基线管理之centos安全配置

最新推荐文章于 2024-07-06 10:20:12 发布
最新推荐文章于 2024-07-06 10:20:12 发布
阅读量3.3k 收藏 1
点赞数
文章标签: centos 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45496593/article/details/121909841
版权

目录

网络配置

1、检查不用的连接

使用以下命令

ip link show up

在这里插入图片描述

发现有三个连接,如果有需要关闭的接口,如关闭lo可用

ip link set lo down

2、关闭IP转发

查看ip转发配置

sysctl net.ipv4.ip_forward

在这里插入图片描述查看发现为0,如果是1,可以使用下面命令改为0

sysctl -w  net.ipv4.ip_forward=0

3、关闭数据包重定向

查看数据包重定向设置

sysctl net.ipv4.conf.all.send_redirects

在这里插入图片描述
查看发现为1,可以使用下面命令改为0

sysctl -w  net.ipv4.conf.all.send_redirects=0

在这里插入图片描述

4、开启SYN cookies

查看syn cookies配置

sysctl net.ipv4.tcp_syncookies

在这里插入图片描述
发现为1,已经开启。如果为0,则使用下面命令改为1

sysctl -w net.ipv4.tcp_syncookies=1

查看审计服务

1、查看服务是否开启

systemctl status auditd

在这里插入图片描述
如上图显示服务已经开启,如未开启可以使用下面命令开启

systemctl start auditd

2、查看审计日志大小

cat /etc/audit/auditd.conf |grep max

在这里插入图片描述
如图显示最大日志为8M,可以自己修改文件,然后重启auditd服务后生效。

查看并配置日志审计

查看日志文件权限

日志权限应为600,仅root可读写
使用下面命令

ls -l /var/log/

查看SSH认证配置

1、检查SSH配置文件权限

ls -l /etc/ssh/sshd_config

在这里插入图片描述
建议设置权限600

chmod 600 /etc/ssh/ssd_conf

2、配置允许SSH允许的验证失败次数

查看当前配置

sshd -T |grep maxauthtries

可以修改/etc/ssh/sshd_config文件的MaxAuthTires值进行修改。

3、禁止空密码登录SSH

sshd -T | grep permitemptypasswords

4、查看SSH支持密码算法

确保没有md5 des等已经不安全的算法

sshd -T | grep ciphers

五、认证模块配置
Linux的认证模块由PAM处理,PAM中可以配置认证的账号、密码强度等操作。
1、密码强度配置

vim /etc/security/pwquality.conf

可以自己修改配置,去掉行首#号
如将密码最小设为10位,设置minlen = 10
将密码复杂度为4种类型(包含大写字母、小写字母、数字、符号),设置minclass =4
如图设置,设置后保存退出。
2、密码过期时间设置
查看过期时间

grep ^\s*PASS_MAX_DAYS /etc/login.defs

默认过期时间为9999天,修改相应文件即可修改过期时间
3、查看用户密码过期时间

grep -E '^[^:]+:[^!*]' /etc/shadow | cut -d: -f1,5

修改root用户过期时间

chage  --maxdays 365 root

4、自动禁用账号

useradd -D | grep INACTIVE

使用下面设置30天未使用的账号自动禁用

useradd -D -f 30
北海北,南山南
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
linux日志设置权限设置权限,linux系统中关于文件权限
weixin_29063035的博客
04-29 1764
文件权限除了r、w、x外还有s、t、i、a权限:s:文件属主和组设置SUID和GUID,文件在被设置了s权限后将以root身份执行。在设置s权限时文件属主、属组必须先设置相应的x权 限,否则s权限并不能正真生效(c h m o d命令不进行必要的完整性检查,即使不设置x权限就设置s权限,chmod也不会报错,当我们ls -l时看到rwS,大写S说明s权限未生效)。Linux修改密码的passwd...
Centos安全配置
weixin_43622525的博客
12-13 2716
目录 一、网络配置 二、查看审计服务 三、查看并配置日志审计 四、查看SSH认证配置 五、认证模块配置 一、网络配置 ip link show up //检查不用的连接 关闭ip转发 查看 使用 sysctl net.ipv4.ip_forward 关闭数据包重定向 sysctl net.ipv4.conf.all.send_redirects sysctlnet.ipv4.tcp_syncookies //查看syncookies配置 二...
CentOS查看登录日志及其它安全日志
shentianzhi的专栏
10-22 5683
总结下CentOS下查看登录日志及其它相关安全日志
linux加强审计日志文件权限
qq_17576885的博客
12-29 1625
说明 加强审计日志文件的权限,避免日志信息被恶意操作。 检查方法 1)在终端中输入命令: [test@localhost ~]$ ls -l /var/log/audit [test@localhost ~]$ ls -ld /var/log/audit 2)根据回显信息查看权限设置 修改建议 1)建议将整个audit文件夹设置成只允许root或审计账户用户操作,文件夹内文件设置具体权限。 2)修改权限命令如: [test@localhost ~]$ sudo chmod -R 700 /var/log/.
linux 主机配置检查-1
qq_41615095的博客
04-20 775
【代码】linux 主机配置检查
基线管理之apache安全配置
yyds2022的博客
12-13 1380
apache配置文件,确定里面对根目录拒绝所有请求 vim /etc/httpd/conf/httpd.conf 然后找到以下配置,第一行和第四行表明了目录,要想禁止.htaccess文件,就要对其进行覆盖 删除网站的目录浏览权,因为apache会默认开启目录浏览 apache默认没有限制http的方法,我们可以在需要的路径下进行限制,在路径配置中加入 <LimitExcept GET post > Require all denied </LIMitExc...
CentOS Linux7 安全基线检查 明细
04-03
CentOS Linux7 安全基线检查 1.设置用户权限配置文件的权限 描述:确保SSH LogLevel设置为INFO,记录登录和注销活动 方案: 执行以下5条命令: chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow ...
centos安全配置
11-04
整理的linux服务器安全设置措施,很不错 一、系统安全记录文件 二、启动和登录安全性 三、限制网络访问 四、防止攻击 五、内核参数调整
CentOS 6系统安全配置基线标准.docx
09-03
CentOS 6主机操作系统安全基线检查标准,包含加固前后对比截图,指导开展CentOS 6操作系统安全加固
CentOS7或RHEL7的安全基线检查脚本
05-13
分为以下几个模块 access_authentication system_maintenance services network_configuration logging_and_auditing 亲测可用
CentOS6-7的安全配置
07-23
资源名称:CentOS 6-7 的安全配置资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
Apache服务安全加固
qq_43590351的博客
09-30 1887
Apache安全加固
基线管理Centos安全配置
a2788656708的博客
12-13 2933
实验目的 通过配置Centos配置文件,加强Centos默认安全配置。同时也是理解linux一切皆文件的思想。尝试用shell脚本来处置Centos安全配置。 实验环境 一台Centos 7.2 无需其他环境。 实验原理 Linux操作系统的配置基本上以配置文件展示,通过不同配置文件理解不同的配置。 实验步骤 一、网络配置 1、检查不用的连接 使用以下命令 ip link show up 如下图,发现有两个连接一个为lo,一个为eth0,如果有需要关闭的接口,可以使.
请求日志文件访问权限设置
ciqi0838的博客
05-16 569
用户配置文件选项“并发:报表访问层”确定了最终用户的报表和日志文件访问权限。选项用户:报表和诊断日志文件只允许提交报表的用户访问。责任:报表和诊断日志文件的访问基于用户当前的责任。用户的报表和日志文件访问权限包括:1.联机查看完...
tomcat的日志文件权限与启动用户的权限不一致
sky_ground的博客
12-09 4956
现象: 用户work的文件权限(umask=0002)为 u=rwx,g=rwx,o=rx 但是tomcat的日志文件的权限却是: 为什么会不一样呢? 这是因为tomcat在启动(catalina.sh)时会重新设置UMASK,(其默认值为0027,根操作系统的默认值0022不一样),去那个脚本里修改一下即可,如下: 改成系统当前用户的uma
Log4j1.X 设置日志文件权限
IHai技术之家
03-29 1942
背景 在一个客户那边要求系统生成的日志文件权限为600,而系统用的是Log4j1.X来记录日志的,默认权限是644。 解决办法 解决此问题需明确两点即可解决: 1、在哪里去设置日志文件权限? 2、如何设置日志文件权限? 对于第一个问题,会用Log4j的同学应该都知道我们可以自定义Appender来控制日志输出相关很多事情,当然包括输出的目标文件,那么就可以确定我们是可以通过自定义Appender来处理这个问题。 接下来是第二个问题,如何设置日志文件权限。大家知道一般要求控制文件权限都是在Lin
Linux搭建Socks5网络代理服务器,Centos 8 系统
最新发布
weixin_45676431的博客
07-06 795
用于网络代理转发请求,隐藏真实的请求ip地址,或者用于绕过网络限制的目标服务器,将自己的访问请求到代理服务器,通过网络代理服务器将请求转发到目标服务器。报错原因:gcc g++的版本过高,需要降低版本,可以使用gcc 4.8.5的版本进行安装。然后,进行编译安装,将目录切换至ss5的安装目录下后,运行以下命令。先,加载安装ss5安装环境所需要的依赖包,运行一下命令。可使用其他命令,查看ss5的状态,或者关闭ss5应用。最后检查ss5的安装版本,若显示正确,则表示安装成功。
centos基线配置
09-06
CentOS基线配置是指在安装和配置CentOS操作系统时的一些基本设置安全性要求。这些设置有助于确保系统的稳定性、安全性和性能。 以下是一些常见的CentOS基线配置建议: 1. 安装最新的CentOS版本:始终使用最新的CentOS版本,以获取最新的安全补丁和功能。 2. 禁用不必要的服务:只启用需要的服务,禁用不使用或不必要的服务。可以使用服务管理工具(如systemctl)来管理服务。 3. 更新系统补丁:定期更新系统补丁以修复安全漏洞和改善性能。 4. 配置防火墙:启用并配置防火墙以限制对系统的访问。使用Firewalld或iptables进行防火墙配置。 5. 使用强密码策略:对于用户账户,强制使用复杂的密码,并定期更改密码。 6. 禁用root远程登录:禁用root用户的远程登录,并使用普通用户登录系统后再切换到root用户。 7. 配置SSH安全:限制SSH访问,例如禁用root用户的SSH登录、使用公钥认证等。 8. 安装安全更新和工具:安装常用的安全更新和工具,如SELinux、OpenSSL等,以提高系统的安全性。 9. 监控和日志记录:配置系统监控和日志记录,以便及时发现和解决潜在的安全问题。 10. 定期备份数据:定期备份重要的系统和用户数据,以防止数据丢失或损坏。 这些是一些常见的CentOS基线配置建议,根据实际需求和安全要求,您可能需要进行适当调整和定制。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值