_pptl_artile_281
  • 完全手动建立maven骨架 eksliang javaeclipseWeb
    建一个 JAVA 项目 : mvn archetype:create -DgroupId=com.demo -DartifactId=App [-Dversion=0.0.1-SNAPSHOT] [-Dpackaging=jar] 建一个 web 项目 : mvn archetype:create -DgroupId=com.demo -DartifactId=web-a
  • 配置清单 gengzg 配置
    1、修改grub启动的内核版本 vi /boot/grub/grub.conf 将default 0改为1 拷贝mt7601Usta.ko到/lib文件夹 拷贝RT2870STA.dat到 /etc/Wireless/RT2870STA/文件夹 拷贝wifiscan到bin文件夹,chmod 775 /bin/wifiscan 拷贝wifiget.sh到bin文件夹,chm
  • Windows端口被占用处理方法 huqiji windows
    以下文章主要以80端口号为例,如果想知道其他的端口号也可以使用该方法..........................1、在windows下如何查看80端口占用情况?是被哪个进程占用?如何终止等.        这里主要是用到windows下的DOS工具,点击"开始"--"运行",输入&
  • 开源ckplayer 网页播放器, 跨平台(html5, mobile),flv, f4v, mp4, rtmp协议. webm, ogg, m3u8 ! 天梯梦 mobile
    CKplayer,其全称为超酷flv播放器,它是一款用于网页上播放视频的软件,支持的格式有:http协议上的flv,f4v,mp4格式,同时支持rtmp视频流格 式播放,此播放器的特点在于用户可以自己定义播放器的风格,诸如播放/暂停按钮,静音按钮,全屏按钮都是以外部图片接口形式调用,用户根据自己的需要制作 出播放器风格所需要使用的各个按钮图片然后替换掉原始风格里相应的图片就可以制作出自己的风格了,
  • 简单工厂设计模式 hm4123660 java工厂设计模式简单工厂模式
           简单工厂模式(Simple Factory Pattern)属于类的创新型模式,又叫静态工厂方法模式。是通过专门定义一个类来负责创建其他类的实例,被创建的实例通常都具有共同的父类。简单工厂模式是由一个工厂对象决定创建出哪一种产品类的实例。简单工厂模式是工厂模式家族中最简单实用的模式,可以理解为是不同工厂模式的一个特殊实现。
  • maven笔记 zhb8015 maven
    跳过测试阶段: mvn package -DskipTests 临时性跳过测试代码的编译: mvn package -Dmaven.test.skip=true   maven.test.skip同时控制maven-compiler-plugin和maven-surefire-plugin两个插件的行为,即跳过编译,又跳过测试。   指定测试类 mvn test
  • 非mapreduce生成Hfile,然后导入hbase当中 Stark_Summer maphbasereduceHfilepath实例
    最近一个群友的boss让研究hbase,让hbase的入库速度达到5w+/s,这可愁死了,4台个人电脑组成的集群,多线程入库调了好久,速度也才1w左右,都没有达到理想的那种速度,然后就想到了这种方式,但是网上多是用mapreduce来实现入库,而现在的需求是实时入库,不生成文件了,所以就只能自己用代码实现了,但是网上查了很多资料都没有查到,最后在一个网友的指引下,看了源码,最后找到了生成Hfile
  • jsp web tomcat 编码问题 王新春 tomcatjsppageEncode
    今天配置jsp项目在tomcat上,windows上正常,而linux上显示乱码,最后定位原因为tomcat 的server.xml 文件的配置,添加 URIEncoding 属性: <Connector port="8080" protocol="HTTP/1.1" connectionTi
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他