历史迭代
宝塔系统加固4.0- 正式版
【增加】等保加固相关加固功能
【优化】优化系统加固开关效率
宝塔系统加固4.1- 正式版
【修复】系统加固不会随系统启动自动开启的问题
【优化】大幅降低CPU使用率
宝塔系统加固5.0- 正式版-2023-08-07
加固php 配置文件
加固nginx 启动文件
宝塔系统加固5.1- 正式版
【增加】增加加固子项开关
【调整】调整等保加固与原系统加固之间的部分配置冲突问题
宝塔系统加固5.2- 正式版
新增防端口扫描模块
插件位置:软件商店----专业版应用----宝塔系统加固5.2,或者直接搜索“系统加固”
插件描述:本插件共有五项功能项,分别为防护配置、等保加固、日志审计、操作日志、端口防扫描这五大项,可以精准保护服务器的重要文件、进程、计划任务等重要信息、确保系统不会因各种非法入侵导致系统被破坏、或因中挖矿木马导致系统运行异常。
安装完成后,界面展示
开始之前说下,要思考一个问题——为什么要使用系统加固插件?
- 提高个人/公司服务器的安全性。服务器存储了大量的敏感数据,包括客户信息、公司财务信息或者是个人隐私,需要一个工具来帮助我防止未经授权的访问和数据泄露。
- 需要遵守一系列的法规和标准,包括数据保护和隐私保护。系统加固插件可以帮助我们加固系统的环境变量,防止系统环境变量和用户环境变量被篡改。此外,我们还可以使用端口防扫描功能来防止我们的系统被网络攻击,如端口扫描等。
一、防护配置
1.服务加固
主要作用于保护/etc/init.d及/etc/systemd目录,作用类似家用电脑的防软件开机自启功能,即使服务器遭受入侵也可以防止软件被添加到服务器自启列表中,并确保当前的软件服务列表正常,不会遭到破坏
类型一:只读型
使用场景:不允许任何人任何进程进行修改、删除、创建,只能读取这个服务的配置
示例:不允许任何服务对我的 /www/server/nginx/sbin/目录下的nginx服务脚本进行修改、删除、创建,就可以这样添加
类型二:追加型
使用场景:可以针对当前的服务进行修改,但是不能删除或者修改之前的配置内容
使用推荐:使用默认的规则,以只读的方式使用操作系统中的配置
测试环节
2.环境变量加固
保护常见的系统环境变量,不被人恶意修改、新增、删除等操作,分有只读和追加这两种类型。
3.用户加固
主要是保护用户账号密码的安全性,包含有防护新增、删除用户、修改当前用户的密码等
使用场景:开启后,无法新增、删除用户、修改用户的密码等操作,可以防止黑客或者木马程序生成新的用户,方便黑客或者木马登录服务器、运行特殊程序等
使用推荐:使用默认的规则,以只读的模式访问操作系统里用户管理的文件
4.关键目录加固
保护系统关键文件不被修改或者替换,可自定义目录
使用场景:开启后,添加的关键目录无法被修改、新增、删除等操作,防止黑客或者木马程序修改系统或者自定义的关键目录中的文件被修改
使用推荐:使用默认规则,以只读的模式访问关键目录
5.计划任务加固
保护计划任务不被篡改、新增,开启后无法修改、删除、新增计划任务。
使用场景:开启后,无法新增、修改、删除当前的计划任务,可以防止黑客或者病毒生成计划任务获取有价值的信息
使用推荐:使用默认的规则,当有需要添加计划任务的时候,手动关闭计划任务防护,待添加完后在开启
6.SSH服务加固
保护SSH服务不被暴力破解,记录登录账号、IP、登录状态(失败/成功),登录时间。
使用场景:在触发到SSH加固策略后,会将对应的IP进行封锁一段时间(跟设置的阈值有关,默认3600秒),开启后可以防止暴力破解服务器SSH远程账号的密码。
使用推荐:使用默认规则,或者调整SSH加固策略符合自己的使用场景
7.异常进程监控
监控服务器进程列表,如果发现异常进程会立即结束,常用指数 5颗星
使用场景:开启后会监控服务器中的异常监控,凡不再白名单中的进程,会被结束,防止黑客或者挖矿病毒启动一些进程,导致服务器资源飙升。
使用推荐:使用默认规则,如果遇到有使用到的进程,请参考FAQ中的问题2处理
二、等保加固
1.身份鉴别
主要针对密码配置信息的管理,内容包括有五个方面,分别是登录用户的密码过期时间、密码重试次数、密码最小长度、密码复杂度、强制root用户使用复杂密码;
高级设置中密码包含的数字、大小写字符、特殊符号,与旧密码不同字符数、重复字符最大次数、允许最大字符序列长度、最大同类联系重复字数、检测密码中是否包含用户名等,开启后会强制按照等保要求使用登录账号的密码相关配置信息
2.访问控制
包含了SSH基础配置,文件默认权限、关键文件权限、用户审计、安全增强SELinux。
3.入侵防范
功能包含系统防火墙、WAF防火墙、Linux服务;
开启该功能可以从操作系统防火墙(Firewalld/Iptables/UFW等)查看监听的地址、监听端口、进程ID、进程路径、是否运行外网访问等参数查看程序使用情况;Linux服务的服务名、服务状态等
4.恶意代码防范
如果自己安装了主流的杀毒软件,可以在此检测到
5.资源控制
有两项功能:一是允许或者禁止某个IP进行SSH访问,二是ssh超时时间配置。
使用场景:可以使得某个IP(段)允许或者禁止使用SSH远程连接到本服务器。
三、日志审计
极其丰富的日志审计模块,在这里,可以看到
四、端口防扫描
界面展示
直接进行测试环节,使用ssh爆破工具hydra,尝试爆破200次,正确密码放在中间位置
- hydra -l root -P passwords.txt 192.168.77.154 ssh
拦截记录
尝试用192.168.69.133进行登录测试机,将会无法连接,会发现ip被封了,过一段时间后解封
注:详细的防扫配置可以在软件商城上,搜索关键词【爆破】
FAQ
1、什么是环境变量?他有什么作用?
答:在Linux操作系统中,环境变量是一组用于存储系统和应用程序信息的变量;环境变量会在系统开启的时候自动加载到操作系统中,并且可以在整个操作系统中访问。
2、开启了系统加固,无法进行Git或者SVN提交代码了怎么办?
答:可以在防护配置---异常进程监控中配置进程白名单
3、在命令行运行命令或者安装软件的时候,提示运行失败或者安装失败怎么办?
答:如果是运行命令,可以把对应的运行命令放到异常进程监控白名单中,安装软件需要关闭服务加固、环境变量加固、关键目录加固,记得在安装完之后,把这些服务再开起来
|
-
|
运维要高效,装宝塔
