基线管理之Centos安全配置

最新推荐文章于 2024-01-17 09:41:15 发布
最新推荐文章于 2024-01-17 09:41:15 发布
阅读量77 收藏
点赞数 1
文章标签: centos 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_47146599/article/details/121912612
版权

一、网络配置

1、检查不用的连接

使用以下命令

ip link show up

如下图,发现有两个连接一个为lo,一个为eth0,如果有需要关闭的接口,可以使用ip link set down

2、关闭IP转发

先查看ip转发配置

sysctl net.ipv4.ip_forward

 

查看发现为0,如果是1,可以使用下面命令改为0

sysctl -w net.ipv4.ip_forward=0

3、关闭数据包重定向

查看数据包重定向设置

sysctl net.ipv4.conf.all.send_redirects

查看发现为1,可以使用下面命令改为0

sysctl -w  net.ipv4.conf.all.send_redirects=0

4、开启SYN cookies

查看syn cookies配置

sysctl net.ipv4.tcp_syncookies

发现为1,已经开启。如果为0,则使用下面命令改为1

sysctl -w net.ipv4.tcp_syncookies=1

 

 

二、查看审计服务

1、查看服务是否开启

systemctl status auditd

 

 如上图显示服务已经开启,如未开启可以使用下面命令开启

systemctl start auditd

2、查看审计日志大小

cat /etc/audit/auditd.conf |grep max

 

如图显示最大日志为8M,可以自己修改文件,然后重启auditd服务后生效。

 

三、查看并配置日志审计

1、查看日志文件权限,日志权限应为600,仅root可读写

使用下面命令

ls -l /var/log/

 非600的文件,可以使用下面命令改为600

chmod 600 文件名

2、查看日志归档处理

确保存在/etc/logrotate.d/syslog文件

使用以下命令

ls /etc/logrotate.d/syslog

 

四、查看SSH认证配置

1、检查SSH配置文件权限

ls -l /etc/ssh/sshd_conf

如图显示权限为644,建议改为600,使用以下命令

chmod 600 /etc/ssh/ssd_conf

 

四、查看SSH认证配置

1、检查SSH配置文件权限

ls -l /etc/ssh/sshd_conf

如图显示权限为644,建议改为600,使用以下命令

chmod 600 /etc/ssh/ssd_conf

2、配置允许SSH允许的验证失败次数

查看当前配置

sshd -T |grep maxauthtries

如上图显示,默认为6次登录失败后断开连接。
可以修改/etc/ssh/sshd_config文件的MaxAuthTires值进行修改。

3、禁止空密码登录SSH

sshd -T | grep permitemptypasswords

4、查看SSH支持密码算法,确保没有md5 des等已经不安全的算法

sshd -T | grep ciphers

五、认证模块配置

Linux的认证模块由PAM处理,PAM中可以配置认证的账号、密码强度等操作。

1、密码强度配置

vim /etc/security/pwquality.conf

如下图

可以自己修改配置,去掉行首#

如将密码最小设为10位,设置minlen = 10
将密码复杂度为4种类型(包含大写字母、小写字母、数字、符号),设置minclass =4

如图设置,设置后保存退出。

2、密码过期时间设置

查看过期时间

grep ^\s*PASS_MAX_DAYS /etc/login.defs

默认过期时间为9999天,修改相应文件即可修改过期时间

3、查看用户密码过期时间

(学员们还记得Linux操作系统里面的正则表达式吗?)

grep -E '^[^:]+:[^!*]' /etc/shadow | cut -d: -f1,5

修改root用户过期时间

chage  --maxdays 365 root

4、自动禁用账号

useradd -D | grep INACTIVE

如图显示-1表示不会自动禁用账号

使用下面设置30天未使用的账号自动禁用

useradd -D -f 30

 

橙宝ㅤ
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
centos7 服务器基本的安全设置步骤
01-10
关闭ping扫描,虽然没什么卵用 先切换到root echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 1代表关闭 0代表开启 用iptables iptables -I INPUT -p icmp -j DROP 简单介绍下基本的安全设置 一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root 这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限 以下是具体做法(需要在root下) 添加普通用户 useradd xxx 设置密码 passwd xxx 这样就创建好了
CentOS Linux7 安全基线检查 明细
04-03
CentOS Linux7 安全基线检查 1.设置用户权限配置文件的权限 描述:确保SSH LogLevel设置为INFO,记录登录和注销活动 方案: 执行以下5条命令: chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow ...
centos7系统安全基线配置脚本
weixin_48229959的博客
10-02 207
【代码】centos7系统安全基线配置脚本。
阿里云SSH基线检查内容
wenwst的专栏
01-03 1069
阿里云的安全基线检查 如果不配置这个,那么安骑士一直就会报警。 配置内容摘取如下: 检查项目 : 设置密码失效时间 加固建议: 在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如 PASS_MAX_DAYS 90。需同时执行命令设置root密码失效时间: $ chage --maxdays 90 root。 检查项目 : 设置密码修改最小间隔时间...
Centos7操作系统基础环境配置
雪花飘满地
08-20 9214
1.系统防火墙的设置  说明:对于Red Hat内核系列的Linux防火墙上,iptables是系统默认并且唯一的防火墙。但是在Centos系统上是在原有iptables上,只需要管理firewalld并安装iptables的组件进行相关的配置。 (1)使用service firewalld status查看当前防火墙的状态,一般来说在安装完系统以后防火墙处于自动启动状态; (2)关闭防...
centos安全配置
11-04
整理的linux服务器安全设置措施,很不错 一、系统安全记录文件 二、启动和登录安全性 三、限制网络访问 四、防止攻击 五、内核参数调整
CentOS 6系统安全配置基线标准.docx
09-03
CentOS 6主机操作系统安全基线检查标准,包含加固前后对比截图,指导开展CentOS 6操作系统安全加固
CentOS7或RHEL7的安全基线检查脚本
05-13
分为以下几个模块 access_authentication system_maintenance services network_configuration logging_and_auditing 亲测可用
CentOS6-7的安全配置
07-23
资源名称:CentOS 6-7 的安全配置资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
linux net.ipv4.ip_forward 数据包转发
whatday的专栏
05-09 3万+
出于安全考虑,Linux系统默认是禁止数据包转发的。所谓转发即当主机拥有多于一块的网卡时,其中一块收到数据包,根据数据包的目的ip地址将数据包发往本机另一块网卡,该网卡根据路由表继续发送数据包。这通常是路由器所要实现的功能。 要让Linux系统具有路由转发功能,需要配置一个Linux的内核参数net.ipv4.ip_forward。这个参数指定了Linux系统当前对路由转发功能的支持情况;其值为0时表示禁止进行IP转发;如果是1,则说明IP转发功能已经打开。 要配置Linux内核中的net.ipv4.i
【博客607】linux路由过程分析与net.ipv4.ip_forward参数
qq_43684922的博客
02-04 2017
要让Linux系统具有路由转发功能,需要配置一个Linux的内核参数net.ipv4.ip_forward。内核参数在Linux文件系统中的映射出的文件:/proc/sys/net/ipv4/ip_forward中记录了Linux系统当前对路由转发功能的支持情况。在sysctl.conf配置文件中有一项名为net.ipv4.ip_forward的配置项,用于配置Linux内核中的net.ipv4.ip_forward参数。sysctl 命令的 -w 参数可以实时修改Linux的内核参数,并生效。
/proc/sys/net/ipv4/ 下网络参数的理解以及sysctl命令修改内核参数
热门推荐
每天进步一点点。。。的博客
11-01 5万+
/proc/sys/net/ipv4/下文件详细解释: 1) /proc/sys/net/ipv4/ip_forward   该文件表示是否打开IP转发。   0,禁止   1,转发   基本用途:如VPN、路由产品的利用;   出于安全考虑,Linux系统默认是禁止数据包转发的。所谓转发即当主机拥有多于一块的网卡时,其中一块收到数据包,根据数据包的目的ip地址将包
net.ipv4.ip_forward
最新发布
summer_fish的专栏
01-17 2096
net.ipv4.ip_forward 是 Linux 内核中的一个参数,用于控制 IP 转发功能。IP 转发是指在一个路由器或者网络设备上接收到一个 IP 数据包后,根据目标 IP 地址的路由信息将数据包发送到合适的接口,使其能够到达目标主机。启用 IP 转发功能后,Linux 系统将能够实现路由转发功能,将数据包从一个网络接口转发到另一个网络接口。在 Linux 中,net.ipv4.ip_forward 的默认值通常是 0,表示禁止 IP 转发。
linux关闭网络重定向,Linux Centos7禁止转发ICMP重定向报文
weixin_29482557的博客
05-04 1941
加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数:net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.default.send_redirects = 0运行以下命令来设置活动的内核参数:$ sysctl -w net.ipv4.conf.all.send_redirects=0$ sysctl...
配置linux net.ipv4.ip_forward数据包转发
二爷的博客
05-23 4483
出于系统安全考虑,在默认情况下,Linux系统是禁止数据包转发的。数据包转发指的是当主机拥有多个网卡时,通过一个网卡接收到的数据包,根据目的IP地址来转发数据包到其他网卡。这个功能通常用于路由器。如果在Linux系统中需要开启路由转发功能,必须要配置一个内核参数net.ipv4.ip_forward。该参数指定了Linux系统当前对路由转发功能的支持情况,值为0表示禁止,值为1表示开启。要配置内核参数net.ipv4.ip_forward有多种方式,包括临时生效的方式和永久生效的方式。
CentOS6.5 sysctl -p报错
cnqmkwvbv44393245的博客
08-13 206
CentOS 6.5(64bit)安装Oracle 11gR2, 修改完CentOS内核参数配置文件/etc/sysctl.conf, 进行sysctl -p编译时,报如下错误(如下红色文字). [root@jietextd...
虚拟机Centos,登陆之后又弹回到登陆界面,无法进入系统
YKbsmn的博客
05-24 4395
虚拟机Centos,登陆之后又弹回到登陆界面,无法进入系统
linux ssh服务启动失败查找
逼迫自己上进
12-21 1500
今天修改了ssh 服务的配置,导致ssh服务启动失败 命令sshd -t 可以查看ssh 服务启动失败的原因 # sshd -t
centos基线配置
09-06
CentOS基线配置是指在安装和配置CentOS操作系统时的一些基本设置和安全性要求。这些设置有助于确保系统的稳定性、安全性和性能。 以下是一些常见的CentOS基线配置建议: 1. 安装最新的CentOS版本:始终使用最新的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值