centos7基本安全配置

已于 2022-02-15 08:24:50 修改
阅读量2.7k 收藏 25
点赞数
分类专栏: 服务器运维 文章标签: centos 服务器
于 2021-04-23 16:59:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43440135/article/details/116055799
版权

1.禁止root直接登陆,采取sudo授权账号权限

在禁止root登入前,需要创建一个普通用户

[root@123 ~]# users             #查看当前用户列表
123 root
[root@123 ~]# useradd 888       #创建888的普通用户
[root@123 ~]# passwd 888        #为888用户创建密码(修改密码)
更改用户 888 的密码 。
新的 密码:
无效的密码: 密码少于 8 个字符      #因为我就设置了123456所以出这个提示
重新输入新的 密码:
passwd:所有的身份验证令牌已经成功更新。

vi /etc/ssh/sshd_config
PermitRootLogin no        #把注释去掉并把yes改为no

systemctl restart sshd    #重启ssh服务

2.设置密码长度12位,包括大小写、字母、数字、特殊字符

vi /etc/security/pwquality.conf
difok=N           #新密码中不得出现的字符数密码。(默认5)
minlen=12         #定义用户密码的最小长度;
dcredit=-1        #定义用户密码中必须包含多少个数字;
ucredit=-1        #定义用户密码中必须包含多少个大写字母;
lcredit=-1        #定义用户密码中必须包含多少个小写字母;
ocredit=N         #定义用户密码中必须包含多少个特殊字符
minclass=N        #新密码所需的最小字符数(数字,大写,小写,其他)。(默认为0)
maxrepeat=N       #新密码中允许的最大相同连续字符数。如果值为0,则禁用检查。(默认为0)
maxclassrepeat=N  #新的同一类中允许的最大连续字符数密码。如果值为0,则禁用检查。(默认为0

3.密码过期时间为30天,提前七天提示

vi /etc/login.defs
PASS_MAX_DAYS   30     #密码的最大有效期, 99999:永久有期
PASS_MIN_DAYS   0      #是否可修改密码,0可修改,0多少天后可修改
PASS_MIN_LEN    12     #密码最小长度
PASS_WARN_AGE   7      #密码过期提示时间

4.连续输入3次密码错误,锁定5分钟

在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!

vim /etc/pam.d/sshd
#%PAM-1.0  
auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10

1)各参数解释

even_deny_root   #也限制root用户;
deny             #设置普通用户和root用户连续错误登陆的最大次数,超过最大次数,则锁定该用户
unlock_time      #设定普通用户锁定后,多少时间后解锁,单位是秒;
root_unlock_time #设定root用户锁定后,多少时间后解锁,单位是秒;此处使用的是 pam_tally2模块,如果不支持 pam_tally2 可以使用 pam_tally 模块。另外,不同的pam版本,设置可能有所不同,具体使用方法,可以参照相关模块的使用规则。

2)查看用户登录失败次数

[root@123 pam.d]# pam_tally2    #查看锁定的用户
Login           Failures Latest failure     From
root                1    04/23/21 16:09:01  ti0171a401-0336.bb.online.no
888                 4    04/23/21 17:02:06  ti0171a401-0336.bb.online.no

cd /etc/pam.d/
pam_tally2 --user 888      #查看888用户
Login           Failures Latest failure     From
888                21    04/23/21 15:29:19  ti0171a401-0336.bb.online.no

21次登入,日期时间都有显示
3)解锁指定用户

pam_tally2 -r -u 888

5.登陆15分钟,空闲自动登出

vi /etc/profile
export TMOUT=900 #文件末尾加,单位为秒

6.查看操作系统版本

cat /etc/redhat-release 
CentOS Linux release 7.5.1804 (Core)

7.记录每个用户的操作命令

vim /etc/profile   #在最后加上如下脚本代码

#history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
HISTDIR=/usr/share/.history
if [ -z $USER_IP ]
then
USER_IP=`hostname`
fi
if [ ! -d $HISTDIR ]
then
mkdir -p $HISTDIR
chmod 777 $HISTDIR
fi
if [ ! -d $HISTDIR/${LOGNAME} ]
then
mkdir -p $HISTDIR/${LOGNAME}
chmod 300 $HISTDIR/${LOGNAME}
fi
export HISTSIZE=4000
DT=`date +%Y%m%d_%H%M%S`
export HISTFILE="$HISTDIR/${LOGNAME}/${USER_IP}.history.$DT"
export HISTTIMEFORMAT="[%Y.%m.%d %H:%M:%S]"
chmod 600 $HISTDIR/${LOGNAME}/*.history* 2>/dev/null

source /etc/profile    #刷新配置过的文件

查看用户操作过的命令

[root@123 ~]# cd /usr/share/.history/
[root@123 .history]# ll
总用量 0
d-wx------. 2 888  888  66 423 16:27 888      #用户
d-wx------. 2 root root 66 423 16:23 root    
[root@123 .history]# cd 888/
[root@123 888]# ll
总用量 4
-rw-------. 1 root root 306 423 16:27 ti0171a401-0336.bb.online.no.history.20210423_162317
[root@123 888]# cat ti0171a401-0336.bb.online.no.history.20210423_162317 
#1619166218
cd /usr/share/.history/
#1619166219
ll
#1619166223
cd 888/
#1619166224
ll
#1619166254
cd ..
#1619166258
cd root/
#1619166259
ll
#1619166274
cat ti0171a401-0336.bb.online.no.history.20210423_162233 
#1619166316
ll
#1619166362
history 
#1619166395
vi /etc/bashrc 
#1619166438
source /etc/bashrc 
[root@123 888]#

用history 查看历史记录

[root@123 888]# history 
    1  [2021.04.23 16:23:38]cd /usr/share/.history/
    2  [2021.04.23 16:23:39]ll
    3  [2021.04.23 16:23:43]cd 888/
    4  [2021.04.23 16:23:44]ll

在/etc/bashrc中加入几个环境变量,用于history命令显示用户ip等内容(末尾加入)

vi /etc/bashrc
#history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'` 
HISTFILESIZE=4000
HISTSIZE=4000
HISTTIMEFORMAT="%F %T ${USER_IP} `whoami` "
export HISTTIMEFORMAT

source /etc/bashrc 刷新

[root@123 888]# history 
    1  2021-04-23 16:23:38 ti0171a401-0336.bb.online.no root cd /usr/share/.history/
    2  2021-04-23 16:23:39 ti0171a401-0336.bb.online.no root ll
    3  2021-04-23 16:23:43 ti0171a401-0336.bb.online.no root cd 888/
    4  2021-04-23 16:23:44 ti0171a401-0336.bb.online.no root ll
    5  2021-04-23 16:24:14 ti0171a401-0336.bb.online.no root cd ..
    6  2021-04-23 16:24:18 ti0171a401-0336.bb.online.no root cd root/

我这里是虚拟机在自己电脑,所有没有显示出IP,显示的是电脑名,可以用CMD命令去ping一下这个电脑名就会显示出IP

7.设置ssh只允许特定用户从指定的IP登录

1.编辑文件 /etc/ssh/sshd_config

vi /etc/ssh/sshd_config

2.root用户只允许在如下ip登录

AllowUsers root@203.212.4.117
AllowUsers root@124.202.206.14

3.重启ssh生效

service sshd restart

4.取消ip登录限制
如果取消ip登录限制,则删除AllowUsers项即可

踩坑数十载
关注
  • 0
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Centos7十五项安全加固标准配置(结合等保3)
Wizard_1的博客
11-07 5540
加固服务器安全策略
centos7 服务器基本安全设置步骤
01-10
关闭ping扫描,虽然没什么卵用 先切换到root echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 1代表关闭 0代表开启 用iptables iptables -I INPUT -p icmp -j DROP 简单介绍下基本安全设置 一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root 这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限 以下是具体做法(需要在root下) 添加普通用户 useradd xxx 设置密码 passwd xxx 这样就创建好了
centos7服务器安全策略
q908544703的博客
07-28 2874
centos7 服务器安全策略
网络安全最新CentOS7 系统安全及应用(二),2024年最新一文说清
最新发布
2401_84254343的博客
05-15 802
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
centos7服务器基本安全设置
anyangyu0343的博客
10-13 146
在使用云服务器的过程中经常会遇到很多非法的入侵试图登录服务器,所以我们需要对服务器进行安全防范 关闭ping扫描,虽然没什么卵用 先切换到root echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 1代表关闭 0代表开启 用iptables iptables -I INPUT -p icmp -j DROP 简单介绍下...
CentOS7安全配置
weixin_44455388的博客
09-18 411
找到【Port 22】 ,删除注释符号【#】,将22改为要设置的目的端口,如9999,然后保存文件并退出。2、创建记录登录失败次数的文件。3、添加定时 10分钟执行一次。2、防火墙开放当前设置的端口。3、开放ssh使用的端口。
服务器centos7)新机器安全配置(持续更新)
qq_30054961的博客
12-01 2425
如果买了云服务器,不管是哪家的,默认没有防护服务,除非花钱购买,所以这里总结下,提供给各位 欢迎提供自己的经验,加入到其中,帮助更多人 按照以下配置完成服务器配置,至少可以抵御80%来自互联网的扫描和攻击 禁用22端口,改为其他端口 一、修改SSH配置文件(注意是sshd_config而不是ssh_config,多了个d) vim /etc/ssh/sshd_config 找到“#Port 22”,把两行的“#”号即注释去掉,修改成: Port 22 Port 50500 SSH默认监听端口是22..
centos7公网系统安全策略防攻击配置集合(持续更新)
visket2008的专栏
06-21 2314
centos7公网安全策略配置大全
CentOS 7配置yum源
03-17
CentOS 7 的 yum 源配置是 Linux 运维中的一项基本任务。yum 源提供了软件包的安装和更新服务,对于服务器的稳定运行和安全性至关重要。如果 yum 源配置不正确,可能会导致软件包安装失败、服务器性能下降甚至安全...
CentOS7安装配置 Redis的方法步骤
09-09
在本文中,我们将深入探讨如何在CentOS 7操作系统上安装和配置Redis,这是一个高性能的键值存储系统,常用于数据库、缓存和消息中间件。以下是一步一步的详细指南: 首先,让我们开始安装过程: 1. **下载源代码**...
CentOS7配置httpd虚拟主机教程
09-15
在本文中,我们将深入探讨如何在CentOS 7操作系统上配置Apache HTTP服务器(httpd)以实现虚拟主机功能。...这只是一个基本配置,实际部署时可能需要根据安全策略、SSL证书和其他需求进行更复杂的配置
CentOS7 系统安全加固实施方案介绍
09-17
CentOS7 系统安全加固实施方案介绍,
centos7单机维护模式重置密码
04-29
CentOS 7 中,SELinux 是一个强制访问控制机制,用于提高系统安全性。在重置密码后,需要输入 `setenforce 0` 命令来更新 SELinux 配置。 小结 通过单机维护模式,可以轻松地重置忘记的 root 密码,从而恢复系统...
centos7 Apache和php的安全设置及优化
刀刀宅
10-12 581
https://www.idaobin.com/archives/623.html
centos7 安全设置grub菜单密码
mwx17630337353的博客
03-10 396
GRUB是Linux系统启动过程中的启动菜单,对操作系统的启动非常重要,一般 在grub页面按e键即可进入编辑,这样有非常大的安全隐患。现在我们通过给 GRUB菜单添加密码来提高系统的安全性。
基线管理之Centos安全配置
Gjqhs的博客
12-13 1108
实验目的 通过配置Centos配置文件,加强Centos默认安全配置。同时也是理解linux一切皆文件的思想。尝试用shell脚本来处置Centos安全配置。 实验环境 一台Centos 7.2 无需其他环境。 实验原理 Linux操作系统的配置基本上以配置文件展示,通过不同配置文件理解不同的配置。 实验步骤 一、网络配置 1、检查不用的连接 运行以下命令 ip link show up 如图,发现有两个连接一个为lo,一个为eth0 若有需要关闭的接口,可..
Linux-centos7-系统安全及应用 理论+实操演示(账号安全,用户安全与提权,PAM安全认证,系统引导和登录安全,密码安全,端口扫描)
BIGmustang的博客
06-23 682
作为一种开放源代码的操作系统,Linux服务器以其安全,高效和稳定的显著优势得以广泛应用 可以从账号安全控制,系统引导和登录控制的角度控制Linux系统的安全优化 还可以使用基于Linux系统环境的弱口令检测,网络扫描等安全工具,查找隐患,及时采取有针对性的防护措施
centos7-linux忘记密码进入安全模式修改root密码详解
TheDreamMaster的博客
06-24 4171
Centos重启后会进入 grub 界面,通过 grub 进入救援模式修复系统。 grub界面如下图 在 grub 界面按上下键停在此界面。 在 grub 入口上按下"e" ,会进入编辑模式,使用上下键找到 linux 行,在 linux16行末输入 init=/bin/bash(注意 init 前面有空格)。 按下 F10 或者 ctrl+x 来启动系统。 【注】默认情况下/文件系统是以只读权限挂载的 在进入到 bash 后执行以下命令,以读写权限重新挂载,执行以下命令 mount -o rw,rem
【基线加固】Centos7等保二级基线加固(主机安全基线)
tigerman20201的博客
11-17 1359
1、 确保配置了bootloader配置的权限 chown root:root /boot/grub2/grub.cfg chmod og-rwx /boot/grub2/grub.cfg 复制 2、 确保设置了引导程序密码 使用以下命令创建加密的密码grub2-setpassword: grub2-setpassword Enter password: Confirm password: 复制 3、 确保单用户模式需要身份验证 编辑/usr/lib/systemd/system/res
centos7基本配置
07-27
CentOS 7的基本配置包括以下几个方面: 1. 网络配置:可以通过编辑`/etc/sysconfig/network-scripts/ifcfg-eth0`文件来配置网络。设置IP地址、子网掩码、网关等信息,并重新启动网络服务以使配置生效,命令为`systemctl restart network`。 2. 主机名配置:可以通过编辑`/etc/hostname`文件来设置主机名,修改后需要重启系统才能生效。 3. 时间和日期配置:可以使用`timedatectl`命令来设置时区和时间。例如,要将时区设置为Asia/Shanghai,可以使用命令`timedatectl set-timezone Asia/Shanghai`。 4. 防火墙配置CentOS 7默认使用firewalld作为防火墙管理工具。可以使用`firewall-cmd`命令来添加、删除和管理防火墙规则。例如,要开放端口80,可以使用命令`firewall-cmd --zone=public --add-port=80/tcp --permanent`,然后重新加载防火墙规则`firewall-cmd --reload`。 5. SELinux配置:SELinux是CentOS 7中的安全增强功能。可以使用`semanage`命令来管理SELinux策略。例如,要允许Apache访问网络资源,可以使用命令`semanage permissive -a httpd_t`。 6. SSH配置:可以编辑`/etc/ssh/sshd_config`文件来配置SSH服务。例如,可以修改端口号、禁止root用户远程登录等。修改后需要重启SSH服务,命令为`systemctl restart sshd`。 这些是CentOS 7基本配置的一些方面,还有其他的配置选项可以根据具体需求进行调整。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

踩坑数十载

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值