CentOS7+系统安全加固(持续更新:20210903)

最新推荐文章于 2024-05-11 14:38:48 发布
最新推荐文章于 2024-05-11 14:38:48 发布
阅读量894 收藏 1
点赞数 1
分类专栏: 网络安全 文章标签: ssh 运维 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/avatar_2009/article/details/115488901
版权

OpenSSH安全加固

1、最小化安装CentOS操作系统:rpm总包数低于500,不同版本有所变化(CentOS8会高一些)。
2、安装semanage命令,将变更的ssh_port添加selinux策略白名单

# CentOS7-
yum -y install policycoreutils-python
# CenTOS8
yum -y install policycoreutils-python-utils

semanage port -a -t ssh_port_t 22002 -p tcp

3、防火墙添加例外

firewall-cmd --add-port 22002/tcp --permanent
firewall-cmd --reload

4、修改openssh配置文件:修改默认Port,不允许Root直接登录访问,访问限制策略制定:只允许192.168.1.0/23源地址访问用户user01
vi /etc/ssh/sshd_config 
#Port 22
Port 22002
#PermitRootLogin yes
PermitRootLogin no
#PasswordAuthentication yes
PasswordAuthentication no
Match Address 192.168.1.*,192.168.2.0/24 User user01
  PasswordAuthentication yes

注:Match策略支持IPv6:
Match Address fd88::/64 User user01
  PasswordAuthentication yes

5、执行history -c清空操作痕迹

隐藏OpenSSH版本号,参见《隐藏服务版本,避免被网络扫描》 

Jetty中间件安全加固

修复“SSL/TLS协议信息泄露漏洞(CVE-2016-2183)”,修改jetty/jetty.xml,增加<Set name="IncludeCipherSuites">配置,当然<Item>取值可按照自己需要配置,这里只是简单去掉了DES/3DES Ciphers。

    <Call name="addConnector">
        <Arg>
            <New
                class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
                <Set name="Port">8443</Set>
                ……
				<Set name="IncludeCipherSuites">
                    <Array type="java.lang.String">
                      <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA256</Item>
                      <Item>TLS_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
                      <Item>TLS_DHE_RSA_WITH_AES_128_GCM_SHA256</Item>
                      <Item>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</Item>
                      <Item>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</Item>
                      <Item>TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256</Item>
                      <Item>TLS_RSA_WITH_AES_128_CBC_SHA</Item>
                      <Item>TLS_RSA_WITH_AES_128_CBC_SHA256</Item>
                      <Item>TLS_RSA_WITH_AES_128_GCM_SHA256</Item>					  
                    </Array>
                </Set>
            </New>
        </Arg>
    </Call>

隐藏Jetty版本号,参见《隐藏服务版本,避免被网络扫描》 

修复“服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)”:
jetty/jetty.xml。
                <!--Set name="allowRenegotiate">true</Set-->
                <Set name="allowRenegotiate">false</Set>

itachi-uchiha
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CentOS7-系统安全加固实施方案.pdf
10-04
CentOS7-系统安全加固实施方案.pdf
配置或部署记录-CentOS7宿主主机Gitlab搭建
Bingo冲冲冲
05-09 116
环境:CentOS 7 Gitlab版本:13.7.1 (版本列表: https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum el6-CentOS6 el7-CentOS7 el8-CentOS8)
修复 K8s SSL/TLS 漏洞(CVE-2016-2183)指南
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
CentOS 7 系统安全加固方案
最新发布
eagle89的专栏
05-11 410
CentOS 7 系统安全加固方案
centos7安装 gitlab-ce-14.7.7
herionZhang的博客
06-18 1182
安装Postfix以发送通知邮件 安装policycoreutils-python gitlab 安装配置 下载 下载地址:https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el7/?C=M&O=D 出现该图标表示安装成功 修改自带的nginx配置 自带Nginx 默认80 端口,如不冲突也可不修改 重置并启动GitLab 如果开启了防火墙需要开放端口 访问 gitlab 用户密码说明 默认用户为root 默认密码存放位置 我这里没有修改
解决policycoreutils-python is needed by问题
热门推荐
没有伞的孩子只能快跑,如若不跑,只有一个结果:超过你的人回头鄙视你
08-09 4万+
出现这个问题,应该是在安装gitlab时,gitlab的版本是centos7的,如果你确定你的centos版本是centos7 解决方法:yum installpolicycoreutils-python 如果这个方法无效,你的centos版本一定不是centos7 如果你的centos版本是centos8.那么换一个gitlab版本,也就是重新下载一个,这里是最新地址 https://mirrors.tuna.tsinghua.edu.cn/gitlab-ce/yum/el8/ 下载命令..
CVE-2016-2183
龙卷风摧毁停车场
03-07 5531
TLS, SSH, IPSec 协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。该漏洞又称为 SWEET32,是对较旧的分组密码算法的攻击,使用 64 位的块大小,缓解 SWEET32 攻击 OpenSSL 1.0.1 和 OpenSSL 1.0.2 中基于 DES 密码套件从“高”密码字符串组移至“中”;但 OpenSSL 1.1.0 发布时自带这些,默认情况下禁用密码套件。
centos7 安装GitLab
weixin_43110609的博客
12-16 912
一、 安装并配置必要的依赖关系 1.在CentOS系统上安装所需的依赖:ssh,防火墙,postfix(用于邮件通知) ,wget,以下这些命令也会打开系统防火墙中的HTTP和SSH端口访问 sudo yum install -y curl policycoreutils-pythonopenssh-server 2.将SSH服务设置成开机自启动,安装命令:sudo systemctl en...
CentOS7+安装NVIDIA驱动及cuda
07-26
在 CentOS 7 系统中安装 NVIDIA 驱动和 CUDA 是一个复杂的过程,需要一步步地完成。下面将详细介绍安装 NVIDIA 驱动和 CUDA 的步骤。 安装相关编译依赖 在安装 NVIDIA 驱动和 CUDA 之前,需要安装相关的编译依赖项...
win10+centos7+centos7桌面双系统安装.docx
07-24
更新系统: yum -y upgrade 6. 安装必要的软件包: yum -y install grub2-efi fwupdate 7.重启电脑,删除老版本内核: yum -y remove kernel 8.查看可安装组列表: yum grouplist 9. 安装桌面: yum -y ...
CentOS7-系统安全加固实施计划方案.doc
10-11
CentOS7 系统安全加固实施计划方案 Centos7 系统安全加固实施计划方案旨在确保 Centos7 操作系统的安全性,防止恶意攻击和数据泄露。本计划方案涵盖用户和环境、系统访问认证和授权、核心调整、需要关闭的一些服务...
policycoreutils-python-utils-2.9-16.el8.noarch(1).rpm
12-07
离线安装包,亲测可用
总结Centos7系统加固知识点
09-15
系统加固是提高Linux服务器安全性的重要步骤,针对CentOS7系统,以下是一些关键的加固措施: 1. **手动更新系统**:保持系统的最新状态可以修复已知的安全漏洞。使用`yum -y update`命令可以确保所有软件包都更新到...
CentOS 7.8 2003 最小化离线安装 GitLab EE 12.10.13
07-03 1348
官方网址: 社区版 企业版 https://packages.gitlab.com/gitlab/gitlab-ee https://packages.gitlab.com/gitlab/gitlab-ce 本文以 CentOS 7 GitLab EE 12.10.13 为例,网址:https://packages.gitlab.com/gitlab/gitlab-ee/packages/el/7/gitlab-ee-12.10.13-ee.0.el7.x86_64.rpm .
SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
qq_45373631的博客
05-09 8023
SSL/TLS协议 RC4信息泄露漏洞被扫描出来,一般出现的问题在ssh和https服务上使用了DES、3DES算法,禁用这些算法就好了。2.重启nginx服务 systemctl restart nginx.service。其它中间件原理是一样的,找到中间件的配置文件 禁用!1.禁止apache服务器使用RC4加密算法。1.禁止apache服务器使用RC4加密算法。1.ssh禁用DES、3DES算法。重启lighttpd 服务。2.重启apache服务。2.重启sshd服务。然后就不会扫描出来了。
Linux(centos 7.5)服务器安装Gitlab
lydms的博客
02-16 2635
一、安装步骤。 二、网关操作。 三、问题解决。
centos8安装gitlab方法和一个报错信息解决:policycoreutils-python is needed by gitlab-ce-13.11.3-ce.0.el7.x86_64
qq_43987149的博客
05-10 6622
1、我是在centos8下安装gitlab,但是这里我安装的时候用到了gitlab-ce对应的7版本,需要下载对应的8版本的 2、安装gitlab的时候版本一定要对应 3、参考链接 ① centos8安装gitlab报错参考 ② centos8安装gitlab方法参考 4、安装步骤 1.安装GitLab-ce社区版 1.1 安装依赖关系 sudo dnf install policycoreutils openssh-server postfix 1.2开启SSH并设置开机启动 systemctl enab
policycoreutils-python 离线安装,python离线包怎么安装
2301_81837718的博客
02-19 496
大家好,本文将围绕policycoreutils-python 离线安装展开说明,python离线包怎么安装是一个很多人都想弄明白的事情,想搞清楚python离线库安装方法需要先了解以下几个事情。由于保密要求,必须在离线环境下开发,所以需要手动下载Python的离线安装包,然后再安装到保密电脑上。以前想下载库,直接就得了,离线安装才发现,原来想安装一个库不能仅仅需要库本身1个安装包,还需要下载库所依赖的所有库。真是绕了一大圈弯路才把环境安装好。第一种方式:从官网一个一个下离线安装包。
CentOS7本地yum源设置(断网情况下轻松安装各种依赖包)亲测有效!
冯冯领队
07-25 2万+
下面以一个崭新的CentOS系统作为基础讲解。 由于我的系统是在VMware虚拟机中创建的,所以需要FileZilla FTP Client客户端将所需依赖包上传到系统主机,大家可以用FTP等类似软件将文件传输到虚拟机创建的主机中。 一、准备工作 1、我在虚拟机中创建了一台IP地址为192.168.190.149的主机,为了方便操作控制台,我使用Xshell 5操作控制台(大家也可以用Cen...
centos7 系统安全加固
01-23
以下是Centos7系统安全加固的一些方法和步骤: 1. 同步时间服务器: - 使用定时任务同步时间服务器,可以避免无网情况下ntp服务启动后的漏洞。 - 在crontab中添加以下定时任务: ```shell 0 12 * * * /usr/sbin/ntpdate 时间服务器IP ``` 2. 内核优化: - 对Centos7系统进行内核优化可以提高系统的安全性。 - 可以通过修改/sys/kernel/security/securelevel文件来设置内核安全级别,限制对内核的访问权限。 3. 密码策略设置: - 设置强密码策略可以增加系统的安全性。 - 可以通过修改/etc/pam.d/system-auth文件来设置密码策略。 - 例如,可以设置密码必须包含至少一个数字、一个小写字母、一个大写字母、一个特殊字符,并且密码长度大于等于10: ```shell password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 difok=5 minlen=10 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 ``` 4. 防火墙设置: - 配置防火墙可以保护系统免受网络攻击。 - 可以使用firewalld或iptables来配置防火墙规则,限制网络访问。 5. 更新和安装补丁: - 及时更新系统和安装补丁可以修复已知的安全漏洞。 - 可以使用yum命令来更新系统和安装补丁: ```shell yum update ``` 6. 禁用不必要的服务: - 禁用不必要的服务可以减少系统的攻击面。 - 可以使用systemctl命令来禁用不必要的服务: ```shell systemctl disable 服务名 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值