1.禁止系统响应从外部/内部来的ping请求
在终端下输入sysctl -w net.ipv4.icmp_echo_ignore_all=1 若要开Ping 把1改成0就行了
默认情况下icmp_echo_ignore_all的值为“0”,表示响应ping值
可以添加到/etc/rc.d/rc.local文件中,以使每次系统启动后自动运行
2.删除系统默认的不必要的用户和组
删除的用户,如adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher等
删除的组:如adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers等
3.修改ssh端口
编辑/etc/ssh/sshd_config 把#Port 22前注释去掉,加上Port 888 重启ssh服务,使用888端口ssh
成功后,把Port 22删除
4.取消root登录
编辑/etc/ssh/sshd_config,把PermitRootLogin yes前面注释去掉,并修改成no,然后重启sshd服
务,并且创建一个用户用来ssh切换到root用户。
5.设置特定组可以su到root
编辑 /etc/pam.d/su文件,找到这行auth required pam_wheel.so use_uid 把
前面的注释去掉,同时把授权的用户添加到wheel组就行了 usermod -a -G wheel username。
6.启用iptables防火墙
根据具体要求来具体设置,基本对一些端口进行开启和关闭。
7.只允许对root对/etc/init.d/下服务进行操作
chmod 700 -R /etc/init.d/
8.限制shell历史记录命令大小
编辑/etc/profile文件,把默认的HISTSIZE=1000改为HISTSIZE=50
9.使用yum update更新系统时不升级内核,只更新软件包
编辑yum的配置文件/etc/yum.conf 在[main]的最后添加exclude=kernel*
10.Selinux修改
修改/etc/selinux/config 修改成SELINUX=disabled
11.转发重要或者错误日志到自己邮箱
编辑/etc/aliases 在mailer-daemon:postmaster postmaster: root下面加入root:你的邮箱
12.不允许从不同的控制台进行root登陆
编辑/etc/securetty,把禁止登录的tty设备前加#号进行注释。
13.设置允许ssh远程的IP
在iptables加规则 iptables -A INPUT -i eth0 -p tcp 22 -s 网段/ip -j ACCEPT。
14.强制使用复杂密码
先通过rpm -qa | grep cracklib 查询一下cracklib是否安装,然后编辑/etc/pam.d/system-
auth,将password requisite pam_cracklib.so try_first_pass retry=3 修改成
password requisite pam_cracklib.so try_first_pass retry=3 minlen=8 difok=5
15.设置自动注销帐号的登录
编辑/etc/profile文件,在HISTSIZE后面加入TMOUT=300这行,表示登录用户在300s内没有操作,
系统就自动注销这个账户
16.阻止任何人su到root
编辑/etc/pam.d/su,添加以下两行
auth sufficient /lib/security/$ISA/pam_rootok.so debug
auth required /lib/security/$ISA/pam_wheel.so group=wheel意味着只有wheel组内的用户才可
以su到root
792
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
