一:禁止root使用者遠端登陸
adduser admin
passwd admin
passwd=_Shanghai#15!
vim /etc/sudoers
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
admin ALL=(ALL) ALL
vim /etc/ssh/sshd_config
PermitRootLogin no
systemctl restart sshd
二:設定系統審計功能
service auditd status #檢視auditd服務
auditctl -s #檢視看auditd的服務狀态,enabled是否為1,1為開啟,0為關閉
#開啟了autid服務後,所有的審計日志會記錄在/var/log/audit/audit.log檔案中,該檔案記錄格式是每行以type開頭,其中紅框處是事件發生的時間(代表從1970年1月1日到現在過了多久,可以用date指令轉換格式),冒号後面的數字是事件ID,同一個事件ID是一樣的。
#audit可以自定義對指定的檔案或指令進行審計(如監視rm指令被執行、/etc/passwd檔案内容被改變),隻要配置好對應規則即可,配置規則可以通過指令行(臨時生效)或者編輯配置檔案(永久生效)兩種方式來實作。
auditctl -w /bin/rm -p x -k removefile #-w指定所要監控的檔案或指令 -p指定監控屬性,如x執行、w修改 -k是設定一個關鍵詞用于查詢
#修改配置檔案永久生效
vim /etc/audit/audit
## Set failure mode to syslog
-f 1
-w /etc/passwd -p wxa #對/etc/passwd檔案監視寫讀執行的操作
-w /etc/at.allow -p wxa
-w /etc/at.deny -p wxa
-w /etc/inittab -p wxa
-w /etc/init.d/ -p wxa
-w /etc/init.d/auditd -p wxa
-w /etc/cron.d/ -p wxa
-w /etc/cron.daily/ -p wxa
-w /etc/cron.hourly/ -p wxa
-w /etc/cron.monthly/ -p wxa
-w /etc/cron.weekly/ -p wxa
-w /etc/crontab -p wxa
-w /etc/group -p wxa
-w /etc/passwd -p wxa
-w /etc/shadow -p wxa
-w /etc/sudoers -p wxa
-w /etc/hosts -p wxa
-w /etc/sysconfig/ -p wxa
-w /etc/sysctl.conf -p wxa
-w /etc/modprobe.d/ -p wxa
-w /etc/aliases -p wxa
-w /etc/bashrc -p wxa
-w /etc/profile -p wxa
-w /etc/profile.d/ -p wxa
-w /var/log/lastlog -p wxa
-w /var/log/yum.log -p wxa
-w /etc/issue -p wxa
-w /etc/issue.net -p wxa
-w /usr/bin/ -p wxa
-w /usr/sbin/ -p wxa
-w /bin -p wxa
-w /etc/ssh/sshd_config -p wxa
-w /bin/rm -p wxa #對rm的指令進行監視
#重新開機服務
service auditd restart
#檢視指令的使用
auditctl -l 檢視定義的規則
auditctl -D 清空定義的規則
auserach -a number #隻顯示事件ID為指定數字的日志資訊
auserach -c commond #隻顯示和指定指令有關的事件auserach -c rm
auserach -i #顯示出的資訊更清晰,如事件時間、相關使用者名都會直接顯示出來,而不再是數字形式
auserach -k #顯示出和之前auditctl -k所定義的關鍵詞相比對的事件資訊
三:安裝lynis系統漏洞掃描工具
yum --enablerepo=epel -y install lynis
lynis audit system #開始掃描
grep -E "^warning|^suggestion" /var/log/lynis-report.dat #掃描結果預設儲存路徑,過濾出警告内容
四:linux系統安裝防止惡意代碼軟體 ClamAV
yum install -y pcre* zlib zlib-devel libssl-devel libssl openssl epel-release #安裝依賴
yum install clamav clamav-server clamav-data clamav-update clamav-filesystem clamav-scanner-systemd clamav-devel clamav-lib clamav-server-systemd #安裝clamav元件 6和7通用
/usr/bin/freshclam #下載下傳更新病毒庫
#如果下載下傳不了,可以wget到本地來
cd /usr/share/clamav
wget http://database.clamav.net/main.cvd
wget http://database.clamav.net/daily.cvd
wget http://database.clamav.net/bytecode.cvd
chown clamav:clamav *
#病毒掃描
clamav 有兩個指令:clamdscan、clamscan
clamdscan #指令一般用 yum 安裝才能使用,需要啟動clamd服務,執行速度快
clamscan #指令通用,不依賴服務,指令參數較多,執行速度稍慢
clamdscan:
用clamdscan掃描,需要開始服務才能使用。速度快,不用帶 -r ,預設會遞歸掃描子目錄
systemctl start clamd
clamdscan /usr #掃描/usr目錄
clamscan -r /usr #clamscan不用啟動服務,預設正常檔案和病毒檔案都會顯示,不想顯示看下面的參數
clamscan --no-summary -ri /tmp
-r 遞歸掃描子目錄
-i 隻顯示發現的病毒檔案
--no-summary 不顯示統計資訊
#加入定時任務每周六晚執行
crontab -e
30 23 * * 6 clamscan -ri /usr >> /root/virus.txt
![linux-svn解除安裝與安裝[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)