基线管理 Centos安全配置

最新推荐文章于 2024-02-28 01:36:31 发布
最新推荐文章于 2024-02-28 01:36:31 发布
阅读量2.5k 收藏 1
点赞数
文章标签: centos 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/omh164052427/article/details/121911126
版权

1.网络配置

检查不用的链接

 如果有需要关必的接口使用ip link set down

关闭IP转发

先查看ip转发配置

sysctl net.ipv4.ip_forward

 图中是1,用以下指令修改成0

sysctl -w  net.ipv4.ip_forward=0

 

关闭数据包重定向

查看数据包重定向设置

sysctl net.ipv4.conf.all.send_redirects

 使用以下命令改为0

sysctl -w  net.ipv4.conf.all.send_redirects=0

 

开启SYN cookies

查看syn cookies配置

sysctl net.ipv4.tcp_syncookies

1为开启,如果是0,使用下面命令

sysctl -w net.ipv4.tcp_syncookies=1

二:查看审计服务

1、查看服务是否开启

systemctl status auditd

 开启指令为systemctl start auditd

2、查看审计日志大小

cat /etc/audit/auditd.conf |grep max

 如图显示最大日志为8M,可以自己修改文件,然后重启auditd服务后生效。

三、查看并配置日志审计

1、查看日志文件权限,日志权限应为600,仅root可读写

使用下面命令

ls -l /var/log/

 

非600的文件,如wpa_supplicant.log 可以使用下面命令改为600

chmod 600 /var/log/wpa_supplicant.log

 

2、查看日志归档处理

确保存在/etc/logrotate.d/syslog文件

使用以下命令

ls /etc/logrotate.d/syslog

 

四、查看SSH认证配置

1、检查SSH配置文件权限

ls -l /etc/ssh/sshd_conf

 

改为600,使用以下命令

chmod 600 /etc/ssh/ssd_conf

2、配置允许SSH允许的验证失败次数

查看当前配置

sshd -T |grep maxauthtries

 

如上图显示,默认为6次登录失败后断开连接。
可以修改/etc/ssh/sshd_config文件的MaxAuthTires值进行修改。

 

3、禁止空密码登录SSH

sshd -T | grep permitemptypasswords

 

4、查看SSH支持密码算法,确保没有md5 des等已经不安全的算法

sshd -T | grep ciphers

 

五、认证模块配置

Linux的认证模块由PAM处理,PAM中可以配置认证的账号、密码强度等操作。

1、密码强度配置

vim /etc/security/pwquality.conf

 密码最小minlen

复杂度minclass

如果修改记得去#号

2、密码过期时间设置

查看过期时间

grep ^\s*PASS_MAX_DAYS /etc/login.defs

 

3、查看用户密码过期时间

grep -E '^[^:]+:[^!*]' /etc/shadow | cut -d: -f1,5

 

修改root用户过期时间

chage  --maxdays 365 root

 

4、自动禁用账号

useradd -D | grep INACTIVE

 

使用下面设置30天未使用的账号自动禁用

useradd -D -f 30

omh164052427
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
基线管理Centos安全配置
weixin_59872639的博客
12-13 256
实验目的 通过配置Centos配置文件,加强Centos默认安全配置。同时也是理解linux一切皆文件的思想。尝试用shell脚本来处置Centos安全配置。 实验环境 一台Centos 7.2无需其他环境。 实验原理 Linux操作系统的配置基本上以配置文件展示,通过不同配置文件理解不同的配置。 实验步骤 一、网络配置 1、检查不用的连接 ip link show up 发现有两个连接一个为lo,一个为eth0,如果有需要关闭的接口,可以使用ip link setdown ..
CentOS基线脚本,三级等保服务器系统安全配置脚本_centos 日志 等保三
2401_83947105的博客
04-03 749
bin/bash#检查系统版本thenPRETTYNAMEelsesystemversion, "fivar={var}…”#检查密码有效期thenfithenthenPASSMAXDAYSdayselsesed−i′PASSMAXDAYSs′thenelsefifi#检查日志保留时间thenfithen。
CentOS 7.2 LNMP 基线部署
yang_kaiyue的博客
06-06 472
CenOS 7.2 LNMP部署文档
SSH max authtries && SSH 配置文件简便地增强安全
anzhuangguai的专栏
02-17 1万+
1 确保安全性总是需要多层的方案。SSH 就是个好例子。可以使用多种方法,包括简单的 sshd 配置、通过 PAM 指定谁可以使用 SSH、应用端口敲门技术隐藏存在 SSH 访问的事实等。应用这些技术可以大大增加黑客入侵的难度,黑客不得不突破三个不常见的障碍。 把 SSH 的标准端口改为不常用的值并增强 SSH 配置,从而挡住最简单的攻击。定义有限的用户列表,只允许这些用户登录。完全隐藏
Centos修改SSH登陆端口及限制登陆,错误次数配置
weixin_61052346的博客
10-11 1032
修改其中的Port选项为想设置的端口。ssh允许监听多个端口,只需要在原Port下添加一个新的Port即可。保存并退出重新启动SSH服务。修改/etc/ssh/sshd.config文件中的以下位置。SSH配置文件在/etc/ssh/sshd_config。MaxAuthTries //登录次数。AllowUsers ‘需要禁止登陆的用户’向sshd_config配置文件中添加。在里面添加需要禁止登陆的用户。配置后记得重启SSH服务。编辑ssduers文件。
centos主机基线加固手册.doc
07-16
【描述】:这份文档主要涉及Linux主机的安全强化,特别是针对CentOS系统的安全配置和验证方法。 【标签】:“安全”、“Linux”、“主机基线”、“安全扫描” 【正文】: 在Linux操作系统,尤其是CentOS中,确保...
CentOS7或RHEL7的安全基线检查脚本
01-11
RHEL7CentOS7安全基线检查脚本通常是一系列自动化脚本,用于检查系统的安全配置是否符合CIS的推荐标准。这些脚本可能包含bash shell脚本、Python脚本或其他自动化工具,例如Ansible playbooks,用于自动检测和修复不...
CentOS 7 操作系统安全配置、基于操作系统层面做出的安全配置
最新发布
05-07
本文档旨在提供一套针对 CentOS 7 操作系统的安全配置规范,指导主机操作系统管理人员或安全检查人员进行主机操作系统的安全配置,从而提高主机操作系统的安全性。 1.2 **适用范围** 该安全配置基线适用于政务云...
CIS_CentOS_Linux_7_Benchmark_v2.2.0
01-09
标签"CIS Centos linux 基线检查"则更简洁地概括了文档的核心内容,即它是一个针对CentOS Linux 7平台的基线检查指南,提供了一系列的安全配置建议,旨在作为评估和改进系统安全性的参考。 文档的【部分内容】提供...
操作系统安全基线.xlsx
06-22
linux基线:共13项,适用于centos 7+(注意:部分配置完成后需要重启服务/系统),,,, 序号,控制点,基线要求,操作指南,检测方法 1,补丁管理,应及时更新系统补丁,根据组织的信息安全策略要求,为系统安装系统安全...
linux ssh远程访问及控制
weixin_56667320的博客
05-25 1870
文章目录一、SSH远程访问1、概念2、系统服务-openssh2.1、系统软件包2.2、服务名称:sshd2.3、服务端配置文件参数详解3、实操3.1、实验环境准备3.2、ssh远程登录3.2.1、未更改端口号3.2.2、更改端口号3.3、PermitRootLogin no #禁止root用户登录3.4、MaxAuthTries 6 #重试次数3.5、黑白名单二、SSH秘钥对验证1、概述2、加密算法2.1、对称加密2.2、非对称加密3、实例了解签名、公钥、私钥4、实操4.1、免密交互4.3、加密交互
linux net.ipv4.ip_forward 数据包转发
热门推荐
whatday的专栏
05-09 3万+
出于安全考虑,Linux系统默认是禁止数据包转发的。所谓转发即当主机拥有多于一块的网卡时,其中一块收到数据包,根据数据包的目的ip地址将数据包发往本机另一块网卡,该网卡根据路由表继续发送数据包。这通常是路由器所要实现的功能。 要让Linux系统具有路由转发功能,需要配置一个Linux的内核参数net.ipv4.ip_forward。这个参数指定了Linux系统当前对路由转发功能的支持情况;其值为0时表示禁止进行IP转发;如果是1,则说明IP转发功能已经打开。 要配置Linux内核中的net.ipv4.i
Linux网络服务参数配置说明及实战
碧荷故乡_胡奇的专栏
02-07 2万+
本文对应的运行时参数位于:/proc/sys/net/ipv4/*。“掌控”这些参数,能使您在Linux网络服务问题解决、调优方面功力大增。此乃“系统高手”之必备知识。 临时改动某个系统参数的值,可用两种方法来实现,例如,想启用IP路由转发功能: echo 1 > /proc/sys/net/ipv4/ip_forward 或 sysctl -w net.ipv4.ip_forward=1 以上两种方法都可以即时开启路由转发功能。但如果系统重启,或执行了“service network re
net.ipv4.ip_forward=0导致docker容器无法与外部通信
高性价比服务器就选:蓝易云
02-28 696
设置为0时,表示禁止IP转发。这可能会导致Docker容器无法与外部通信,因为Docker容器通常依赖于宿主机进行IP转发来实现网络通信。是一个内核参数,它控制着系统是否允许进行IP转发。IP转发是网络数据包在不同网络接口之间的传输,这对于网络通信非常重要。的值设置为1,即开启IP转发。完成以上步骤后,Docker容器应该能够正常与外部通信了。为了解决这个问题,你需要将。在Linux系统中,
Linux网络安全配置
cainiao17441898的博客
11-07 2653
文章目录网络参数设置禁用IP转发禁止数据包发送重定向不接收源路由信息包记录可疑数据包启用TCO SYN Cookies禁用ipv6网络访问控制TCP-Wrappers 网络参数设置 禁用IP转发 不当路由器!! 配置方法: 在/etc/sysctl.conf或/etc/sysctl.d/*中设置以下参数: net.ipv4.ip_ forward = 0 运行以下命令来设置活动内核参数: sysctl -w net.ipv4.ip. forward=0 sysctl -w net.ipv4.route..
Centos下限制SSH登录次数详解
seaship的博客
04-28 3029
设备默认 3 次验证失败自动退出,并且结束会话;网络登录连接超时自动退出时间 5 分钟; 第一种方法: 1.ssh超时时间设置  # cd /etc/profile.d/  #创建两个空白文件autologout.csh 、autologout.sh用来保存TMOUT配置  # touch autologout.csh  # touch autologout.sh  # vi autologout...
Centos7十五项安全加固标准配置(阿里云标准安全基线检查)
chaishen10000的专栏
05-13 3318
一、检查系统空密码账户 | 身份鉴别 描述 检查系统空密码账户 加固建议 为用户设置一个非空密码,或者执行passwd -l <username>锁定用户 操作时建议做好记录或备份 二、禁止SSH空密码用户登录 | SSH服务配置 描述 禁止SSH空密码用户登录 加固建议 编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no: PermitEmptyPasswords no 操作时建议做好记录或备份 三、设置密码失效时间 | 身份鉴别 描述 设置
设置Linux用户登录连续N次输入错误限制进行登陆时,自动锁定X分钟(pam_tally2)
beckdim
03-18 4394
(1)这一条登录多少次后就提示并自动结束会话:非常重要,在CentOS6.2中实践Ok,如下:[root@station90 ssh]# cat /etc/ssh/sshd_config  | grep MaxAuthMaxAuthTries 1 //远程用户通过ssh连接登录2次失败后自动结束会话The server has disconnected with an error.  Server...
centos基线配置
09-06
CentOS基线配置是指在安装和配置CentOS操作系统时的一些基本设置和安全性要求。这些设置有助于确保系统的稳定性、安全性和性能。 以下是一些常见的CentOS基线配置建议: 1. 安装最新的CentOS版本:始终使用最新的CentOS版本,以获取最新的安全补丁和功能。 2. 禁用不必要的服务:只启用需要的服务,禁用不使用或不必要的服务。可以使用服务管理工具(如systemctl)来管理服务。 3. 更新系统补丁:定期更新系统补丁以修复安全漏洞和改善性能。 4. 配置防火墙:启用并配置防火墙以限制对系统的访问。使用Firewalld或iptables进行防火墙配置。 5. 使用强密码策略:对于用户账户,强制使用复杂的密码,并定期更改密码。 6. 禁用root远程登录:禁用root用户的远程登录,并使用普通用户登录系统后再切换到root用户。 7. 配置SSH安全:限制SSH访问,例如禁用root用户的SSH登录、使用公钥认证等。 8. 安装安全更新和工具:安装常用的安全更新和工具,如SELinux、OpenSSL等,以提高系统的安全性。 9. 监控和日志记录:配置系统监控和日志记录,以便及时发现和解决潜在的安全问题。 10. 定期备份数据:定期备份重要的系统和用户数据,以防止数据丢失或损坏。 这些是一些常见的CentOS基线配置建议,根据实际需求和安全要求,您可能需要进行适当调整和定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值