Centos7系统安全加固总结

最新推荐文章于 2024-06-23 15:05:31 发布
最新推荐文章于 2024-06-23 15:05:31 发布
阅读量3k 收藏 23
点赞数 2
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT_Bigboy_sz/article/details/117733026
版权

一、账户安全加固

  1. 修改ssh远程连接端口号>1024
  2. 进制root用户远程登录,使用命令 vi /etc/ssh/sshd_config修改配置文件将PermitRootLogin的值改成no,并保存
    除此之外,你可以通过指定那些被允许用来使用SSH的用户名,从而使得SSH服务更为安全。
[root@localhost ~]# vim /etc/ssh/sshd_config

AllowUsers lyshark admin          # 指定允许登录的用户
AllowGroup lyshark admin         # 指定允许登录的用户组
  1. 修改密码周期(约等于90天)
  2. 远程密码尝试输入最大6次,使用命令 vi /etc/ssh/sshd_config修改配置文件MaxAuthTries=3,并保存
  3. 设置口令复杂程度vim /etc/pam.d/system-auth添加
password    required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 difok=2 ucredit=-1 ocredit=-1 minlen=10

解释:其含义是至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10,difok:本次密码与上次密码至少不同字符数

【注】用root修改其他帐号都不受密码周期及复杂度配置的影响。

  1. 限制TTY尝试次数:该配置可以有效的防止,爆破登录情况的发生,其配置文件在cat /etc/pam.d/login中添加如下配置,这个方法只是限制用户从TTY终端登录,而没有限制远程登录。
[root@localhost ~]# vim /etc/pam.d/login

#%PAM-1.0
auth required  pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

[root@localhost ~]# pam_tally2 --user lyshark    查询远程登录次数

二、服务

  1. systemctl list-unit-files 或者进入setup查看开机自启服务,关闭不必要的服务
  2. 新增服务端口建议在1024以上,不选择默认端口
  3. 关闭蓝牙服务并关闭开机自启动
systemctl stop bluetooth

三、文件权限加固

  1. 限制umask码值:umask 值用于设置文件的默认属性,
[root@centos ~]#cp /etc/bashrc /etc/bashrc.bak
[root@centos ~]# vim   /etc/bashrc
umask 027

[root@centos ~]#source /etc/bashrc
  1. 限制GCC编译器:
    如果系统已经被黑客入侵,那么黑客的下一个目标应该是编译一些POC文件,用来提权,从而在几秒钟之内就成为了root用户,那么我们需要对系统中的编译器进行一定的限制
    首先,你需要检查单数据包以确定其包含有哪些二进制文件。然后将这些文件全部设置为000无权限。
[root@localhost x]# rpm -q --filesbypkg gcc | grep "bin"
gcc                       /usr/bin/c89
gcc                       /usr/bin/c99
gcc                       /usr/bin/cc
gcc                       /usr/bin/gcc
gcc                       /usr/bin/gcc-ar
gcc                       /usr/bin/gcc-nm
gcc                       /usr/bin/gcc-ranlib
gcc                       /usr/bin/gcov
gcc                       /usr/bin/x86_64-redhat-linux-gcc

然后,单独创建一个可以访问二进制文件的编译器的组,赋予他这个组相应的权限。

[root@localhost ~]# groupadd compilerGroup
[root@localhost ~]# chown root:compilerGroup /usr/bin/gcc
[root@localhost ~]# chmod 0750 /usr/bin/gcc

3.更改系统最大打开文件数

临时设置 ulimit -n 65535
永久生效:
编辑: vim /etc/security/limits.conf 添加如下
* soft nofile 655350  #任何用户可以打开的最大的文件描述符数量,默认1024,这里的数值会限制tcp连接
* hard nofile 655350
* soft nproc  655350  #任何用户可以打开的最大进程数
* hard nproc  650000

@student hard nofile 65535
@student soft nofile 4096
@student hard nproc 50  #学生组中的任何人不能拥有超过50个进程,并且会在拥有30个进程时发出警告
@student soft nproc 30

四、日志

  1. 限制日志文件:
    接着我们需要对日志文件,进行一定的限制,防止被恶意删除,从而无处可寻
[root@localhost ~]# cd /var/log/
[root@localhost log]# chattr +a dmesg cron lastlog messages secure wtmp
  1. 记录所有用户的登录和操作日志
    vim /etc/profile
    在最后添加
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

退出用户登录即生成文件

五、时间同步服务

由于无网情况下ntp服务启动后,漏洞特别多,采用定时任务同步时间服务器

0 12 * * *  /usr/sbin/ntpdate 时间服务器IP

六、内核优化

IT_Bigboy_sz
关注
  • 2
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
总结Centos7系统加固知识点
09-15
系统加固是提高Linux服务器安全性的重要步骤,针对CentOS7系统,以下是一些关键的加固措施: 1. **手动更新系统**:保持系统的最新状态可以修复已知的安全漏洞。使用`yum -y update`命令可以确保所有软件包都更新到...
Linux服务器系统安全加固(centos7系列)
cbc_19的博客
08-01 4700
安全加固就是对系统进行优化配置,杜绝系统配置不当出现的弱点,提高操作系统和服务器的防御能力,防止黑客攻击和病毒入侵,提升系统和网络安全
[自学课程]Centos7安全加固
l73246的博客
08-01 1052
薄弱环节: Linux系统的每个分区都是构成支持一组文件和目录所必需的存储区的一部分,一个分区必须挂载在一个目录下才能使用 Linux常见目录: / 根目录 /boot 内核及系统引导程序的文件目录 /dev
Linux CentOS发行版机安全加固——网络方面
最新发布
qq_44611153的博客
06-23 1424
A(攻击者)发送TCP SYN,SYN是TCP三次握手中的第一个数据包,而当这个服务器返回ACK以后,A不再进行确认,那这个连接就处在了一个挂起的状态,也就是半连接的意思,那么服务器收不到再确认的一个消息,还会重复发送ACK给A。ICMP重定向用于优化路由策略,始终让主机的路由表保持最新最快的状态,这本身是一个对网络有益的机制。这就会使一个攻击者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据,就如使用服务器提供的服务时,可以通过服务器的ip地址访问到与其相连接的私有地址系统,对内网进行攻击。
linux的umask权限掩码为022 和027释义
学亮编程手记
05-11 8041
linux的Umask 为022 和027 都是什么意思? 用全部权限777去减这个数值 一。022表示默认创建新文件权限为755 也就是 rxwr-xr-x(所有者全部权限,属组读写,其它人读写) 二。027表示默认创建新文件权限为750 也就是rxwr-x—(所有者全部权限,属组读写,其它人无) 下表列出了一些umask值及它们所对应的目录和文件权限 常用的umask值及对应的文件和目录权限 umask值 目录 文件 022 755 644 027 750 640 002 775 664 006 771
umask值022和027区别
weixin_45071051的博客
06-26 284
umask值 目录 文件。表示默认创建新文件权限为777-umask值。用全部权限777去减这个数值。x:执行权限 1。w:写权限 2。r:读权限 4。
linux的Umask 为022 和027 都是什么意思?
weixin_44654338的博客
06-11 5892
用全部权限777去减这个数值 一。022表示默认创建新文件权限为755 也就是 rwxr-xr-x(所有者全部权限,属组读执行,其它人读执行) 二。027表示默认创建新文件权限为750也就是rwxr-x---(所有者全部权限,属组读执行,其它人无) 下表列出了一些umask值及它们所对应的目录和文件权限 常用的umask值及对应的文件和目录权限 umask值 目录 文件 022 755 644 027 750
Centos7 服务器基线检查处理汇总
跟着飞哥学编程(全栈联盟)
03-02 1322
服务器基线漏洞修复
centos系统安全加固
01-24
centos 操作系统安全加固,修改密码策略,启用审核策略进行安全审计,审计日志文件大小设置,删除多余账号,禁用服务等
CentOS7 系统安全加固实施方案介绍
09-17
CentOS7 系统安全加固实施方案介绍,
CentOS7 系统初始化安全加固
12-19
CentOS7系统初始化操作包括IP地址设置、基础软件包更新以及安装加固CentOS7系统容器以及JDK相关环境安装。 CentOS7系统中异常错误日志解决。 CentOS7系统中常规服务安装配置,加入数据备份目录。 CentOS7脚本错误...
Centos7十五项安全加固标准配置(结合等保3)
Wizard_1的博客
11-07 5646
加固服务器安全策略
基于Centos 7系统的安全加固方案
剁椒鱼头没剁椒的博客
10-21 4820
基于centos7版本测试 注意:修改任何配置文件,为保障安全请先备份,命令: cp -a +配置文件路径 +存放位置路径 1.密码长度与有效期 位置:vi /etc/login.defs 修改: PASS_MAX_DAYS 90 注:密码有效期 PASS_MIN_DAYS 2 注:修改密码最短期限 PASS_MIN_LEN 8 注:密码最短长度 PASS_WARN_AGE 30 注:密码过期提醒 2.密码复杂度 位置:vi /etc/pam.
CentOS 7 openssh安全加固方案参考—— 筑梦之路
筑梦之路
05-26 920
开启 SSH 会话超时是一种非常好的保护方法。在 sshd_config 文件中,将 ClientAliveInterval 属性设置为 300,并将 ClientAliveCountMax 属性设置为 0。使用 TCP Wrapper 和防火墙等方式,控制可以访问 OpenSSH 服务器的来源网络和 IP,避免非法访问。例如,在 /etc/hosts.allow 中添加受信任的 IP 列表。SSH 安全协议的版本号会影响实际的安全性,因此有必要针对实际情况进行配置。
linux centos 加固服务器的方法
Jingged的博客
03-07 2453
为特定用户分配特定命令的权限:# 这将允许username用户在任何主机上以任何用户身份执行/path/to/command命令。# 为用户组分配权限:#这将允许groupname用户组中的所有用户执行/path/to/command命令。# 为用户分配多个命令的权限:# 使用逗号分隔可以列出多个命令。# 允许用户以特定用户身份执行命令:# 这将限制username用户只能以specificuser用户的身份执行命令。
【史上最全】centOS/Linux系统安全加固方案手册
sophiasofia的博客
02-02 3117
Linux/centOS安全加固方案,按照本方案进行的加固安全可顺利通过一般的安全扫描工具。
Centos安全加固策略
被生活耽误的旅行者
04-24 1874
操作系统安全加固就是使操作系统安全稳定的各种技术方案。安全加固可从操作系统内外来看,对内就是是操作系统配置以及内核参数的调整,加强内部管理。对外,操作系统可以通过建立防火墙,关闭不必要开放的端口等等,建立安全的网络屏障
安装CentOS 7后必做的安全加固
大华的程序人生
12-03 1954
刚装好的CentOS 7系统存在很大风险,需要立刻进行安全加固。 1. 用root账号通过SSH登录服务器 通常使用SSH远程登录服务器进行日常维护。在windows系统下可以用PuTTY软件,Linux和MAC系统内置SSH客户端功能直接在终端(terminal)输入相关指令。 SSH首次登录服务器,会提示是否接受该服务器的加密公钥,请选择“是”(yes)。 2. 修改root账号的密码...
系统加固
http://www.onlyze.cn/
08-26 1272
centos 系统加固。Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bi
centos7 系统安全加固
01-23
以下是Centos7系统安全加固的一些方法和步骤: 1. 同步时间服务器: - 使用定时任务同步时间服务器,可以避免无网情况下ntp服务启动后的漏洞。 - 在crontab中添加以下定时任务: ```shell 0 12 * * * /usr/sbin/ntpdate 时间服务器IP ``` 2. 内核优化: - 对Centos7系统进行内核优化可以提高系统的安全性。 - 可以通过修改/sys/kernel/security/securelevel文件来设置内核安全级别,限制对内核的访问权限。 3. 密码策略设置: - 设置强密码策略可以增加系统的安全性。 - 可以通过修改/etc/pam.d/system-auth文件来设置密码策略。 - 例如,可以设置密码必须包含至少一个数字、一个小写字母、一个大写字母、一个特殊字符,并且密码长度大于等于10: ```shell password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 difok=5 minlen=10 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 ``` 4. 防火墙设置: - 配置防火墙可以保护系统免受网络攻击。 - 可以使用firewalld或iptables来配置防火墙规则,限制网络访问。 5. 更新和安装补丁: - 及时更新系统和安装补丁可以修复已知的安全漏洞。 - 可以使用yum命令来更新系统和安装补丁: ```shell yum update ``` 6. 禁用不必要的服务: - 禁用不必要的服务可以减少系统的攻击面。 - 可以使用systemctl命令来禁用不必要的服务: ```shell systemctl disable 服务名 ```
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT_Bigboy_sz

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值