Centos7十五项安全加固标准配置(结合等保3)

已于 2022-11-08 09:43:24 修改
阅读量5.5k 收藏 44
点赞数 2
分类专栏: Centos 安全 文章标签: 安全 网络 linux
于 2022-11-07 14:42:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Wizard_1/article/details/127684468
版权

写在前面:由于所有操作均涉及系统文件,建议所有操作前备份文件及做好相关记录

一、检查系统空密码账户 | 身份鉴别

描述

检查是否存在空口令和root权限的账号

加固建议

对无口令并且可登录的账户,进行密码设置:(注意密码不能包含用户名,也不能少于7位)

具体操作命令和步骤

1、检查空口令账户

awk -F: '$2=="!!" {print $1}' /etc/shadow

2、检查空口令账户哪些可以登录

grep -v "/sbin/nologin" /etc/passwd

PS: /bin/bash的为可登录账户

3、加固可登录的空口令账户或注销空口令账户

4、检测root权限账号

awk -F: '($3==0)' /etc/passwd

确保uid为0的账号只能是root账号

操作时建议做好记录或备份

二、SSH安全加固 | SSH服务配置

描述

加固SSH远程访问安全策略,限制可登录用户及来源地址

加固建议

编辑文件/etc/ssh/sshd_config,将一应配置修改

具体操作命令和步骤

1、编辑文件/etc/ssh/sshd_config

vim /etc/ssh/sshd_config

2、修改配置

Port = *** --修改默认端口

AllowUsers 用户名1@1.1.1.1 用户名2@2.2.2.2 --设置允许登录用户,多个用户可空格添加

AllowGroup *** --设置允许登录用户组

ListenAddress 0.0.0.0 --设置SSH指定的本地地址,多网卡可用

Protocol 2 --强制使用 V2安全协议 ,SSH1存在漏洞与缺陷

MaxAuthTries = 3 --修改允许密码错误次数

PermitRootLogin no --禁止使用root远程登录

RSAAuthentication yes --设置用户密钥登录,只针对SSH1,此功能另开一篇记录

PubkeyAuthentication yes --设置是否开启公钥验证

PermitEmptyPasswords no --是否允许空密码

ClientAliveInterval 300 --设置SSH空闲超时退出时间,单位:秒

ClientAliveCountMax 0 --设置允许超时的次数 0即表示不允许超时

LogLevel INFO – 开通登录日志的详细记录

AllowAgentForwarding no

AllowTcpForwarding no --设置是否允许允许tcp端口转发,保护其他的tcp连接

UseDNS no --设置不使用dns反向解析

MaxStartups 5 --设置同时允许5尚未登入的联机,当用户连上ssh但并未输入密码即为所谓的联机

3、记录所有用户的登录和操作日志

通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。vim /etc/profile修改配置文件,在配置文件中输入以下内容:

history
 USER=`whoami`
 USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
 if [ "$USER_IP" = "" ]; then
 USER_IP=`hostname`
 fi
 if [ ! -d /var/log/history ]; then
 mkdir /var/log/history
 chmod 777 /var/log/history
 fi
 if [ ! -d /var/log/history/${LOGNAME} ]; then
 mkdir /var/log/history/${LOGNAME}
 chmod 300 /var/log/history/${LOGNAME}
 fi
 export HISTSIZ
最低0.47元/天 解锁文章
起西洲
关注
  • 2
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
RedHat操作系统等保合规加固方案v1.1
06-10
RedHat操作系统等保合规加固方案v1.1
Centos服务器安全加固脚本
08-23
搜集的几个安全加固脚本,文档列举常用命令,并编写自己的安全加固脚本,Centos6.9验证。
CentOS 7 系统安全加固方案
最新发布
eagle89的专栏
05-11 512
CentOS 7 系统安全加固方案
centos7 安全加固
北城青的博客
09-07 310
PS:之前在进行安全测试的时候,说是报告环境有漏洞,于是根据报告的漏洞来查找相应的解决方案,当然,现在centos已经停止维护了,但是估计还是有不少使用的人,把他拿出来给大家一起分享一下解决方案。
centos7基本安全配置
发量堪忧
04-23 2781
1.禁止root直接登陆,采取sudo授权账号权限 在禁止root登入前,需要创建一个普通用户 [root@123 ~]# users #查看当前用户列表 123 root [root@123 ~]# useradd 888 #创建888的普通用户 [root@123 ~]# passwd 888 #为888用户创建密码(修改密码) 更改用户 888 的密码 。 新的 密码: 无效的密码: 密码少于 8 个字符 #因为我就设置了123456所以出这
CentOS7的安装和配置
rousongxiaobei_的博客
05-08 3147
这里要注意兼容性,如果是VMwear12创建的虚拟机复制到VM11、10或者更低的版本会出现一不兼容的现象。磁盘容量暂时分配100G即可后期可以随时增加,不要勾选立即分配所有磁盘,否则虚拟机会将100G直接分配给CentOS,会导致宿主机所剩硬盘容量减少。(这个是属于转载,忘了在那看的,之前是下载下来了,最近才整理这个虚拟器的安装,要是有人找到请私信我,我把原文连接粘上去)这里选择之后安装的操作系统,正确的选择会让vm tools更好的兼容。选择安装过程中使用的语言,这里选择英文、键盘选择美式键盘。
centos7防火墙配置详细(转载)
_紫陌纤尘的博客
11-04 5131
centos7防火墙配置详细(转载)
服务器安全设置Centos7 防火墙firewall与iptables
网站安全专家
06-27 2102
一.>>>>>>启用centos7 iptables防火墙Centos7 防火墙firewall设置方法我们Sinesafe在处理客户服务器Linux Centos7 64位系统里配置防火墙安全设置需要选择2种方案其中之一,最后选择了iptables防火墙。因为在Centos 7版本里默认的防火墙是firewall,所以首先用firewall防火墙的话,下面就是...
CentOS操作系统安全加固
倔强的踩坑小白
03-22 1044
1. 禁用或删除无用的账号 删除账号:userdel name 锁定账号:passwd -l name 解锁账号:passwd -u name 2. 检查是否存在空口令和root权限的账号 查看空口令账号:awk -F: '($2=="")' /etc/shadow 查看UID为0的账号:awk -F: '($3==0)' /etc/passwd,确认UID为0的账号只有root 为空口令账号设定密码:passwd name 3.加强口令的复杂度等,降低被猜解的可能性 3.1 修改配置..
CentOS6-7的安全配置
07-23
资源名称:CentOS 6-7 的安全配置资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
CentOS7 环境下Tomcat和Nginx 安全配置操作手册
09-08
本文档用来指导在CentOS 7 环境下,如何一步一步安装和配置JDK 1.8\Tomcat 8.5、Nginx2,并完成安全配置。 本文档适用于企业IT 人员操作,经过多次更新和验证,最后可以形成一个企业级的、完整、安全、Tomcat和Nginx...
Virtualbox配置centos7 网络简易教程
01-07
安装centos7的时候注意选择两个网卡(配置CentOS7虚拟机里面能上外网,而主机与CentOS7虚拟机也能连通) 两个网卡分别为: nat(虚拟机访问互联网,使用10.0.2.x段) host-only(虚拟机和主机互相通信,使用192.168.56....
CentOS 7服务器安全配置(未完待续)
zosoyi的博客
11-07 8618
1.问题背景本打算买一个Linux服务器玩玩,系统为CentOS 7,供学习Linux和线上部署网站学习用。没想到买了没几天,啥都没做呢,登录之后发现了近2万条登录失败记录(输入lastb命令即可查看登入系统失败的用户相关信息)。什么?有人想通过暴力破解密码来登录我的服务器?!并且大量的攻击来自同一个ip地址。作为一个Linux小白,差点被吓尿了,网络真危险啊。不过虽然是小白,也不甘示弱,有攻击就要
安全加固-Centos7-Apache
weixin_34174422的博客
05-17 357
转载于:https://blog.51cto.com/10945453/2396528
centos7 系统安全加固方案
weixin_30555753的博客
11-19 450
一.密码长度与有效期 默认配置: [root@i-1y3we23j ~]# cat /etc/login.defs |grep PASS_ |grep -v '#' PASS_MAX_DAYS 99999 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 加固方案: 1.备份配置文件: # cp ...
CentOS7安全加固
qq_38473097的博客
06-18 353
其实本身Linux已经很安全了,但是如果密码设置的不够复杂,如果说小写+数字共12位以下,你的SSH还用的默认端口,那强力一点的***用不上半小时,就能暴力破解你的密码。所以,最好的方法就是修改掉SSH的端口。 一、修改文件:/etc/ssh/sshd_config Port 22 #在第三行或第四行,如果前面有井号,请删除,修改为65534以下即可 可在远程连接中用vi命令,或sftp下载到本地修改,修改后使用以下命令重启ssh服务 /etc/init.d/sshd restart #centos系
CentOS7 系统目录详解和常用命令[文件和目录]
IChen.的博客
04-15 4404
Centos7系统目录结构 / ├── bin -> usr/bin … #:存放着一百多个Linux下常用的命令、工具 ├── boot … #: Linux就是从这里启动的 ├── dev … #:存放着Linux下所有的设备文件! ├── etc … #:这里存放在Linux大部分的配置文件 ├── home … #:普通用户的家目录 ├── lib -> usr/lib … #...
Linux使用PAM锁定多次登陆失败的用户(含重置错误次数)
热门推荐
新路的专栏
05-22 5万+
修改如下文件 /etc/pam.d/sshd    (远程ssh) /etc/pam.d/login    (终端) 在第一行下即#%PAM-1.0的下面添加: auth    required    pam_tally2.so    deny=3    unlock_time=600 even_deny_root root_unlock_time=1200 各参数解释: ev
linux使用pam_tally2.so模块限制登录3次失败后禁止5分钟
amb61523的博客
08-29 2515
在线上的服务器有时需要限制用户登录次数.这个功能可以通过pam的pam_tally2.so模块来实现   PAM模块是用sun提出的一种认证机制 pam_tally2.so模块 一.格式 pam_tally2.so [file=/path/to/counter] [onerr=[fail|succeed]] [magic_root] [even_deny_root] [den...
centos7进行等保3.0加固的详细配置
04-25
好的,关于CentOS 7进行等保3.0的加固配置,以下是详细的步骤: 1. 修改SSH配置文件 首先,需要修改SSH的配置文件来确保SSH的安全性。由于SSH是访问服务器的主要方式,因此需要特别关注。 在进行配置之前,建议备份原有的SSH配置文件。 打开SSH配置文件,使用以下命令: vi /etc/ssh/sshd_config 查找并修改以下配置内容: LoginGraceTime 30 PermitRootLogin no StrictModes yes PasswordAuthentication no X11Forwarding no UseDNS no AllowUsers user1 user2 这些修改将使SSH连接变得更加安全,包括:禁止root用户登录、禁止密码验证、禁用X11转发等。 2. 修改系统内核参数 接下来需要修改系统内核参数以提高系统安全性。这些设置将在系统启动时自动应用。 在进行配置之前,建议备份原有的内核配置文件。 打开内核配置文件,使用以下命令: vi /etc/sysctl.conf 添加以下配置: # 忽略ICMP广播请求 net.ipv4.icmp_echo_ignore_broadcasts = 1 # 禁止IP源路由 net.ipv4.conf.all.accept_source_route = 0 # 关闭所有IPv6功能 net.ipv6.conf.all.disable_ipv6 = 1 # 只允许本机使用SYN cookies net.ipv4.tcp_syncookies = 1 # 禁止ICMP重定向 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 # 不转发IP包 net.ipv4.ip_forward = 0 这些修改将限制网络攻击,并提高系统对攻击的抵御能力。 3. 安装iptables防火墙 iptables是基于Linux内核的防火墙软件,可以提供网络流量控制和安全策略保护。 使用以下命令安装: yum install iptables 安装完成后,可以使用以下命令启用iptables: systemctl enable iptables 然后,需要设置防火墙规则。 使用以下命令打开防火墙配置文件: vi /etc/sysconfig/iptables 添加以下规则: *filter :INPUT DROP [0:0] :FORWARD DROP [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -i lo -j ACCEPT -A INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT COMMIT 这些规则将确保只允许预设的输入流量通过,并防止来自恶意攻击者的攻击。 以上就是CentOS 7进行等保3.0加固的详细配置。希望对您有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值