基线管理之Centos安全配置

本文详细介绍了如何通过Shell脚本强化Centos 7.2的网络配置、审计服务、日志安全、SSH认证和PAM模块,包括关闭IP转发、启用SYNcookies、设置审计日志、优化SSH配置及密码策略等,提升系统安全性。
摘要由CSDN通过智能技术生成

实验目的

通过配置Centos配置文件,加强Centos默认安全配置。同时也是理解linux一切皆文件的思想。尝试用shell脚本来处置Centos的安全配置。

实验环境

一台Centos 7.2 无需其他环境。

实验原理

Linux操作系统的配置基本上以配置文件展示,通过不同配置文件理解不同的配置。

实验步骤

一、网络配置

1、检查不用的连接

运行以下命令

ip link show up

 如图,发现有两个连接一个为lo,一个为eth0

若有需要关闭的接口,可以使用

ip link set down

2、关闭IP转发

先查看ip转发配置

sysctl net.ipv4.ip_forward

查看发现为0,若是1,可以使用下面命令改为0

sysctl -w  net.ipv4.ip_forward=0

3、关闭数据包重定向

查看数据包重定向设置

sysctl net.ipv4.conf.all.send_redirects

查看发现为1,可以使用下面命令改为0

sysctl -w  net.ipv4.conf.all.send_redirects=0

4、开启SYN cookies

查看syn cookies配置

sysctl net.ipv4.tcp_syncookies

发现为1,已经开启。若为0,则使用下面命令改为1

sysctl -w net.ipv4.tcp_syncookies=1

二、查看审计服务

1、查看服务是否开启

systemctl status auditd

如上图显示服务已经开启,如未开启可以使用下面命令开启

systemctl start auditd

2、查看审计日志大小

cat /etc/audit/auditd.conf |grep max

如图显示最大日志为6M,可以自己修改文件,然后重启auditd服务后生效。

三、查看并配置日志审计

1、查看日志文件权限,日志权限应为600,仅root可读写

使用下面命令

ls -l /var/log/

600的文件,如wpa_supplicant.log 可以使用下面命令改为600

chmod 600 /var/log/wpa_supplicant.log

 复查

ls -l /var/log/wpa_supplicant.log

2、查看日志归档处理

确保存在/etc/logrotate.d/syslog文件

使用以下命令

ls /etc/logrotate.d/syslog

四、查看SSH认证配置

1、检查SSH配置文件权限

ls -l /etc/ssh/sshd_config

 其权限建议改为600,使用以下命令

chmod 600 /etc/ssh/ssd_conf

2、配置允许SSH允许的验证失败次数

查看当前配置

sshd -T |grep maxauthtries

如上图显示,默认为6次登录失败后断开连接。
可以修改/etc/ssh/sshd_config文件的MaxAuthTires值进行修改。

3、禁止空密码登录SSH

sshd -T | grep permitemptypasswords

4、查看SSH支持密码算法,确保没有md5 des等已经不安全的算法

sshd -T | grep ciphers

五、认证模块配置

Linux的认证模块由PAM处理,PAM中可以配置认证的账号、密码强度等操作。

1、密码强度配置

vim /etc/security/pwquality.conf

将密码最小设为10位,设置minlen = 10,密码复杂度为4种类型(包含大写字母、小写字母、数字、符号),设置minclass =4

如图设置,设置后保存退出。

2、密码过期时间设置

查看过期时间

grep ^\s*PASS_MAX_DAYS /etc/login.defs

默认过期时间为9999天,修改相应文件即可修改过期时间

3、查看用户密码过期时间

grep -E '^[^:]+:[^!*]' /etc/shadow | cut -d: -f1,5

 

修改root用户过期时间为365天

chage  --maxdays 365 root

4、自动禁用账号

useradd -D | grep INACTIVE

如图显示表示不会自动禁用账号

使用下面设置30天未使用的账号自动禁用

useradd -D -f 30

本实验为Centos的基本安全加固配置

CentOS基线配置是指在安装和配置CentOS操作系统时的一些基本设置和安全性要求。这些设置有助于确保系统的稳定性、安全性和性能。 以下是一些常见的CentOS基线配置建议: 1. 安装最新的CentOS版本:始终使用最新的CentOS版本,以获取最新的安全补丁和功能。 2. 禁用不必要的服务:只启用需要的服务,禁用不使用或不必要的服务。可以使用服务管理工具(如systemctl)来管理服务。 3. 更新系统补丁:定期更新系统补丁以修复安全漏洞和改善性能。 4. 配置防火墙:启用并配置防火墙以限制对系统的访问。使用Firewalld或iptables进行防火墙配置。 5. 使用强密码策略:对于用户账户,强制使用复杂的密码,并定期更改密码。 6. 禁用root远程登录:禁用root用户的远程登录,并使用普通用户登录系统后再切换到root用户。 7. 配置SSH安全:限制SSH访问,例如禁用root用户的SSH登录、使用公钥认证等。 8. 安装安全更新和工具:安装常用的安全更新和工具,如SELinux、OpenSSL等,以提高系统的安全性。 9. 监控和日志记录:配置系统监控和日志记录,以便及时发现和解决潜在的安全问题。 10. 定期备份数据:定期备份重要的系统和用户数据,以防止数据丢失或损坏。 这些是一些常见的CentOS基线配置建议,根据实际需求和安全要求,您可能需要进行适当调整和定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值