仅让 use pty 可以使用 sudo 命令 (避免后台进程使用 sudo 命令)
# vim /etc/sudoers或者:
# visudo添加以下内容:
......
Defaults use_pty[步骤] Linux sudo 日志的开启
步骤一:开启 sudo 日志
# vim /etc/sudoers或者:
# visudo添加以下内容:
......
Defaults logfile="/var/log/sudo.log"步骤二:显示 sudo 日志
2.1 退出后重新登录
(步骤略)
2.2 显示 sudo 日志
# cat /var/log/sudo.log[排错] 解决 Linux 执行 ping 命令检测网络联通性时报错 “connect: Network is unreachable”
报错代码
connect: Network is unreachable分析
当配置的 IP 地址和子网掩码不包含配置的网关 IP 地址时,检测网络联通性时就会报此类错误
解决方法
配置正确的 IP 地址、子网掩码或网关 IP 地址
(步骤略)
[排错] 解决 Linux 执行 crontab -e 命令时报错 “You (……) are not allowed to use this program (crontab)”
解决方法
如果在系统中没有 /etc/cron.deny 配置文件,在 /etc/cron.allow 配置文件中添加要使用 crontab -e 命令的用户
# vim /etc/cron.allow添加以下内容:
......
zhumingyu(补充:这里以添加用户 zhumingyu 为例)
如果在系统中没有 /etc/cron.allow 配置文件,在 /etc/cron.allow 配置文件中删除要使用 crontab -e 命令的用户
# vim /etc/cron.allow删除以下内容:
......
zhumingyu
......(补充:这里以删除用户 zhumingyu 为例)
[内容] Linux SSH 常用安全加强配置项
内容一:SSH 的配置文件
1.1 SSH 配置文件的位置
/etc/ssh/sshd_config1.2 SSH 配置文件的所属主、所属组和权限
1.2.1 确保 SSH 配置文件的所属主和所属组都是 root
# chown root:root /etc/ssh/sshd_config1.2.2 确保 SSH 配置文件的权限是 640
# chmod 640 /etc/ssh/sshd_config内容二:SSH 常用安全加强配置项
2.1 将 SSH 设置为 v2 版本
2.1.1 将 SSH 设置为 v2 版本的配置参数
Protocol 22.1.2 将 SSH 设置为 v2 版本的参考步骤
# sed -i 's/.*Protocol .*/Protocol 2/g' /etc/ssh/sshd_config2.2 忽略 Rhosts 认证
2.2.1 忽略 Rhosts 认证的配置参数
IgnoreRhosts yes2.2.2 设置忽略 Rhosts 认证的参考步骤
# sed -i 's/^.*IgnoreRhosts .*/IgnoreRhosts yes/g' /etc/ssh/sshd_config2.3 禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证
2.3.1 设置禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证的配置参数
HostbasedAuthentication no2.3.2 设置禁止受信任的客户端通过 .rhosts 或 /etc/hosts.equiv 进行认证的参考步骤
# sed -i 's/.*HostbasedAuthentication .*/HostbasedAuthentication no/g' /etc/ssh/sshd_config2.4 禁止使用用户提交的 SSH 环境
2.4.1 设置禁止使用用户提交的 SSH 环境的配置参数
PermitUserEnvironment no2.4.2 设置禁止使用用户提交的 SSH 环境的参考步骤
# sed -i 's/.*PermitUserEnvironment .*/PermitUserEnvironment no/g' /etc/ssh/sshd_config2.5 禁止 root 用户通过 SSH 登录
2.5.1 禁止 root 用户通过 SSH 登录的配置参数
PermitRootLogin no2.5.2 设置禁止 root 用户通过 SSH 登录的参考步骤
# sed -i 's/.*PermitRootLogin .*/PermitRootLogin no/g' /etc/ssh/sshd_config2.6 禁止空密码 SSH 登录
2.6.1 禁止空密码 SSH 登录的配置参数
PermitEmptyPasswords no2.6.2 设置禁止空密码 SSH 登录的参考步骤
# sed -i 's/.*PermitEmptyPasswords .*/PermitEmptyPasswords no/g' /etc/ssh/sshd_config2.7 将 SSH 登录信息写入系统日志
2.7.1 将 SSH 登录信息写入系统日志的配置参数
SyslogFacility AUTH2.7.2 设置将 SSH 登录信息写入系统日志的参看步骤
# sed -i 's/.*SyslogFacility .*/SyslogFacility AUTH/g' /etc/ssh/sshd_config2.8 记录全部 SSH 信息
2.8.1 记录全部 SSH 信息的配置参数
LogLevel INFO2.8.2 设置记录全部 SSH 信息的参考步骤
# sed -i 's/.*LogLevel .*/LogLevel INFO/' /etc/ssh/sshd_config2.9 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数
2.9.1 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数的配置参数
MaxAuthTries 5(补充:这里以设置最大尝试登录失败数是 5 次为例,如果此时尝试登录次数超过 2,则系统日志中会出现登录失败的记录)
2.9.2 设置最大尝试登录失败数和触发尝试登录失败日志的登录失败数的参考步骤
# sed -i 's/.*MaxAuthTries .*/MaxAuthTries 5/g' /etc/ssh/sshd_config(补充:这里以设置最大尝试登录失败数是 5 次为例,如果此时尝试登录次数超过 2,则系统日志中会出现登录失败的记录)
2.10 设置 SSH 登录时密码输入的时间
2.10.1 设置 SSH 登录时密码输入的时间的配置参数
LoginGraceTime 600或者:
LoginGraceTime 10m(补充:这里以设置 SSH 登录时密码输入的时间为 600 秒为例)
2.10.2 设置 SSH 登录时密码输入的时间都参考步骤
# sed -i 's/.*LoginGraceTime .*/LoginGraceTime 600/g' /etc/ssh/sshd_config或者:
# sed -i 's/.*LoginGraceTime .*/LoginGraceTime 10m/g' /etc/ssh/sshd_config(补充:这里以设置 SSH 登录时密码输入的时间为 600 秒为例)
2.11 禁止 SSH 图形界面转发
2.11.1 禁止 SSH 图形界面转发的配置参数
X11Forwarding no2.11.1 设置禁止 SSH 图形界面转发的参考步骤
# sed -i 's/.*X11Forwarding .*/X11Forwarding no/g' /etc/ssh/sshd_config2.12 禁止 SSH TCP 转发
2.12.1 设置禁止 SSH TCP 转发的配置参数
AllowTcpForwarding no2.12.2 设置禁止 SSH TCP 转发的参考步骤
# sed -i 's/.*AllowTcpForwarding .*/AllowTcpForwarding no/g' /etc/ssh/sshd_config2.13 不显示上次 SSH 登录的信息,例如时间和地点等
2.13.1 设置不显示上次 SSH 登录的信息,例如时间和地点等的配置参数
PrintMotd no或者:
PrintLastLog no2.13.1 设置不显示上次 SSH 登录的信息,例如时间和地点等的参考步骤
# sed -i 's/.*PrintMotd .*/PrintMotd no/g' /etc/ssh/sshd_config或者:
# sed -i 's/.*PrintLastLog .*/PrintLastLog no/g' /etc/ssh/sshd_config2.14 设置同时只能让几个 SSH 用户登录
2.14.1 设置同时只能让几个 SSH 用户登录的配置参数
MaxStartups 10:30:60(
补充:这里以
1) 最多同时只能让 10 个用户发起 SSH 登录请求,超过此数量的登录请求会被拒绝
2) 当 SSH 连接数超过上限时 (这里设置的是 10 个),再新发起 SSH 登录请求的用户,会有 30% 的概率被拒绝
3) 当 SSH 连接数超过 60 时,再新发起 SSH 登录请求的用户全部会被拒绝,这里的 30 参数将会无效
)
2.14.2 设置同时只能让几个 SSH 用户登录的参考步骤
# sed -i 's/.*MaxStartups .*/MaxStartups 10:30:60/g' /etc/ssh/sshd_config(
补充:这里以
1) 最多同时只能让 10 个用户发起 SSH 登录请求,超过此数量的登录请求会被拒绝
2) 当 SSH 连接数超过上限时 (这里设置的是 10 个),再新发起 SSH 登录请求的用户,会有 30% 的概率被拒绝
3) 当 SSH 连接数超过 60 时,再新发起 SSH 登录请求的用户全部会被拒绝,这里的 30 参数将会无效
)
2.15 设置每个连接可以开启会话的个数
2.15.1 设置每个连接可以开启会话的个数的配置参数
MaxSessions 4(补充:这里以设置每个连接可以开启 4 个会话为例,默认值为 10)
2.15.2 设置每个连接可以开启会话的个数的参考步骤
# sed -i 's/.*MaxSessions .*/MaxSessions 4/g' /etc/ssh/sshd_config(补充:这里以设置每个连接可以开启 4 个会话为例,默认值为 10)
2.16 设置客户端 SSH 空闲超时时间
2.16.1 设置客户端 SSH 空闲超时时间的配置参数
ClientAliveInterval 100
ClientAliveCountMax 3(补充:这里以设置客户端 SSH 空闲超时时间为 100 * 3=300 秒为例)
2.16.2 设置客户端 SSH 空闲超时时间的参考步骤
# sed -i 's/.*ClientAliveInterval .*/ClientAliveInterval 100/g' /etc/ssh/sshd_config
# sed -i 's/.*ClientAliveCountMax .*/ClientAliveCountMax 3/g' /etc/ssh/sshd_config(补充:这里以设置客户端 SSH 空闲超时时间为 100 * 3=300 秒为例)
2.17 指定安全的 SSH Ciphers 加密算法
2.17.1 设置 SSH Ciphers 加密算法的配置参数
Ciphers aes256-ctr,aes192-ctr,aes128-ctr(补充:这里以使用 aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法为例)
2.17.2 设置 SSH Ciphers 加密算法的参考步骤
# echo "Ciphers aes256-ctr,aes192-ctr,aes128-ctr" >> /etc/ssh/sshd_config(补充:这里以使用 aes256-ctr、aes192-ctr 和 aes128-ctr SSH Ciphers 加密算法为例)
2.18 指定安全的 SSH MACs 加密算法
2.18.1 设置 SSH MACs 加密算法的配置参数
MACs hmac-sha2-512,hmac-sha2-256(补充:这里以使用 hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法为例)
2.18.2 设置 SSH MACs 加密算法的参考步骤
# echo "MACs hmac-sha2-512,hmac-sha2-256" >> /etc/ssh/sshd_config(补充:这里以使用 hmac-sha2-512 和 hmac-sha2-256 SSH MACs 加密算法为例)
2.19 指定安全的 SSH KexAlgorithms 加密算法
2.19.1 设置 SSH KexAlgorithms 加密算法的配置参数
KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256(补充:这里以使用 ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法为例)
2.19.2 设置 SSH KexAlgorithms 加密算法的参考步骤
# echo "KexAlgorithms ecdh-sha2-nistp521,ecdh-sha2-nistp384,ecdh-sha2-nistp256,diffie-hellman-group-exchange-sha256" >> /etc/ssh/sshd_config(补充:这里以使用 ecdh-sha2-nistp521、ecdh-sha2-nistp384、ecdh-sha2-nistp256 和 diffie-hellman-group-exchange-sha256 SSH KexAlgorithms 加密算法为例)
2.20 只允许某 IP 地址可以 SSH 本服务器
2.20.1 启用 UseTCPWrappers 参数
# vim /etc/ssh/sshd_config将部分内容修改如下:
......
UseTCPWrappers yes
......2.20.2 禁止所有 IP 地址可以 SSH 本服务器
# vim /etc/hosts.deny添加以下内容:
......
sshd : ALL 2.20.3 只允许某 IP 地址可以 SSH 本服务器
# vim /etc/hosts.deny添加以下内容:
......
sshd : 192.168.0.1/32 : ALLOW
sshd : ALL(补充:这里以允许 IP 地址 192.168.0.1 可以 SSH 本服务器为例)
(注意:这和防火墙的策略一样从上往下匹配及停止,所以允许某 IP 地址可以 SSH 本服务器的策略一定要加在禁止所有 IP 地址可以 SSH 本服务器的策略之前)
2.21 只允许从某 IP 地址来的某用户可以 SSH 本服务器
# vim /etc/ssh/sshd_config添加以下内容:
......
AllowUsers zhumingyu mingyuzhu@192.168.1.1
AllowGroups zhu(
补充:这里以
1) 允许用户 zhumingyu 可以登录
2) 允许从 192.168.1.1 来的用户 mingyuzhu 可以登录
3) 允许属于组 zhu 的用户可以登录
其它用户不能登录
为例
)
2.22 禁止某 IP 地址可以 SSH 本服务器
2.22.1 启用 UseTCPWrappers 参数
# vim /etc/ssh/sshd_config将部分内容修改如下:
......
UseTCPWrappers yes
......2.22.2 禁止某 IP 地址可以 SSH 本服务器
# vim /etc/hosts.deny添加以下内容:
sshd : 192.168.0.1/32 : ALLOW(补充:这里以禁止 IP 地址 192.168.0.1 可以 SSH 本服务器为例)
2.23 禁止从某 IP 地址来的某用户可以 SSH 本服务器
# vim /etc/ssh/sshd_config添加以下内容:
......
DenyUsers zhumingyu mingyuzhu@192.168.1.1
DenyGroups zhu(
补充:这里以
1) 禁止用户 zhumingyu 登录
2) 禁止从 192.168.1.1 来的用户 mingyuzhu 登录
3) 禁止属于组 zhu 的用户登录
其它用户都可以登录
为例
)
内容三:重启 sshd 服务
# systemctl restart sshd(补充:内容二里的参数只有重启了 sshd 服务后才能生效)