安全运维笔记

1.删除不需要的用户（某些用户只进行调用的话，就关闭它的登录功能） usermod -s  /sbin/nologin nagios

2.关闭不需要的服务 acpid apmd kudzu 这三个不要关

3，用公钥尽量不使用口令    ssh-keygen -i-f Identify.pub >>  /root/.ssh/authorized_key2

4,合理配置sudo  user   ALL = NOPASSWD: /bin/ls    /root

5.删减欢迎信息   /etc/issue   /etc/issue.net  /etc/redhat-release /etc/mtd公告信息

6,ssh配置    permitrootlogin no不允许root  strict mod yes maxauthries 3

7,tcp_wrappers防火墙   service:hosts    except 192.168.1.1排除

8,文件系统安全  chattr +a/+i  file     isattr  -a所有 -d目录 -R递归

    查找无主文件并修改，find  /  -nouser -o -nogroup

    临时目录文件不允许有suid  不能执行脚本 

    /dev/shm共享内存设备，可以通过它直接操控系统内存 

   mount -o loop，noexec，nosuid，rw  /dev/tmpfs  /tmp

9,保持软件更新  yun check-update  yum list updates

10，chkrootkit 需要保存原始命令 rkhunter -c检查 --cronjob

     pidof sshd  ls -al /proc/xxx/exe找路径  查句柄 /proc/xxx/fd

    根据端口找进程  fuser -n tcp 111    rpm -Va  出现M可能被篡改

11.端口检查看是否有网络连接，没有就是rootkit，

MD5sum校验

断网查看登陆日志

ps找可以进程，寻找攻击源

分析原因修复

给日志添加时间：

HISTFILESIZE=4000

HISTSIZE=4000

HISTTIMEFORMAT='%F %T'

export HISTTIMEFORMAT