每天一博--第七天 CnetOS8安全加固

最新推荐文章于 2024-10-30 14:31:03 发布
最新推荐文章于 2024-10-30 14:31:03 发布
阅读量308 收藏 1
点赞数
分类专栏: Linux shell 安全加固 文章标签: linux shell 安全加固
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42543813/article/details/103307323
版权
本文详述了如何对CentOS8系统进行安全加固,将加固方案转化为可执行脚本,包括安装过程、配置文件和最终结果展示,旨在提升服务器的安全性。
摘要由CSDN通过智能技术生成

服务器安全加固

目前已经将加固方案写成了脚本,方面后面的服务器加固

第一部分脚本内容

#########################################################################
# File Name: security_backup.sh
# Author:Superjay09
# mail: xxxxxxxxx.com
# Created Time: 2019-12-11
#########################################################################
#!/bin/bash
WORKDIR=$(cd $(dirname $0);pwd)
BACKUPDIR=/opt/backup 

FILE=(/etc/passwd /etc/shadow \
	  /etc/group /etc/gshadow \
	  /etc/profile /etc/bashrc \
	  /etc/motd /etc/sysctl.conf \
	  /etc/rsyslog.conf /etc/inittab \
	  /etc/init.d/* /etc/aliases \
	  /etc/sudoers /etc/ssh/sshd_config \
	  /etc/login.defs /etc/pam.d/sudo \
	  /etc/pam.d/system-auth /etc/pam.d/systemd-user \
	  /etc/pam.d/su /etc/pam.d/cockpit \
	  /etc/cron* /var/log/btmp \
	  /var/log/wtmp /var/log/messages \
	  /etc/security/* /var/log/lastlog \
	  /var/spool/cron /var/log/firewalld)

write(){
   
	if [ ! -d "$BACKUPDIR" ];then
		mkdir -p $BACKUPDIR
	fi 
	
	PER_FILE=$BACKUPDIR/per-file
	SPE_FILE=$BACKUPDIR/spe-file
	for per in ${FILE[@]};do
			FILE_PER=$(stat -c "%a" $per)
			FILE_SPE=$(lsattr -l $per | awk '{print $2}')
			cp -r $per $BACKUPDIR
			echo $per $FILE_PER >>$PER_FILE 
			echo $per $FILE_SPE >>$SPE_FILE 
	done
}

zip(){
   
	tar cf backfile.tar.gz $BACKUPDIR/* > /dev/null  2>&1
	mv backfile.tar.gz /opt
	rm -rf $BACKUPDIR
} 

ask(){
   
	read -p "Do you need to secure the system? [Y|y/N|n] " answer
	case $answer in 
		Y|y)
			source $WORKDIR/UG-operation.sh
		;;
		N|n)
			break
		;;
	esac
}`

NTPDATE_STATE=$(rpm -qa ntpdate)
if [ "$?" != "0" ];then
	echo -e "\033[32mSynchronizing time.....Please wait."
	echo ""
	yum -y install ntpdate > /dev/null  2>&1
	ntpdate ntp1.aliyun.com > /dev/null  2>&1
	echo -e "\033[32mTime synchronization complete\033[0m"
	echo ""
else 
	echo -e "\033[32mSynchronizing time.....Please wait."
	echo ""
	ntpdate ntp1.aliyun.com > /dev/null  2>&1
	echo -e "\033[32mTime synchronization complete\033[0m"
	echo ""
fi

if [ ! -f "/opt/backfile.tar.gz" ];then
	write
	zip
	source $WORKDIR/security_config.sh 
else 
	SYS_DATE=$(date +"%Y%m%d%H%M%S")
	PER_FILE_DATE=$(stat /opt/backfile.tar.gz | grep Modify | awk -F. '{print $1}' | awk '{print $2 $3}' | sed 's/\-//g' | sed 's/\://g')

	if (($SYS_DATE-$PER_FILE_DATE>1339200));then 
		write
		zip 
		echo ""
		ask

	else
		echo -e "\033[32mSystem security has been strengthened.Please select another operation\033[0m"
		echo ""
		ask
	fi
fi

第二部分

#########################################################################
# File Name: security_config.sh
# Author:Superjay09
# mail: xxxx@qq.com
# Created Time: 2019-11-27
#########################################################################
#/bin/bash

WORKDIR=$(cd "$(dirname $0)";pwd)

if [ `whoami` == "root" ];then 
####################GET SYSTEM INFORMATION####################
SYSTEM_VERSION=$(cat /etc/redhat-release)
SYSTEM_CPU_MODEL=$(cat /proc/cpuinfo | grep "model name" | awk -F: '{print $2}')
SYSTEM_CPU_NUMBERS=$(grep 'physical id' /proc/cpuinfo | sort -u | wc -l)
SYSTEM_CPU_CORE=$(grep 'core id' /proc/cpuinfo | sort -u | wc -l)
SYSTEM_CPU_PROCESSOR=$(grep 'processor' /proc/cpuinfo | sort -u | wc -l)
AVAILABLE_MEMORY_SIZE=$(free -m | grep "Mem" | awk '{print $2}')
SYSTEM_DISK_SIZE=$(lsblk | grep disk | awk '{print $4}')

echo ""
echo "#----------------------SYSTEM BRIEF INFORMATION-----------------------#"
echo -e "\033[32mSystem_version: $SYSTEM_VERSION\033[0m"
echo -e "\033[32mSystem_cpu_model: $SYSTEM_CPU_MODEL\033[0m"
echo -e "\033[32mSystem_cpu_numbers: $SYSTEM_CPU_NUMBERS\033[0m"
echo -e "\033[32mSystem_cpu_core: $SYSTEM_CPU_CORE\033[0m"
echo -e "\033[32mSystem_cpu_processor: $SYSTEM_CPU_PROCESSOR\033[0m"
echo -e "\033[32mAviailable_memory_size: $AVAILABLE_MEMORY_SIZE MB\033[0m"
echo -e "\033[32mSystem_disk_size: $SYSTEM_DISK_SIZE\033[0m"
echo "#---------------------------------------------------------------------#"
echo ""
###############################################################

#####################CHECKING SYSTEM USER######################
NOPASSWD=$(awk -F: '($2==""){
   print $1}' /etc/shadow)
INROOT=$(awk -F: '($3==0){print $1}' /etc/passwd)

if [ -z "$NOPASSWD" ];then
	echo -e  "\033[32mUsers who do not have a blank password for this system\033[0m"
	echo ""
	echo "#---------------------------------------------------------------------#"
else
	for user in $NOPASSWD;
	do 
		echo -e "\033[31m[$user] is a blank password\033[0m"
		echo -e "\033[31mDeactivating [$user] account\033[0m"
		echo ""
		echo "#################################################################"
		passwd -l $user > /dev/null 2>&1
	done
fi 

if [ "$INROOT" == "root" ];then
	echo ""
    echo -e  "\033[32mOnly root has administrator rights in the system\033[0m"
	echo ""
	echo "#---------------------------------------------------------------------#"
else
    for permission in $INROOT;
    do 
        echo -e "\033[31mUser [$permission] has administrator privileges\033[0m"
        echo -e "\033[31mPlease confirm whether to add for administrator\033[0m"
		echo ""
         
     done
 fi 
##############################################################
#########################DISABLE ICMP#########################
ICMP_CONFIG="/proc/sys/net/ipv4/icmp_echo_ignore_all"
echo ""
if [ `cat $ICMP_CONFIG` == "0" ];then 
	echo -e "\033[32mDisabling ICMP operation\033[0m"
	echo "1" > $ICMP_CONFIG 
	echo -e "\033[32mPing operation disabled\033[0m"
	echo ""
	echo "#---------------------------------------------------------------------#"
else
	echo -e "\033[32mPing operation disabled\033[0m"
	echo ""
	echo "#---------------------------------------------------------------------#"
fi
#############################################################
####################OPENSSH CONFIG###########################
cp -r /etc/ssh/sshd_config /etc/ssh/sshd_config.default
cp -r $WORKDIR/sshd_config /etc/ssh/

BANNER_FILE="/etc/banner"
if [ -s "$BANNER_FILE" ];then
	echo ""
	echo -e "\033[32mBanner information has been established\033[0m"
	echo ""
	echo "#---------------------------------------------------------------------#"
else
	if [ -f "/etc/issue" ] && [ -f "/etc/issue.net" ];then 
		mv /etc/issue /etc/issue.bak
		mv /etc/issue.net /etc/issue.net.bak 
	fi 

	cp -r $WORKDIR/banner $BANNER_FILE 

	if [ -s "$BANNER_FILE" ];then
       echo ""
       echo -e "\033[32mBanner information has been established\033[0m"
       echo ""
       echo "#--------------------------------------------------------------------    -#"
	else
       echo ""
        echo -e "\033[31mBanner information changed failed\033[0m"
        echo ""
        echo "#-------------------------------------------------------------------    --#"
	fi 
	systemctl restart sshd.service
fi
############################################################
SSHD_TIME_STAMP=$(stat /etc/ssh/sshd_config | grep Modify | awk -F. '{print $1}' | awk '{print $2 $3}' | sed 's/\-//g' | sed 's/\://g'
最低0.47元/天 解锁文章
CentOS 6/7/8系统加固方案
中年程序员一枚的博客
01-26 665
编辑/etc/pam.d/password-auth 和 /etc/pam.d/system-auth配置文件中包含password requisite pam_cracklib.so 这行。在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。操作时建议做好记录或备份。
网安等保 | 主机安全CentOS8务器配置优化与安全加固基线文档脚本分享
WeiyiGeek 唯一极客IT知识分享
06-16 1552
描述: 千呼万唤始出来,网安等保系列之Linux系统主机安全加固文章又更新了,由于作者的【安全开发运维】运维学习答疑群(PS: 公众号回复【微信交流群】即可进入哟)的小伙伴们企业中需要针对CentOS8务器系统进行安全加固,以通过等保3级的主机安全合规检查,作为群主大大的我必须响应群员们的号召,在工作之余,边带娃,边编写该系统加固脚本, 遂在昨日完成该脚本的编写以及验证,可谓是真不容易呀。当前由于。
centos系统安全加固
01-24
centos 操作系统安全加固,修改密码策略,启用审核策略进行安全审计,审计日志文件大小设置,删除多余账号,禁用务等
【网络安全零基础入门】Linux安全加固(非常详细)零基础入门到精通,收藏这篇就够了
最新发布
A13531922962的博客
10-30 1234
大家好,我是向阳。今天将继续带大家入门网络安全linux系统篇安全加固教程,全程干货,建议收藏哈。对于系统和应用在使用过程中暴露的安全缺陷,系统或应用厂商会及时发布解决问题的升级补丁包。升级系统或应用版本,可有效解决旧版本存在的安全风险。在不影响业务系统正常运行情况下,止或禁用承载业务无关的务和务端口,可有效避免无关务造成的安全风险。
Centos8安全加固
晓马过河
07-16 942
1. 添加管理员帐号 # 添加用户 useradd mnt_usr # 指定用户设定密码(省略用户名时表示修改当前登录用户自己的密码) # 牢记密码!牢记密码!牢记密码! passwd mnt_usr # 给刚创建的管理帐号添加sudo权限 (Insert编辑,Esc退出编辑,:wq保存退出) # 复制root的设定,在其后面写行相同设定,意思:mnt_usr用户可以在任何终端担任任何用户角色执行任何命令 #【用户名 终端范围 = (用户角色范围) 命令范围】 visudo 重启后生效,即可用.
Centos8.4务器安全加固方案
qq_38383302的博客
03-25 5713
1、启动密码策略,修改 /etc/login.defs来实现 2、连续3次输入密码错误,锁定5分钟,主要防黑客爆破 CentOS 8.0配置安全策略(用户3次登录失败锁定3分钟) - 知乎 Centos8的基本使用与安全配置_最强菜鸟的客-CSDN客_centos8进入安全模式 3、修改Linux shell登录 默认端口 semanage port -l | grep ssh semanage port -a -t ssh_port_t -p tcp 15386 4、防火墙设置 ...
CentOS 安全加固
老T工坊
03-09 1813
1、修改sshd默认22端口2、确保务器系统处于最新状态# yum -y update   ///更新操作系统3、检查防火墙设置systemctl status firewalld.service===不知道是什么鬼CentOS7务器升级系统之后,原先设置的帐号密码登录失败了,重装系统。。。。1、重装2、升级  #yum -y update3、重新配置SSH(1)Port xxx(2)设置ss...
Linux(Centos)安全加固方案总结
compassjia的博客
04-09 8261
简谈Linux安全加固经验总结 本人菜鸟枚,希望通过CSDN文章,总结日常工作、学习到的经验 Linux系统加固主要通过以下几个方面,实现系统安全加固。本文以Centos7作为例子,进行总结。 目录系统安全防线设置防火墙策略身份鉴别访问控制安全审计入侵防范资源控制 系统安全防线 设置防火墙策略 Linux防火墙策略设置主要三道防线; 1. 系统自带防火墙iptables(Centos6)   防火墙会从上至下的顺序来读取配置的策略规则,在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为(即放行或阻
Centos务器安全加固脚本
08-23
搜集的几个安全加固脚本,文档列举常用命令,并编写自己的安全加固脚本,Centos6.9验证。
openssh-9.3p2-centos7-x86-64-rpm.zip
07-24
适用于centos 7 x86_64 操作系统 适用于redhat 7 系列操作系统 二进制rpm包 openssh 9.3p2 版本 修复安全漏洞 CVE-2023-38408,当前2023年7月24日最新openssh版本
centos7.9-ssh9.9p1-ssl3.0.15-rpm-x86-64升级加固脚本.zip
10-14
4、已默认安全加固(已有配置跳过) 安装: 执行 bash upgrade_ssl_ssh.sh 进行安装 注意,升级安装后,确保sshd务正常,请新开终端进行验证测试 验证 openssl版本: openssl version OpenSSL 3.0.15 3 Sep 2024 ...
Centos7镜像-百度网盘下载链接
07-18
Centos7镜像-百度网盘下载链接 CentOS-7.2-x86_64-DVD-1511 CentOS-7.3-x86_64-DVD-1611 CentOS-7.4-x86_64-DVD-1708 CentOS-7.5-x86_64-DVD-1804 CentOS-7.6-aarch64-Everything-1810 CentOS-7.6-x86_64-DVD-1810 ...
CIS Security加固手册Red Hat Linux 8
01-26
CIS_Red_Hat_Enterprise_Linux_8_Benchmark_v1.0.0
CentOS7-系统安全加固实施方案.pdf
10-04
CentOS7-系统安全加固实施方案.pdf
linux centos 加固务器的方法
Jingged的博客
03-07 2778
为特定用户分配特定命令的权限:# 这将允许username用户在任何主机上以任何用户身份执行/path/to/command命令。# 为用户组分配权限:#这将允许groupname用户组中的所有用户执行/path/to/command命令。# 为用户分配多个命令的权限:# 使用逗号分隔可以列出多个命令。# 允许用户以特定用户身份执行命令:# 这将限制username用户只能以specificuser用户的身份执行命令。
【史上最全】centOS/Linux系统安全加固方案手册
sophiasofia的博客
02-02 4772
Linux/centOS安全加固方案,按照本方案进行的加固安全可顺利通过般的安全扫描工具。
Centos安全加固策略
被生活耽误的旅行者
04-24 2300
操作系统安全加固就是使操作系统安全稳定的各种技术方案。安全加固可从操作系统内外来看,对内就是是操作系统配置以及内核参数的调整,加强内部管理。对外,操作系统可以通过建立防火墙,关闭不必要开放的端口等等,建立安全的网络屏障
系统加固
http://www.onlyze.cn/
08-26 1383
centos 系统加固。Redhat是目前企业中用的最多的Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类务器做好安全加固工作呢? . 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于些保留的系统伪帐户如:bi
CentOSCentOS7安全加固前基线检查,针对薄弱环节针对性加固
abc15138565332的博客
07-11 476
检测密码设置策略的口令生存期是否符合规范检测密码设置策略的口令更改最小间隔天数是否符合规范检测密码设置策略的口令最小长度是否符合规范检测密码设置策略的口令过期前警告天数是否符合规范。
CentOS 7系统安全加固:安装ssh-rpm8.7p1步骤指南
本文档是个关于在CentOS 7操作系统上安装和配置OpenSSH软件包的指南,提供了详细的安装步骤和配置说明,目的是对SSH务进行安全加固。以下是对文件标题、描述、标签以及压缩包内文件名称列表中所蕴含知识点的详细...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值