centos7公网系统安全策略防攻击配置集合(持续更新)

已于 2023-11-07 10:36:00 修改
阅读量2.2k 收藏
点赞数 1
分类专栏: centos7 文章标签: ssh 服务器 linux 安全策略 centos7
于 2022-06-21 10:11:41 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/visket2008/article/details/125384242
版权

正文

设置密码尝试失败次数锁定

编辑/etc/pam.d/password-auth 和/etc/pam.d/system-auth 文件,以符合本地站点策略:建议严格按照顺序插入,修改之前记得备份。

auth required pam_faillock.so preauth audit silent deny=5 unlock_time=900
auth [success=1 default=bad] pam_unix.so
auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=900
auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=900

确保默认用户shell超时为900秒或更短

默认值TMOUT确定用户的shell超时时间。TMOUT值以秒为单位。编辑/etc/bashrc和/etc/profile文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑任何umask参数,如下所示:

TMOUT=600

确保已禁用SSH空密码登录

PermitEmptyPasswords参数指定SSH服务器是否允许登录具有空密码字符串的帐户。编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

 PermitEmptyPasswords no

确保默认用户umask限制为027或更高

umask默认值确定用户创建的文件的权限。创建文件的用户可以通过chmod命令自行决定使其他人可以读取其文件和目录。编辑/etc/bashrc,/etc/profile和/etc/profile.d/*.sh文件(以及系统上支持的任何其他Shell的适当文件),并添加或编辑umask参数,如下所示:

umask 027

备注(修复完后运行以下命令以确保是否已完全修复)
grep  -H "umask" /etc/bashrc
grep -H "umask" /etc/profile
grep -H "umask" /etc/profile.d/*.sh
如果umask配置不为027的,需全部修改为027或更严格

确保SSH MaxAuthTries设置为4或更低

MaxAuthTries参数指定每个连接允许的最大身份验证尝试次数。登录失败次数达到设置参数一半时,错误消息将写入syslog文件,详细说明登录失败。编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

MaxAuthTries 4 

# 修改完成后重启sshd生效
systemctl restart sshd

确保已配置SSH空闲超时间隔

这两个选项ClientAliveInterval和ClientAliveCountMax控制SSH会话超时。当ClientAliveInterval变量被设置,对指定的时间长度没有活动的SSH会话被终止。当ClientAliveCountMax变量被设置,sshd将在每一个客户端发送活动消息ClientAliveInterval的时间间隔。当连续发送的客户端活动消息数没有客户端响应时,ssh会话将终止。编辑/etc/ssh/sshd_config文件以设置参数:

ClientAliveInterval 300
ClientAliveCountMax 0

确保不接受secure ICMP重定向

secure ICMP重定向与ICMP重定向相同,只是它们来自默认网关列表上列出的网关。在/etc/sysctl.conf或/etc/sysctl.d/*文件中设置以下参数:

net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
运行以下命令来设置活动的内核参数:
# sysctl -w net.ipv4.conf.all.secure_redirects=0
# sysctl -w net.ipv4.conf.default.secure_redirects=0
# sysctl -w net.ipv4.route.flush=1

确保禁用RDS

RDS协议是一种传输层协议,旨在提供群集节点之间的低延迟,高带宽通信。它是由Oracle Corporation开发的。编辑或创建文件/etc/modprobe.d/CIS.conf并添加以下行:

install rds /bin/true

确保SSH协议设置为2

SSH支持两种不同且不兼容的协议:SSH1和SSH2。 SSH1是原始协议,受安全问题的影响。 SSH2更先进,更安全。编辑/etc/ssh/sshd_config文件以设置参数,如下所示:

Protocol 2

确保已配置密码创建要求

编辑/etc/pam.d/password-auth和/etc/pam.d/system-auth文件,以符合站点策略:

password requisite pam_pwquality.so try_first_pass retry=3

编辑/etc/security/pwquality.conf以添加或更新以下设置以符合站点策略:

minlen = 14
dcredit = -1
ucredit = -1
ocredit = -1
lcredit = -1

配置禁用密码登录,使用ssl证书

# 生成证书,建议添加密码,出现在/root/~/.ssh目录下
ssh-keygen -t rsa

# 导入公钥
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys

# 设置权限
chown -R 0700  ~/.ssh
chown -R 0644  ~/.ssh/authorized_keys
chown -R ifshow:ifshow /home/ifshow

# 设置策略
vi /etc/ssh/sshd_config

RSAAuthentication yes
StrictModes no
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys

# 重启服务
systemctl restart sshd

# 将id_rsa复制到远程连接的客户端电脑
# 配置通过证书ssh连接
# 连接成功后继续去服务器修改策略
vi /etc/ssh/sshd_config

PasswordAuthentication no  # 关闭通过密码登录

# 重启服务
systemctl restart sshd

# 完成
一夜相思愁
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CentOS6-7的安全配置
07-23
资源名称:CentOS 6-7 的安全配置资源截图: 资源太大,传百度网盘了,链接在附件中,有需要的同学自取。
centos7网络配置
11-12
centos7网络配置 Linux主机要与网络中其他主机进行通信,首先要进行正确的网络配置。网络配置通常包括主机名、IP地址、子网掩码、默认网关、DNS服务器等。 1.检查并设置有线网络处于连接状态 2.使用系统菜单配置网络 3.通过网卡配置文件配置网络 4.使用图形界面配置网络 5.使用nmcli命令配置网络
BCLinux8U6系统基线加固致无法su的问题分析
forestqq的博客
04-10 1211
本文对BCLinux8U6系统进行基线加固致无法su的问题分析。
centos7 服务器基本的安全设置步骤
01-10
关闭ping扫描,虽然没什么卵用 先切换到root echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 1代表关闭 0代表开启 用iptables iptables -I INPUT -p icmp -j DROP 简单介绍下基本的安全设置 一、创建普通用户,禁止root登录,只允许普通用户使用su命令切换到root 这样做的好处是双重密码保护,黑客就算知道了普通用户的密码,如果没有root密码,对服务器上攻击也比较有限 以下是具体做法(需要在root下) 添加普通用户 useradd xxx 设置密码 passwd xxx 这样就创建好了
CentOS 7系统下配置自定义JDK的教程
08-30
主要给大家介绍了在CentOS 7系统下配置自定义JDK的教程,文中将配置的方法教程介绍的非常详细,对大家具有一定的参考学习价值,需要的朋友们下面来一起看看吧。
Centos系统安全配置
04-25
Centos系统安全配置(包括账号密码,su、ssh、进程启动、主机配置、权限等)、 web服务器安全配置(补丁。日志、访问策略等)
SSH max authtries && SSH 配置文件简便地增强安全性
热门推荐
anzhuangguai的专栏
02-17 1万+
1 确保安全性总是需要多层的方案。SSH 就是个好例子。可以使用多种方法,包括简单的 sshd 配置、通过 PAM 指定谁可以使用 SSH、应用端口敲门技术隐藏存在 SSH 访问的事实等。应用这些技术可以大大增加黑客入侵的难度,黑客不得不突破三个不常见的障碍。 把 SSH 的标准端口改为不常用的值并增强 SSH 配置,从而挡住最简单的攻击。定义有限的用户列表,只允许这些用户登录。完全隐藏
Linux ssh常用安全设置
Merandღ的博客
04-10 1255
/etc/ssh/sshd_config设置 MaxAuthTries设置允许登录失败重试次数 MaxSessions设置同一地址的最大连接数 Port设置端口 PubkeyAuthentication设置秘钥登录 AuthorizedKeysFile设置免密登录文件authorized_keys PermitRootLogin no禁止root用户登录 PasswordAuthentic...
Linux服务器基本安全加固
不会飞的鱼、
05-09 1900
一、检查系统空密码账户 | 身份鉴别 描述 检查系统空密码账户 加固建议 为用户设置一个非空密码,或者执行passwd -l <username>锁定用户 操作时建议做好记录或备份 二、禁止SSH空密码用户登录 | SSH服务配置 描述 禁止SSH空密码用户登录 加固建议 编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no: PermitEmptyPasswords no 操作时建议做好记录或备份 三、设置密码失效时间
Linux安全基线(一)配置7小项
bigwood99的博客
09-21 2241
Linux安全配置
centos7基本安全配置
发量堪忧
04-23 2713
1.禁止root直接登陆,采取sudo授权账号权限 在禁止root登入前,需要创建一个普通用户 [root@123 ~]# users #查看当前用户列表 123 root [root@123 ~]# useradd 888 #创建888的普通用户 [root@123 ~]# passwd 888 #为888用户创建密码(修改密码) 更改用户 888 的密码 。 新的 密码: 无效的密码: 密码少于 8 个字符 #因为我就设置了123456所以出这
CentOS 7 操作系统安全配置、基于操作系统层面做出的安全配置
最新发布
05-07
主要包括账户管理及认证授权、日志审计、共享安全、服务安全、恶意代码范检测 账户管理及认证授权:检查特殊账号及禁用无用账号、设置 SSH 登录超时退出、限制 root 账号使用 SSH 远程登录、限制 SSH 远程登录 IP ...
CentOS7.0系统安全加固实施方案
Matheus的博客
07-07 1944
本文所列安全设置皆是在Centos7.0_x64环境下minimal安装进行的验证 一、用户账号和环境 1、检查项: 清除了operator、lp、shutdown、halt、games、gopher 帐号 删除的用户组有: lp、uucp、games、dip 其它系统伪帐号均处于锁定SHELL登录的状态。 2、检查项: 验证是否有账号存在空口令的情况: awk -F: '($2 == "") { print $1 }' /etc/shadow 3、检查项: 检查除了root以外是否还有其它账号的UID
Linux主机安全基线加固
Kason_iWiki
09-15 1805
文章目录1.确保配置了bootloader配置的权限2.确保核心转储受到限制3.确保启用了地址空间布局随机化(ASLR)4.确保已配置SSH空闲超时间隔5.确保SSH MaxAuthTries设置为4或更低6.确保已禁用SSH空密码登录7.确保配置了密码尝试失败的锁定8.确保默认用户umask限制为027或更高9.确保默认用户shell超时为900秒或更短10.Nginx server_tokens基线11.Nginx未禁用隐藏文件12.OpenSSL版本1.0.2k ,存在漏洞 1.确保配置了bootlo
linux ssh 超时自动断开连接,ssh超时自动断开连接linux的解决方法
weixin_36180611的博客
05-09 4715
第一步 :修改/etc/ssh/sshd_config文件[root@centos7 ~]# vi /etc/ssh/sshd_config找到以下内容并修改它:ClientAliveInterval 0ClientAliveCountMax 3并将注释符号(”#”)去掉,将ClientAliveInterval对应的0改成60,ClientAliveInterval指定了服务器端向客户端请求消息...
CentOS7 之系统优化方案
风雪小筑
04-12 3324
CentOS7 之系统优化方案[^1] 优化条目: 修改ip地址、网关、主机名、DNS等 关闭selinux,清空iptables 添加普通用户并进行sudo授权管理 更新yum源及必要软件安装 定时自动更新服务器时间 精简开机自启动服务 定时自动清理/var/spool/clientmqueue/目录垃圾文件,放置inode节点被占满 变更默认的ssh服务端口,禁止root用户远程连接 锁定关...
centos iptables_等保测评:Centos超时退出详解
weixin_39942492的博客
11-29 258
一、说明等保测评主机测评中需要查询主机的超时退出配置,具体在Centos中的话,主要有两种方式可以实现超时退出的功能。其实这方面的资料很多,但是仍然存在一些地方没有说清楚(sshd_config的一个参数),所以本文的目的之一就是把那些问题说清楚。注:我使用的是Centos6另外本文也顺便说一说在linux系统中,查询配置的一个注意点。二、设置TMOUT方式这个是比较通用、简单的方式,通...
合规基线/安全合规检查有手就行!(未完)
DebbieLi_Ca的博客
06-22 941
xdm!我又又又回来了!打不死的蟑螂,打不死的李坚强ing 合规基线 主机安全合规检查 本文包含常见16条安全合规检查! 小李有话说: 对文件搜索替换 语法: sed 选项 ‘s/搜索的内容/替换的内容/动作’ 文件 其中 s:代表search 搜索; / 分隔符(可以自定义); 动作一般是p打印和全局替换g \ 代表转义;^代表替换整行 小李有话说: 在linux中通常会使用shell结合正则表达式来过滤字符,本文将以一个简单的例子来说明+,*,[:space:]的一些用法 + 匹配1个或多个字
SSH安全管理
行走天下
06-29 423
1、默认是端口Port:22 /etc/ssh/sshd_config,去掉默认Port 22前面的#,添加Port 62442 2、确保SSH MaxAuthTries 设置为3-6之间 加固建议 在/etc/ssh/sshd_config 中取消MaxAuthTries注释符号#, 设置最大密码尝试失败次数3-6 建议为4 MaxAuthTries 4 3、设置SSH空闲超时退出时间 加固建议 在/etc/ssh/sshd_config 将ClientAliveInterval设置为300
centos7公网yum源
05-20
你可以通过以下步骤配置CentOS 7的公网yum源: 1. 打开终端并以root用户身份登录。 2. 备份原有的yum源配置文件: ``` mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak ``` 3. 下载CentOS 7的公网yum源配置文件: ``` curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo ``` 上述命令将会下载阿里云的CentOS 7 yum源配置文件。如果你想使用其他的yum源,可以将上述命令中的URL替换为其他的yum源URL。 4. 更新yum缓存: ``` yum clean all yum makecache ``` 运行上述命令将会清空原有的yum缓存并重新生成缓存。 现在,你就可以使用公网yum源来安装软件包了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值