一键脚本curl -ksSO https://pealog.com/ftp/StartSys.sh && bash StartSys.sh
# 默认修改为66端口。自定义端口修改端口,例如修改为10086端口:
curl -ksSO https://pealog.com/ftp/StartSys.sh && bash StartSys.sh 10086
脚本改动项安装常用组件
永久禁用SELinux
基本安全设置
SSH设置
美化VIM编辑器
同步大陆时间
调整文件句柄
优化TCP
常用组件
基本优化
一 . 设置会话超时(1分钟)
二. 设置history命令时间戳echo "export HISTTIMEFORMAT=\"%F %T \`whoami\` \" " >>/etc/profile
三.禁止Control-Alt-Delete 键盘重启系统命令rm -rf /usr/lib/systemd/system/ctrl-alt-del.target
四. 隐藏系统版本信息
五.最大文件打开数(文件句柄数)
六.用户最大进程数
默认配置:
加固方案:1.备份配置文件
cp -a /etc/security/limits.d/20-nproc.conf /etc/security/limits.d/20-nproc.conf.default
2.修改配置文件vim /etc/security/limits.d/20-nproc.conf
* soft nproc 65535
* hard nproc 65535
备注:修改所有用户的最大进程数为65535
7. 禁止root用户直接登录
一、新建帐户,命令如下:useradd NewUser
二、设置帐户密码,命令如下:passwd NewUser
三、不允许root直接登陆,命令如下:
四、禁止root登陆,命令如下:sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config && setenforce 0 # 禁用SELINUX
sed -i 's%#Port 22%Port 66%' /etc/ssh/sshd_config
五、使环境变量立即生效,命令如下 (将第一行80 更改成新SSH端口):
8. 同步时区
同步时间服务器
让ntpdate每次同步时间之后把时间写入hwclock,相当于命令hwclock -wsed -i 's%SYNC_HWCLOCK=no%SYNC_HWCLOCK=yes%' /etc/sysconfig/ntpdate
客户端定时任务配置
9. 关闭ICMP (ping)响应
永久修改方式(重启后有效)
禁止ICMP包通行
允許ICMP包通行
10. 安装Fail2ban 防止SSH爆破与CC攻击
新建jail.local来覆盖fail2ban的一些默认规则:
参数说明:ignoreip:IP白名单,白名单中的IP不会屏蔽,可填写多个以(,)分隔
bantime:屏蔽时间,单位为秒(s)
findtime:时间范围
maxretry:最大次数
banaction:屏蔽IP所使用的方法,上面使用firewalld屏蔽端口
防止SSH爆破
继续修改jail.local这个配置文件,在后面追加如下内容:
参数说明:[sshd]:名称,可以随便填写
filter:规则名称,必须填写位于filter.d目录里面的规则,sshd是fail2ban内置规则
port:对应的端口
action:采取的行动
logpath:需要监视的日志路径
防止CC攻击
这里仅以Nginx为例,使用fail2ban来监视nginx日志,匹配短时间内频繁请求的IP,并使用firewalld将其IP屏蔽,达到CC防护的作用。
继续修改jail.local追加如下内容:
上面的配置意思是如果在60s内,同一IP达到20次请求,则将其IP ban 1小时,上面只是为了测试,请根据自己的实际情况修改。logpath为nginx日志路径。
防止Wordpress爆破
如果您经常分析日志会发现有大量机器人在扫描wordpress登录页面wp-login.php,虽然对方可能没成功,但是为了避免万一还是将他IP干掉为好。
继续修改jail.local追加如下内容:[wordpress]
enabled = true
port = http,https
filter = wordpress
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log
当然,别忘记输入systemctl restart fail2ban重启fail2ban使其生效。
总结
fail2ban已经内置很多匹配规则,位于/etc/fail2ban/filter.d/目录下,包含了常见的SSH/FTP/Nginx/Apache等日志匹配,如果都还无法满足您的需求,您也可以自行新建规则来匹配异常IP。使用fail2ban+Firewalld来阻止恶意IP是行之有效的办法,可极大提高服务器安全。
十一.设置grup密码
默认配置:无
加固方案:
1、输入grub密码。grub2-mkpasswd-pbkdf2
2、把输出纪录下来。
3、对/etc/grub.d/40_custom和/boot/grub2/grub.cfg进行备份。cp /etc/grub.d/40_custom /etc/grub.d/40_custom.backup
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg-bak
4、修改40_custom,在后面添加两行,把第一步的信息写到文件里去。
5、重新启动grub菜单。
.系统参数调优
加固方案:/sbin/sysctl -p /etc/sysctl.conf
/sbin/sysctl -w net.ipv4.route.flush=1
日志
2020.9.21 优化TCP,关闭了net.ipv4.tcp_tw_recycle