CentOS服務器的加固方案
>>>Centos帳戶安全linux
對Centos的加固首先要控制用戶的權限,用戶權限主要涉及到/etc下的/passwd,/shadow和/group三個文件緩存
/passwd文件主要是存儲了一些用戶信息:安全
文件每一行以:分隔了7列,分別表明了「用戶名稱:密碼佔位符:帳戶UID:帳戶GID(組):帳戶附加信息(全名):該帳戶的home目錄:該帳戶登錄後執行的命令(/sbin/nologin表示該帳戶不能登陸系統)」服務器
/shadow文件存儲的是用戶加密後的登陸密碼cookie
!!符號說明該用戶被鎖定,不能登陸系統網絡
/group文件存儲的是用戶組的信息:ssh
/group文件也是以:分隔開,每列的含義是「組名(不能重複):口令(通常爲空x):GID(組號):組內用戶列表(user1,user2,user3...)」socket
加固方法:tcp
1.先在root權限下經過cat查看三個文件夾,獲取該服務器的用戶權限,在/etc/passwd文件中,若第三列(uid)爲0,則表示該用戶爲surper userpost
2.對/etc/passwd和/etc/shadow文件進行備份:cp /etc/passwd /etc/passwd_back
3.修改用戶權限,保證root用戶是惟一的surper user,使用命令鎖定沒必要要的用戶:passwd -l <用戶名>,解鎖用戶:passwd -u <用戶名>
建議:將備份的文件存儲到U盤之類的存儲介質中,一旦系統出現和用戶相關的故障時,能夠及時用原文件替換:mv /etc/passwd_back /etc/passwd
>>>系統口令策略
加固方法:
1.先查看密碼策略的設置:cat /etc/login.defs | grep PASS
2.把原文件作一個備份:cp -p /etc/login.defs /etc/login.defs_back
3.修改配置文件:
PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數
PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數
PASS_WARN_AGE 7 #新建用戶的密碼到期提早提醒天數
PASS_MIN_LEN 9 #最小密碼長度爲9
>>>限制可以su爲root的用戶
1.root權限下使用命令cat /etc/pam.d/s查看是否有auth required /lib/security/pam_wheel.so這種配置的
2.備份原文件:cp -p /etc/pam.d /etc/pam.d_bak
3.在頭部添加:auth required /lib/security/pam_wheel.so group=wheel(這樣就只有wheel組的用戶能夠su到root)
可使用usermod -G10 test將test用戶加入到wheel組
>>>檢查shadow中的空口令帳號
1.檢查:awk -F:'($2 == "") {print $1}' /etc/shadow
2.備份:cp -p /etc/shadow /etc/shadow_bak
3.鎖定空口令帳號或要求增長密碼
>>>最小化服務
中止或禁用與承載業務無關的服務的加固方法:
2.查看當前init級別:who -r 或runlevel
3.查看全部服務的狀態:chkconfig --list
4.設置服務在個init級別下開機是否啓動:chkconfig --level <服務名> on|off|reset
3、數據訪問控制
3.1 設置合理的初始文件權限
檢查方法:
#cat /etc/profile 查看umask的值
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
umask=027
風險:會修改新建文件的默認權限,若是該服務器是WEB應用,則此項謹慎修改。
4、網絡訪問控制
4.1 使用SSH進行管理
檢查方法:
#ps –aef | grep sshd 查看有無此服務
備份方法:
加固方法:
使用命令開啓ssh服務
#service sshd start
風險:改變管理員的使用習慣
4.2 設置訪問控制策略限制可以管理本機的IP地址
檢查方法:
#cat /etc/ssh/sshd_config 查看有無AllowUsers的語句
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config,添加如下語句
AllowUsers *@10.138.*.* 此句意爲:僅容許10.138.0.0/16網段全部用戶經過ssh訪問
保存後重啓ssh服務
#service sshd restart
風險:須要和管理員確認可以管理的IP段
4.3 禁止root用戶遠程登錄
檢查方法:
#cat /etc/ssh/sshd_config 查看PermitRootLogin是否爲no
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config
PermitRootLogin no
保存後重啓ssh服務
service sshd restart
風險:root用戶沒法直接遠程登陸,須要用普通帳號登錄後su
4.4 限定信任主機
檢查方法:
#cat /etc/hosts.equiv 查看其中的主機
#cat /$HOME/.rhosts 查看其中的主機
備份方法:
#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak
加固方法:
#vi /etc/hosts.equiv 刪除其中沒必要要的主機
#vi /$HOME/.rhosts 刪除其中沒必要要的主機
風險:在多機互備的環境中,須要保留其餘主機的IP可信任。
4.5 屏蔽登陸banner信息
檢查方法:
#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段,或banner字段爲NONE
#cat /etc/motd 查看文件內容,該處內容將做爲banner信息顯示給登陸用戶。
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
#cp -p /etc/motd /etc/motd_bak
加固方法:
#vi /etc/ssh/sshd_config
banner NONE
#vi /etc/motd
刪除所有內容或更新成本身想要添加的內容
風險:無可見風險
4.6 防止誤使用Ctrl+Alt+Del重啓系統
檢查方法:
#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被註釋
備份方法:
#cp -p /etc/inittab /etc/inittab_bak
加固方法:
#vi /etc/inittab
在行開頭添加註釋符號「#」
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
風險:無可見風險
5、用戶鑑別
5.1 設置賬戶鎖定登陸失敗鎖定次數、鎖定時間
檢查方法:
#cat /etc/pam.d/system-auth 查看有無auth required pam_tally.so條目的設置
備份方法:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
加固方法:
#vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設置爲密碼連續錯誤6次鎖定,鎖定時間300秒
解鎖用戶 faillog -u -r
風險:須要PAM包的支持;對pam文件的修改應仔細檢查,一旦出現錯誤會致使沒法登錄;
當系統驗證出現問題時,首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息,根據這些信息判斷用戶帳號的有效性。
5.2 修改賬戶TMOUT值,設置自動註銷時間
檢查方法:
#cat /etc/profile 查看有無TMOUT的設置
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
增長
TMOUT=600 無操做600秒後自動退出
風險:無可見風險
5.3 Grub/Lilo密碼
檢查方法:
#cat /etc/grub.conf|grep password 查看grub是否設置密碼
#cat /etc/lilo.conf|grep password 查看lilo是否設置密碼
備份方法:
#cp -p /etc/grub.conf /etc/grub.conf_bak
#cp -p /etc/lilo.conf /etc/lilo.conf_bak
加固方法:爲grub或lilo設置密碼
風險:etc/grub.conf一般會連接到/boot/grub/grub.conf
5.4 限制FTP登陸
檢查方法:
#cat /etc/ftpusers 確認是否包含用戶名,這些用戶名不容許登陸FTP服務
備份方法:
#cp -p /etc/ftpusers /etc/ftpusers_bak
加固方法:
#vi /etc/ftpusers 添加行,每行包含一個用戶名,添加的用戶將被禁止登陸FTP服務
風險:無可見風險
5.5 設置Bash保留歷史命令的條數
檢查方法:
#cat /etc/profile|grep HISTSIZE=
#cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
修改HISTSIZE=5和HISTFILESIZE=5即保留最新執行的5條命令
風險:無可見風險
6、審計策略
6.1 配置系統日誌策略配置文件
檢查方法:
#ps –aef | grep syslog 確認syslog是否啓用
#cat /etc/syslog.conf 查看syslogd的配置,並確認日誌文件是否存在
系統日誌(默認)/var/log/messages
cron日誌(默認)/var/log/cron
安全日誌(默認)/var/log/secure
備份方法:
#cp -p /etc/syslog.conf
6.2 爲審計產生的數據分配合理的存儲空間和存儲時間
檢查方法:
#cat /etc/logrotate.conf 查看系統輪詢配置,有無
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4 的配置
備份方法:
#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak
加固方法:
#vi /etc/logrotate.d/syslog
增長
rotate 4 日誌文件保存個數爲4,當第5個產生後,刪除最先的日誌
size 100k 每一個日誌的大小
加固後應相似以下內容:
/var/log/syslog/*_log {missingoknotifemptysize 100k # log files will be rotated when they grow bigger that 100k.rotate 5 # will keep the logs for 5 weeks.compress # log files will be compressed.sharedscriptspostrotate/etc/init.d/syslog condrestart >/dev/null 2>1 || trueendscript}
一、主機名設置
[root@localhost~]# vi /etc/sysconfig/network
HOSTNAME=test.com
[root@localhost~]# hostname test.com #臨時生效
二、關閉SELinux
[root@localhost~]# vi /etc/selinux/config
SELINUX=disabled
[root@localhost~]# setenforce #臨時生效
[root@localhost~]# getenforce #查看selinux狀態
三、清空防火牆並設置規則
[root@localhost~]# iptables -F #清楚防火牆規則 [root@localhost~]# iptables -L #查看防火牆規則 [root@localhost~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT [root@localhost~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT [root@localhost~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT [root@localhost~]# iptables -A INPUT -p udp --dport 53 -j ACCEPT [root@localhost~]# iptables -A INPUT -p udp --dport 123 -j ACCEPT [root@localhost~]# iptables -A INPUT -p icmp -j ACCEPT [root@localhost~]# iptables -P INPUT DROP [root@localhost~]# /etc/init.d/iptables save
#根據需求開啓相應端口
四、添加普通用戶並進行sudo受權管理
[root@localhost~]# useradd user
[root@localhost~]# echo "123456" | passwd --stdin user #設置密碼
[root@localhost~]# vi /etc/sudoers #或visudo打開,添加user用戶全部權限 root ALL=(ALL)
ALL user ALL=(ALL) ALL
五、禁用root遠程登陸
[root@localhost~]# vi /etc/ssh/sshd_config
PermitRootLoginno
PermitEmptyPasswords no #禁止空密碼登陸
UseDNSno #關閉DNS查詢
六、關閉沒必要要開機自啓動服務
七、刪除沒必要要的系統用戶
八、關閉重啓ctl-alt-delete組合鍵
[root@localhost ~]# vi /etc/init/control-alt-delete.conf #exec /sbin/shutdown -r now "Control-Alt-Deletepressed" #註釋掉
九、調整文件描述符大小
[root@localhost ~]# ulimit –n #默認是1024 1024
[root@localhost ~]# echo "ulimit -SHn 102400">> /etc/rc.local #設置開機自動生效
十、去除系統相關信息
[root@localhost ~]# echo "Welcome to Server" >/etc/issue
[root@localhost ~]# echo "Welcome to Server" >/etc/redhat-release
十一、修改history記錄
[root@localhost ~]# vi /etc/profile #修改記錄10個 HISTSIZE=10
十二、同步系統時間
[root@localhost ~]# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtime #設置Shanghai時區 [root@localhost ~]# ntpdate cn.pool.ntp.org ;hwclock–w #同步時間並寫入blos硬件時間 [root@localhost ~]# crontab –e #設置任務計劃天天零點同步一次 0 * * * * /usr/sbin/ntpdate cn.pool.ntp.org ; hwclock -w
1三、內核參數優化
[root@localhost ~]# vi /etc/sysctl.conf #末尾添加以下參數 net.ipv4.tcp_syncookies = 1 #1是開啓SYN Cookies,當出現SYN等待隊列溢出時,啓用Cookies來處,理,可防範少許SYN攻擊,默認是0關閉 net.ipv4.tcp_tw_reuse = 1 #1是開啓重用,容許講TIME_AIT sockets從新用於新的TCP鏈接,默認是0關閉 net.ipv4.tcp_tw_recycle = 1 #TCP失敗重傳次數,默認是15,減小次數可釋放內核資源 net.ipv4.ip_local_port_range = 4096 65000 #應用程序可以使用的端口範圍 net.ipv4.tcp_max_tw_buckets = 5000 #系統同時保持TIME_WAIT套接字的最大數量,若是超出這個數字,TIME_WATI套接字將馬上被清除並打印警告信息,默認180000 net.ipv4.tcp_max_syn_backlog = 4096 #進入SYN寶的最大請求隊列,默認是1024 net.core.netdev_max_backlog = 10240 #容許送到隊列的數據包最大設備隊列,默認300 net.core.somaxconn = 2048 #listen掛起請求的最大數量,默認128 net.core.wmem_default = 8388608 #發送緩存區大小的缺省值 net.core.rmem_default = 8388608 #接受套接字緩衝區大小的缺省值(以字節爲單位) net.core.rmem_max = 16777216 #最大接收緩衝區大小的最大值 net.core.wmem_max = 16777216 #發送緩衝區大小的最大值 net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手狀態重試次數,默認5 net.ipv4.tcp_syn_retries = 2 #向外SYN握手重試次數,默認4 net.ipv4.tcp_tw_recycle = 1 #開啓TCP鏈接中TIME_WAIT sockets的快速回收,默認是0關閉 net.ipv4.tcp_max_orphans = 3276800 #系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上,若是超出這個數字,孤兒鏈接將當即復位並打印警告信息 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_mem[0]:低於此值,TCP沒有內存壓力; net.ipv4.tcp_mem[1]:在此值下,進入內存壓力階段; net.ipv4.tcp_mem[2]:高於此值,TCP拒絕分配socket。內存單位是頁,可根據物理內存大小進行調整,若是內存足夠大的話,可適當往上調。上述內存單位是頁,而不是字節。
- 1. Memcached服務加固方案
- 2. WIN2003服務器安全加固方案
- 3. Linux服務器加固方案
- 4. Centos 5.5 LINUX服務器的安全加固配置方法
- 5. ssh加固服務器
- 6. Windows服務器加固
- 7. CentOS 6.5服務器安全加固及性能優化
- 8. 容器安全加固方案
- 9. Linux操做系統加固及Web服務器常見加固方法
- 10. 十分鐘加固Linux服務器
- 更多相關文章...
- • 服務器上的 XML - XML 教程
- • Git 服務器搭建 - Git 教程
- • 常用的分佈式事務解決方案
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. js中 charCodeAt
- 2. Android中通過ViewHelper.setTranslationY實現View移動控制(NineOldAndroids開源項目)
- 3. 【Android】日常記錄:BottomNavigationView自定義樣式,修改點擊後圖片
- 4. maya 文件檢查 ui和數據分離 (一)
- 5. eclipse 修改項目的jdk版本
- 6. Android InputMethod設置
- 7. Simulink中Bus Selector出現很多? ? ?
- 8. 【Openfire筆記】啓動Mac版Openfire時提示「系統偏好設置錯誤」
- 9. AutoPLP在偏好標籤中的生產與應用
- 10. 數據庫關閉的四種方式
- 1. Memcached服務加固方案
- 2. WIN2003服務器安全加固方案
- 3. Linux服務器加固方案
- 4. Centos 5.5 LINUX服務器的安全加固配置方法
- 5. ssh加固服務器
- 6. Windows服務器加固
- 7. CentOS 6.5服務器安全加固及性能優化
- 8. 容器安全加固方案
- 9. Linux操做系統加固及Web服務器常見加固方法
- 10. 十分鐘加固Linux服務器