【史上最全】centOS/Linux系统安全加固方案手册

已于 2024-05-22 18:38:34 修改
阅读量2.9k 收藏 35
点赞数 30
分类专栏: 安全加固 文章标签: linux centos 系统安全 安全性测试
于 2024-02-02 16:59:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sophiasofia/article/details/135993327
版权

服务器系统:centos8.1版本
说明:该安全加固手册最适用版本为centos8.1版本,其他服务器系统版本可作为参考。

1.账号和口令

1.1 禁用或删除无用账号

减少系统无用账号,降低安全风险。
操作步骤
 使用命令 userdel <用户名> 删除不必要的账号。
 使用命令 passwd -l <用户名> 锁定不必要的账号。
 使用命令 passwd -u <用户名> 解锁必要的账号。

1.2 检查特殊账号

检查是否存在空口令和 root 权限的账号。
操作步骤

  1. 查看空口令和 root 权限账号,确认是否存在异常账号:
     使用命令 awk -F: ‘($2==“”)’ /etc/shadow 查看空口令账号。
     使用命令 awk -F: ‘($3==0)’ /etc/passwd 查看 UID 为零的账号。
  2. 加固空口令账号:
     使用命令 passwd <用户名> 为空口令账号设定密码。
     确认 UID 为零的账号只有 root 账号。

1.3 添加口令策略

加强口令的复杂度等,降低被猜解的可能性。
操作步骤

  1. 使用命令vi /etc/login.defs修改配置文件。
     PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
     PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
     PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
  2. 使用 chage 命令修改用户设置。 例如,chage -m 0 -M 30 -E 2000-01-01 -W 7 <用户名>表示将此用户的密码最长使用天数设为 30,最短使用天数设为 0,密码 2000 年 1 月 1 日过期,过期前七
    天警告用户。
  3. 设置连续输错三次密码,账号锁定五分钟。修改配置文件/etc/pam.d/system-auth 和/etc/pam.d/password-auth,在配置文件下添加下图红框中的内容。
    图1-3
  4. 设置密码复杂度。修改配置文件/etc/pam.d/system-auth 的 password requisite pam_pwquality.so
    try_first_pass local_users_only retry=3 authtok_type=修改为 password requisite
    pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=14 lcredit=-1
    ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root,设置密码长度最小为 14 个字符,至少包含大写字母、
    小写字母、数字、其它字符各 1 个。

1.4 限制用户 su

限制能 su 到 root 的用户。
操作步骤
使用命令 vi /etc/pam.d/su 修改配置文件,在配置文件中添加行。例如,只允许 test 组用户 su 到 root,
则添加 auth required pam_wheel.so group=test。

1.5 禁止 root 用户直接登录

限制 root 用户直接登录。
操作步骤

  1. 创建普通权限账号并配置密码,防止无法远程登录;
    使用命令 vi /etc/ssh/sshd_config 修改配置文件将PermitRootLogin的值改成no,并保存,然后使用systemctl
    status sshd.service 重启服务。

1.6 ssh 认证次数限制

在/etc/ssh/sshd_config 文件中将 MaxAuthTries 次数改为 3。

2.服务

2.1 关闭不必要的服务

关闭不必要的服务(如普通服务和xinetd服务),降低风险。
操作步骤
使用命令systemctl disable <服务名>设置服务在开机时不自动启动。
说明: 对于部分老版本的Linux操作系统(如CentOS 6),可以使用命令chkconfig --level <init级别> <服务名> off设置服务在指定init级别下开机时不自动启动。

2.2 SSH 服务安全

对 SSH 服务进行安全加固,防止暴力破解成功。
操作步骤
使用命令 vim /etc/ssh/sshd_config 编辑配置文件。
 不允许 root 账号直接登录系统。 设置 PermitRootLogin 的值为 no。
 修改 SSH 使用的协议版本。 设置 Protocol 的版本为 2。
 修改允许密码错误次数(默认 6 次)。 设置 MaxAuthTries 的值为 3。
 Ssh 服务指定 ip 访问。在文件中添加 allowusers root@ip 地址。
配置文件修改完成后,重启 sshd 服务生效。

2.3 selinux 权限

使用命令 vi /etc/selinux/config 编辑文件,将 SELINUX=enforcing 修改为 SELINUX=disabled

2.4 设置核心转储的硬限制

设置核心转储的硬限制可以防止用户覆盖软变量。 另外,设置变量 fs.suid_dumpable 为
0,可防止程序 setuid 转储核心。
步骤 1 在/etc/security/limits.conf 文件中添加如下配置行:

  • hard core 0
    步骤 2 在/etc/sysctl.conf 文件中添加如下配置行:
    fs.suid_dumpable = 0

2.5 系统中确保删除 rpcgen 工具

确认系统中不存在 rpcgen 工具,执行以下命令,返回值为空:
file df --local -P | awk {'if (NR!=1) print $6'} | xargs -I '{}' find '{}' -xdev -name rpcgen 2>/dev/null 2>/dev/null| grep -i “ELF” | head

2.6 记录登录登出事件

在/etc/audit/audit.rules 文件中添加如下行:
-w /var/log/lastlog -p wa -k logins -w /var/run/faillock/ -p wa -k logins
执行如下命令重启 auditd
Service auditd restart
执行如下命令确定登录和注销事件是否被记录:
grep logins /etc/audit/audit.rules -w /var/log/lastlog -p wa -k logins -w /var/run/faillock/ -p wa -k logins

3. 文件系统

3.1 设置 umask 值

设置默认的 umask 值,增强安全性。
操作步骤
使用命令 vi /etc/profile 修改配置文件,添加行 umask 027, 即新创建的文件属主拥有读写执行权
限,同组用户拥有读和执行权限,其他用户无权限。

3.2 设置登录超时

设置系统登录后,连接超时时间,增强安全性。
操作步骤
使用命令 vi /etc/profile 修改配置文件,将以 TMOUT= 开头的行注释,设置为 export TMOUT=180,
即超时时间为三分钟。

3.3 修改 grub.cfg 权限

/boot/efi/EFI/centos/grub.cfg 是系统的启动文件,将 og 位权限设置为 0,可降低系统被攻击风
险。
使用如下命令加固:
chmod 600 /boot/efi/EFI/centos/grub.cfg

3.4 删除不安全证书

  1. 执行指令“find /home/unismart/docker/overlay2/* -name demo.crt”;

  2. 将搜索出来的结果,全部移除,如:rm -rf xxx/demo.cr

4. 日志

4.1 syslogd 日志

启用日志功能,并配置日志记录。
操作步骤
Linux 系统默认启用以下类型日志:
 系统日志(默认)/var/log/messages
 cron 日志(默认)/var/log/cron
 安全日志(默认)/var/log/secure
注意:部分系统可能使用 syslog-ng 日志,配置文件为:/etc/syslog-ng/syslog-ng.conf。 您可以根据需求配置详细日志。

4.2 记录所有用户的登录和操作日志

通过脚本代码实现记录所有用户的登录操作日志,防止出现安全事件后无据可查。
操作步骤

  1. 运行 [root@xxx /]# vim /etc/profile 打开配置文件。
  2. 在配置文件中输入以下内容:
history
USER=`whoami` USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"` export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT" chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null
  1. 运行 [root@xxx /]# source /etc/profile 加载配置生效。
    注意: /var/log/history 是记录日志的存放位置,可以自定义。
    通过上述步骤,可以在 /var/log/history 目录下以每个用户为名新建一个文件夹,每次用户退出后都会产生以用户名、登录 IP、时间的日志文件,包含此用户本次的所有操作(root 用户除外)。
    同时,建议您使用 OSS 服务收集存储日志。

4.3 操作系统(SSH)等安全强相关组件日志要打开

步骤 1 修改/etc/ssh/sshd_config 中 LogLevel 属性为 INFO;
步骤 2 确保系统中至少有一个日志服务(rsyslog 或 syslog-ng)启用
步骤 3 在文件/etc/ssh/sshd_config 检查以下内容:
LogLevel INFO
步骤 4 检查 rsyslog 或 syslog-ng 启用
#systemctl status rsyslog
#systemctl status rsyslog-ng

4.4 内核升级

输入以下命令进行内核升级:
grub2-mkconfig -o /boot/grub2/grub.cfg
grub2-set-default 0
dnf update -y
grub2-mkconfig -o /boot/grub2/grub.cfg
grub2-set-default 0

sophiasofia
关注
  • 30
    点赞
  • 35
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
linux操作系统加固配置手册
12-06
linux操作系统加固配置手册linux系统如何加固
Linux系统一键安全加固shell脚本及使用说明.rar
01-28
Linux系统一键安全加固shell脚本及使用说明。已经在centos7上验证后的,欢迎大家下载。
Centos系统安全加固
m0_74025111的博客
04-23 824
简介:centos 系统加固。Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢?一.账户安全1锁定系统中多余的自建帐号检查方法:执行命令查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根据需要锁定登陆。备份方法:加固方法:使用命令passwd -l 锁定不必要的账号。
CentOS7 系统安全加固实施方案介绍
09-17
CentOS7 系统安全加固实施方案介绍,
凝思系统简单加固说明.pdf
08-26
安全加固工具功能】 安全加固工具分为两种简单版(simple_security_config.sh)和完整版 (complete_security_config.sh) 简单版功能: (1) 系统新建用户后,需要先修改密码 (2) sshd_config 默认安全项配置 (3) 登录超时 (4) 禁用 telnet 和 swat (5) 登录地址限制 access.so (6) 登录失败锁定 完整版功能: (1) 系统新建用户后,需要先修改密码 (2) sshd_config 默认安全项配置 (3) 登录超时 (4) 禁用光驱 (5) 禁用 usb 存储设备 (6) 禁用 telnet
centos主机基线加固手册.doc
07-16
介于linux主机的一些安全加固方面的配合和验证
centos系统安全加固
01-24
centos 操作系统安全加固,修改密码策略,启用审核策略进行安全审计,审计日志文件大小设置,删除多余账号,禁用服务等
centos 系统加固
weixin_33840661的博客
12-22 491
Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat***的***也越来越多了。我们要如何为这类服务器做好安全加固工作呢?一. 账户安全1.1 锁定系统中多余的自建帐号检查方法:执行命令#cat /etc/passwd#cat /etc/shadow查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm,u...
CentOS 7安全加固
dichiji8804的博客
04-21 398
本次实验使用的centos 7 版本 一、查找系统中是否存在空密码账户 1、使用命令: awk -F: '($2==""){print $1}' /etc/shadow 直接查看。可以看到系统中没有空密码账户 2、验证一下。添加一个账户qwe, 命令:useradd qwe(此时qwe虽然没有密码但是他还不能使用空密码登录) 3、使用root账户清除qwe密码,...
CentOS 7 主机加固手册-上
weixin_30302609的博客
04-07 245
TIPs: 世界上有一撮人专门研究主机安全加固基线,有兴趣的读者可以到 http://benchmarks.cisecurity.org/ 获取更加详细专业的主机安全基线配置文档。或者到 https://www.open-scap.org/security-policies/choosing-policy/获取scap格式的加固模板。 CentOS 7 主机加固手册-上 CentOS...
总结Centos7系统加固知识点
01-10
注意:此教程的云服务器以centos7以上为例,云服务器于阿里云购买 其他服务商的云服务器配置大同小异 建议:linux的服务器不建议安装图形化工具,因为占内存,占带宽,占资源,弊远大于利 手动更新系统: yum -y update 防火墙配置: service firewalld start //启动防火墙 systemctl enable firewalld.service //开机自启 selinux配置: vim /etc/selinux/config 修改: SELINUX=enforcing //设置强制模式 reboot //重启生效 ssh配置:(防暴力破解)
linux安全加固基线操作手册
11-13
Centos6.8 作为服务器操作系统安全加固参考文档,涉及较多、较全
Centos服务器安全加固脚本
08-23
搜集的几个安全加固脚本,文档列举常用命令,并编写自己的安全加固脚本,Centos6.9验证。
CentOS7-系统安全加固实施方案.pdf
10-04
CentOS7-系统安全加固实施方案.pdf
CentOS/Linux 系统安装docker 和 jenkins
01-09
http://mirrors.aliyun.com/centos/7/isos/x86_64/ 安装步骤按照推荐就行。 安装Docker  Docker的安装就比较简单, 在系统中的yum安装列表中,如果安装列表中没有,就需要更新一下: yum update 更新完成之后...
等保2.0 测评 linux服务器加固 基本安全配置手册
qq_48257021的博客
03-05 1334
auth sufficient /lib/security/$ISA/pam_rootok.so debug: 这行配置指定了一个身份验证模块,pam_rootok.so,它允许以root用户身份进行身份验证,且在调试模式下输出额外的调试信息。这样,新用户将获得一组预定义的文件和配置,用作其个人主目录的起点。禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。
Linux 安全基线检查与加固
最新发布
默默的博客
05-15 1229
虽然说Linux操作系统相比Windows系统更为安全一点,但是在实际使用当中,由于管理员的一些安全意识不够全面或者一时的疏忽,可能会导致Linux系统中的一些账户和服务没有进行正确的配置,这样就可能产生被黑客利用的风险,因此需要。
基于Centos 7系统安全加固方案
剁椒鱼头没剁椒的博客
10-21 4810
基于centos7版本测试 注意:修改任何配置文件,为保障安全请先备份,命令: cp -a +配置文件路径 +存放位置路径 1.密码长度与有效期 位置:vi /etc/login.defs 修改: PASS_MAX_DAYS 90 注:密码有效期 PASS_MIN_DAYS 2 注:修改密码最短期限 PASS_MIN_LEN 8 注:密码最短长度 PASS_WARN_AGE 30 注:密码过期提醒 2.密码复杂度 位置:vi /etc/pam.
六招轻松搞定你的CentOS系统安全加固
weixin_34061482的博客
07-21 102
Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat***的***也越来越多了。我们要如何为这类服务器做好安全加固工作呢?一. 账户安全1.1 锁定系统中多余的自建帐号检查方法:执行命令#cat/etc/passwd #cat/etc/shadow查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bin, sys,adm...
centos7 系统安全加固
01-23
以下是Centos7系统安全加固的一些方法和步骤: 1. 同步时间服务器: - 使用定时任务同步时间服务器,可以避免无网情况下ntp服务启动后的漏洞。 - 在crontab中添加以下定时任务: ```shell 0 12 * * * /usr/sbin/ntpdate 时间服务器IP ``` 2. 内核优化: - 对Centos7系统进行内核优化可以提高系统安全性。 - 可以通过修改/sys/kernel/security/securelevel文件来设置内核安全级别,限制对内核的访问权限。 3. 密码策略设置: - 设置强密码策略可以增加系统安全性。 - 可以通过修改/etc/pam.d/system-auth文件来设置密码策略。 - 例如,可以设置密码必须包含至少一个数字、一个小写字母、一个大写字母、一个特殊字符,并且密码长度大于等于10: ```shell password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 difok=5 minlen=10 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 ``` 4. 防火墙设置: - 配置防火墙可以保护系统免受网络攻击。 - 可以使用firewalld或iptables来配置防火墙规则,限制网络访问。 5. 更新和安装补丁: - 及时更新系统和安装补丁可以修复已知的安全漏洞。 - 可以使用yum命令来更新系统和安装补丁: ```shell yum update ``` 6. 禁用不必要的服务: - 禁用不必要的服务可以减少系统的攻击面。 - 可以使用systemctl命令来禁用不必要的服务: ```shell systemctl disable 服务名 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

sophiasofia

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值