服务器安全加固脚本 服务器安全加固方案

防黑加固Linux服务器安全加固？

使用一些安全测试的办法与工具对服务器进行风险检测，找出服务器的脆弱点以及存在的安全缺陷。

创新互联公司专注于孝感网站建设服务及定制，我们拥有丰富的企业做网站经验。 热诚为您提供孝感营销型网站建设，孝感网站制作、孝感网页设计、孝感网站官网定制、小程序定制开发服务，打造孝感网络公司原创品牌,更为您提供孝感网站排名全网营销落地服务。

针对服务器操作系统自身的安全测试，包括一些系统配置、主机漏洞扫描等等

查看服务器操作系统当前用户是否为root用户，尽量避免使用root用户登录，启动其他服务程序，除非是一些需要root权限的安全工具，前提需要保证工具来源可信。终端需要 who 既可以查看当前登录用户。

登录到Linux系统，此时切换到root用户，下载lynis安全审计工具，切换到lynis运行脚本目录，执行 ./lynis --check-all –Q 脚本语句，开始对本地主机扫描审计，等待扫描结束，查看扫描结果。

登录到Linux系统，切换到root用户，使用命令行方式安装Clamav 杀毒软件，安装完毕需要更新病毒库，执行扫描任务，等待扫描结束获取扫描结果，根据扫描结果删除恶意代码病毒；

登录到Linux系统，切换到root用户，下载Maldetect Linux恶意软件检测工具，解压缩后完成安装。运行扫描命令检测病毒，等待扫描结束获取扫描报告，根据扫描报告删除恶意病毒软件；

登录到Linux系统，切换到root用户，下载Chkrootkit后门检测工具包，解压缩后进入 Chkrootkit目录，使用gcc安装Chkrootkit，安装成功即开始Chkrootkit扫描工作，等待扫描结束，根据扫描结果恢复系统；

登录到Linux系统，切换到root用户，下载RKHunter 后门检测工具包，解压缩后进入 RKHunter 目录，执行命令安装RKHunter ，安装成功即开始启用后门检测工作，等待检测结束，根据检测报告更新操作系统，打上漏洞对应补丁；

使用下面工具扫描Web站点：nikto、wa3f、sqlmap、safe3 … …

扫描Web站点的信息：操作系统类型、操作系统版本、端口、服务器类型、服务器版本、Web站点错误详细信息、Web目录索引、Web站点结构、Web后台管理页面 …

测试sql注入，出现几个sql注入点

测试xss攻击，出现几个xss注入点

手动测试某些网页的输入表单，存在没有进行逻辑判断的表单，例如：输入邮箱的表单，对于非邮箱地址的输入结果，任然会继续处理，而不是提示输入错误，返回继续输入。

针对风险测试后得到的安全测试报告，修复系统存在的脆弱点与缺陷，并且进一步加强服务器的安全能力，可以借助一些安全工具与监控工具的帮助来实现。

对服务器本身存在的脆弱性与缺陷性进行的安全加固措施。

使用非root用户登录操作系统，使用非root用户运行其他服务程序，如：web程序等；

web权限，只有web用户组用户才能操作web应用，web用户组添加当前系统用户；

数据库权限，只有数据库用户组用户才能操作数据库，数据库用户组添加当前系统用户；

根据安全审计、恶意代码检查、后门检测等工具扫描出来的结果，及时更新操作系统，针对暴露的漏洞打上补丁。

对于发现的恶意代码病毒与后门程序等及时删除，恢复系统的完整性、可信行与可用性。

部署在服务器上的Web站点因为程序员编写代码时没有注意大多的安全问题，造成Web服务站点上面有一些容易被利用安全漏洞，修复这些漏洞以避免遭受入侵被破坏。

配置当前服务器隐藏服务器信息，例如配置服务器，隐藏服务器类型、服务器的版本、隐藏服务器管理页面或者限制IP访问服务器管理页面、Web站点错误返回信息提供友好界面、隐藏Web索引页面、隐藏Web站点后台管理或者限制IP访问Web站点后台。

使用Web代码过滤sql注入或者使用代理服务器过滤sql注入，这里更加应该使用Web代码过滤sql注入，因为在页面即将提交给服务器之前过滤sql注入，比sql注入到达代理服务器时过滤，更加高效、节省资源，用户体验更好，处理逻辑更加简单。

批处理脚本：一键加固Windows终端

镜像文章： Python脚本：一键加固Ubuntu服务器

“ 永恒之蓝 ”事件证明，传统的终端安全策略设置（如关闭445端口、开启防火墙等）在当前安全事件处理过程中依然可靠。然而私有网络内部，网络安全管理员无法对安全策略统一设置，只能逐一进行处理，耗费大量人力时间。

DOS批处理是基于DOS命令的，通过批量执行DOS命令以实现特定操作的脚本。Windows终端管理员可通过制作DOS批处理程序，统一安全要求，自动进行安全设置，具体设置可如下：

腾讯云服务器安全加固组件有时正常有时异常

安全加固组件在云安全控制台显示状态异常，安全加固组件出现异常，一般是两种情况：未安装组件和组件故障。

1、若未安装安全组件，可直接根据页面上方的安装指导进行安装；

2、若已安装安全组件，请先检查组件连接状态。

安全加固组件重启

Windows系统下，执行:“net stop winagent”“net start winagent”即可重启成功。

Linux系统下，以root权限执行/usr/local/sa/agent/restart.sh。然后调用/usr/local/sa/agent/check.sh检查是否重启成功。

服务器安全加固 - Linux

查看 /etc/passwd 文件查看是否有无用的账号，如果存在则删除，降低安全风险。

操作步骤：

操作步骤：

操作步骤

操作步骤

使用命令 vim /etc/pam.d/su 修改配置文件，在配置文件中添加行。

例如，只允许admin组用户su到root，则添加 auth required pam_wheel.so group=admin 。

【可选】为了方便操作，可配置admin支持免密sudo：在 /etc/sudoers 文件中添加 admin ALL=(ALL) NOPASSWD:ALL

为了防止使用"su"命令将当前用户环境变量带入其它用户，修改/etc/login.defs添加ALWAYS_SET_PATH=yes并保存。

操作步骤

操作步骤：

查看所有服务列表 systemctl list-units --type=service

操作步骤

使用命令 vim /etc/ssh/sshd_config 编辑配置文件。

配置文件修改完成后，重启sshd服务生效（systemctl restart sshd）。

操作步骤

修改/etc/profile 配置文件，添加行 umask 027 ， 即新创建的文件属主拥有读写执行权限，同组用户拥有读和执行权限，其他用户无权限。

操作步骤

修改 /etc/profile 配置文件，设置为 TMOUT=600， 表示超时10分钟无操作自动退出登录。

操作步骤

Linux系统默认启用以下类型日志，配置文件为 /etc/rsyslog.conf：

通过上述步骤，可以在 /var/log/history 目录下以每个用户为名新建一个文件夹，每次用户退出后都会产生以用户名、登录IP、时间的日志文件，包含此用户本次的所有操作（root用户除外）

服务器安全加固 - Linux - wubolive - 博客园