基于Centos 7系统的安全加固方案

已于 2022-05-26 08:32:27 修改
阅读量4.7k 收藏 14
点赞数 5
分类专栏: Linux 文章标签: centos 安全 linux
于 2021-10-21 10:45:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44268918/article/details/120881253
版权

基于centos7版本测试
注意:修改任何配置文件,为保障安全请先备份,命令: cp -a +配置文件路径 +存放位置路径

1.密码长度与有效期

位置:vi /etc/login.defs

修改:

PASS_MAX_DAYS   90     注:密码有效期
PASS_MIN_DAYS   2        注:修改密码最短期限
PASS_MIN_LEN    8        注:密码最短长度
PASS_WARN_AGE   30    注:密码过期提醒

2.密码复杂度

位置:vi /etc/pam.d/system-auth

修改:

将这行注释   password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= 
 并在其下面新增1行 password requisite pam_pwquality.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 retry=1 authtok_type=
 如何要设定root也要履行该规则,需要添加enforce_for_root
 例如:password requisite pam_pwquality.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 retry=1 enforce_for_root authtok_type=

解释:

minlen=8 最小长度8位
 difok=5 新旧密码最少5个字符不同
 dcredit=-1 最少1个数字
 lcredit=-1 最少1个小写字符
 ucredit=-1 最少1个大写字符
 ocredit=-1 最少1个特殊字符
 retry=1  1次错误后返回错误信息
 type=XXX 此选项用来修改缺省的密码提示文本

3.新口令不能与近期相同

位置:vi /etc/pam.d/system-auth

修改:

在password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok 
所在行的后面添加remember=5

解释:

remeber=5 记住近期5个密码,改密码不能与近期5个有相同的。

4.会话超时

位置:vi /etc/profile

修改:

在文件的末尾添加 export TMOUT=600

解释:

export TMOUT=600 10分钟超时

5.登录失败锁定

位置:vi /etc/pam.d/system-auth

修改:

在# User changes will be destroyed the next time authconfig is run.
下面添加auth       required     pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=1800

解释:

deny=5 5次登录失败
unlock_time=1800 锁定30分钟

6.SSH配置加固

位置:vi /etc/ssh/sshd_config

修改:

(1)禁止空密码登录
将#PermitEmptyPasswords no参数的注释符号去掉,改成
PermitEmptyPasswords no

(2)关闭ssh的tcp转发
将#AllowTcpForwarding yes参数改成
AllowTcpForwarding no

(3)关闭S/KEY(质疑-应答)认证方式
将#ChallengeResponseAuthentication yes参数,改成
ChallengeResponseAuthentication no


(4)关闭基于GSSAPI 的用户认证
将GSSAPIAuthentication yes参数,改成
GSSAPIAuthentication no

重启ssh服务:

systemctl restart sshd.service

7.重用名root

位置:vi /etc/passwd 把里面的root用户修改为想要设定的用户名。保存:wq
位置:vi /etc/shadow 把里面的root用户修改为想要设定的用户名。强制保存:wq!

重启:

重启服务器,使用修改过的用户名登录。
通过查询Id 当前用户 如果UID是0,就修改成功,否则就是未成功。

注意:

如果重启长时间处于运行的服务器可能会导致系统崩溃。
修改root用户名后,会导致登录系统出现10秒左右的延迟。

8.查询是否存在特权账户与空口令

awk -F: '$3==0 {print $1}' /etc/passwd 查询是否存在特权账户
awk -F: 'length($2)==0 {print $1}' /etc/shadow 查询是否存在空口令

修改:

如果存在特权账户,删除除root以外的任何账户。
如果存在空口令,为该用户设定密码。

9.删除多余用户

userdel 用户名

10.设定禁止root远程登录

位置:vi /etc/ssh/sshd_config

修改:

PermitRootLogin no

11.日志上传服务器

位置:vi /etc/rsyslog.conf

修改:

*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages  找到这行添加下面的内容
*.* @@172.16.x.xx:514
*.* @172.16.x.xx:514

注:

@@表示TCP流量,@表示UDP流量。

12.防火墙

systemctl start firewalld  开启防火墙
systemctl enable firewalld  自启动
firewall-cmd --per --add-port=80/tcp 开启80端口
firwall-cmd --reload 重载防火墙
firewall-cmd --list-all  查看防火墙端口
剁椒鱼头没剁椒
关注
  • 5
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Centos7十五项安全加固标准配置(结合等保3)
Wizard_1的博客
11-07 5551
加固服务器安全策略
CentOS7 系统安全加固实施方案介绍
09-17
CentOS7 系统安全加固实施方案介绍,
Linux服务器系统安全加固(centos7系列)
cbc_19的博客
08-01 4589
安全加固就是对系统进行优化配置,杜绝系统配置不当出现的弱点,提高操作系统和服务器的防御能力,防止黑客攻击和病毒入侵,提升系统和网络安全
[自学课程]Centos7安全加固
l73246的博客
08-01 998
薄弱环节: Linux系统的每个分区都是构成支持一组文件和目录所必需的存储区的一部分,一个分区必须挂载在一个目录下才能使用 Linux常见目录: / 根目录 /boot 内核及系统引导程序的文件目录 /dev
CentOS 7 系统安全加固方案
最新发布
eagle89的专栏
05-11 453
CentOS 7 系统安全加固方案
Linux7(CentOS7)等保三级加固的一些说明
xmtemp9的博客
08-25 675
这些步骤提供了一些基本的加固措施,但请注意,具体的加固步骤可能因组织的具体需求和规定而有所不同。安装和配置入侵检测系统(IDS):通过安装和配置IDS,及时检测系统中的异常活动和入侵行为,并采取相应的措施。定期安全扫描和漏洞评估:定期进行安全扫描和漏洞评估,及时发现系统中的安全漏洞,并采取相应的修复措施。定期审查用户账户:定期审查系统上的用户账户,删除不再需要的用户账户,并确保每个用户都具有适当的权限。定期备份和恢复:定期备份系统和数据,确保备份数据存储在安全的位置,并测试恢复过程以确保备份的可用性。
Centos安全加固策略
被生活耽误的旅行者
04-24 1828
操作系统安全加固就是使操作系统安全稳定的各种技术方案安全加固可从操作系统内外来看,对内就是是操作系统配置以及内核参数的调整,加强内部管理。对外,操作系统可以通过建立防火墙,关闭不必要开放的端口等等,建立安全的网络屏障
系统加固
http://www.onlyze.cn/
08-26 1259
centos 系统加固。Redhat是目前企业中用的最多的一类Linux,而目前针对Redhat攻击的黑客也越来越多了。我们要如何为这类服务器做好安全加固工作呢? 一. 账户安全 1.1 锁定系统中多余的自建帐号 检查方法: 执行命令 #cat /etc/passwd #cat /etc/shadow 查看账户、口令文件,与系统管理员确认不必要的账号。对于一些保留的系统伪帐户如:bi
CentOS7-系统安全加固实施方案.pdf
10-04
CentOS7-系统安全加固实施方案.pdf
总结Centos7系统加固知识点
09-15
系统加固是提高Linux服务器安全性的重要步骤,针对CentOS7系统,以下是一些关键的加固措施: 1. **手动更新系统**:保持系统的最新状态可以修复已知的安全漏洞。使用`yum -y update`命令可以确保所有软件包都更新到...
centos系统安全加固
01-24
centos 操作系统安全加固,修改密码策略,启用审核策略进行安全审计,审计日志文件大小设置,删除多余账号,禁用服务等
CentOS7系统安全加固实施计划方案.doc
10-03
CentOS7系统安全加固实施计划方案.doc
CentOS7加固 && Apache加固
CN_SHzhaoyujie的博客
12-04 355
文章目录CentOS7系统加固SSH密码加固修改SSH配置文件Apache加固隐藏server版本号防止列目录泄露敏感信息指定目录(上传目录)禁止php解析限制管理员后台特定IP访问关闭对.htaccess的支持 CentOS7系统加固 SSH密码加固 服务器上所有账号的密码都要采用毫无关联的强密码,密码为不少于16位的大小写字母数字特殊符号的组合。 yum install -y expect m...
linux centos 加固服务器的方法
Jingged的博客
03-07 2244
为特定用户分配特定命令的权限:# 这将允许username用户在任何主机上以任何用户身份执行/path/to/command命令。# 为用户组分配权限:#这将允许groupname用户组中的所有用户执行/path/to/command命令。# 为用户分配多个命令的权限:# 使用逗号分隔可以列出多个命令。# 允许用户以特定用户身份执行命令:# 这将限制username用户只能以specificuser用户的身份执行命令。
CentOS 7 服务器的 15 个 Linux 加固步骤
太极淘的博客
04-07 1004
服务器加固是通过各种方法增强服务器安全性的过程。我们有很多步骤来保护服务器。通过保护您的 Linux 系统免受黑客、破解者和攻击者的侵害,让您和您的公司远离您!您可以通过以下步骤将易受攻击变成加固的服务器。它将帮助您防止外部攻击。这里我描述的是 CentOS 的服务器加固。 要知道什么 本指南将引导您完成安全强化 CentOS 7 所需的步骤。强化系统将使其更具限制性,您可能会遇到问题。我建议创建一个可用于故障排除的重复虚拟机。您将在下面找到一个基本步骤列表,您可以并且应该在配置后立即强化您的服务器。
centos7设置账号密码复杂度、密码有效期、账号锁定、会话超时等策略
热门推荐
u013930899的博客
06-20 1万+
设置centos密码复杂度、有效期、账号锁定等策略
CentOS 7 openssh安全加固方案参考—— 筑梦之路
筑梦之路
05-26 886
开启 SSH 会话超时是一种非常好的保护方法。在 sshd_config 文件中,将 ClientAliveInterval 属性设置为 300,并将 ClientAliveCountMax 属性设置为 0。使用 TCP Wrapper 和防火墙等方式,控制可以访问 OpenSSH 服务器的来源网络和 IP,避免非法访问。例如,在 /etc/hosts.allow 中添加受信任的 IP 列表。SSH 安全协议的版本号会影响实际的安全性,因此有必要针对实际情况进行配置。
服务器安全加固措施(Linux_Centos7)
水布天
08-23 1136
Centos7服务器安全改造 1 概述 root用户作为系统的超级管理员,拥有对系统的所有访问权限,在使用root操作的过程中需要引起足够的重视。尤其是目前云服务器风起云涌,各位开发人员的主战场从线下转到了线上,云服务器成了很多人员每天打交道的一个环节,针对每次登陆看到的登陆失败XXXX次,给人的感觉就是今天家里的防盗门被开启过XXXX次,明明是你自己的家,看到这个场景不得不让你想抒发一下情感。本篇针对云服务器安全提升方面的介绍。 2 环境说明 服务器:阿贝云服务器 操作系统Centos7.9.2009
Linux系统加固centos7为例)
qq_64489501的博客
11-18 1655
firewall-cmd --add-service=http --permanent //持久化(写入配置文件)touch /etc/cron.allow && vi /etc/cron.allow //创建文件并编辑文件。firewall-cmd --remove-service=dhcpv6-client //删除不需要的服务。firewall-cmd --list-service --permanent //查看配置文件允许的服务。
centos7 系统安全加固
01-23
以下是Centos7系统安全加固的一些方法和步骤: 1. 同步时间服务器: - 使用定时任务同步时间服务器,可以避免无网情况下ntp服务启动后的漏洞。 - 在crontab中添加以下定时任务: ```shell 0 12 * * * /usr/sbin/ntpdate 时间服务器IP ``` 2. 内核优化: - 对Centos7系统进行内核优化可以提高系统安全性。 - 可以通过修改/sys/kernel/security/securelevel文件来设置内核安全级别,限制对内核的访问权限。 3. 密码策略设置: - 设置强密码策略可以增加系统安全性。 - 可以通过修改/etc/pam.d/system-auth文件来设置密码策略。 - 例如,可以设置密码必须包含至少一个数字、一个小写字母、一个大写字母、一个特殊字符,并且密码长度大于等于10: ```shell password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 difok=5 minlen=10 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 ``` 4. 防火墙设置: - 配置防火墙可以保护系统免受网络攻击。 - 可以使用firewalld或iptables来配置防火墙规则,限制网络访问。 5. 更新和安装补丁: - 及时更新系统和安装补丁可以修复已知的安全漏洞。 - 可以使用yum命令来更新系统和安装补丁: ```shell yum update ``` 6. 禁用不必要的服务: - 禁用不必要的服务可以减少系统的攻击面。 - 可以使用systemctl命令来禁用不必要的服务: ```shell systemctl disable 服务名 ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

剁椒鱼头没剁椒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值