服务器安全配置

rm命令安全
新建一个目录存放被删除的内容
mkdir /home/remove/.trash -p
新建一个放命令的目录
mkdir /home/remove/tools
创建命令
touch /home/remove/tools/remove.sh
PARA_CNT=$#
TRASH_DIR="/home/remove/.trash"
for i in $; do
STAMP=date +%s
fileName=basename $i
mv $i $TRAS{H}_{D}IR/$fileName.$STAMP
done
设置变量替代rm命令 vim ~/.bashrc
alias rm=“sh /home/remove/tools/remove.sh”
source ~/.bashrc
设置定时任务 定时删除被删除文件
crontab -e
#rm误删策略
0 0 * * * rm -rf /home/remove/.trash/

ssh服务优化
/etc/ssh/sshd_config
MaxAuthTries 3 #最多登录尝试次数，建议设置低一些，加大暴力破解难度。
PubkeyAuthentication yes #使用公钥认证，推荐使用安全高效！
PermitEmptyPasswords no #不允许空密码登录，这个太危险啦
PermitRootLogin no #禁止root用户登陆，降低远程登陆的用户权限。
PasswordAuthentication no #允许用户名密码登陆，no，禁止使用用户名和密码登陆，使用公钥登陆，防止针对用户名和密码的暴力破解。
AuthorizedKeysFile .ssh/authorized_keys #用户公钥文件保存路径，默认为用户的home目录下.ssh隐藏文件夹中的authorized_keys，建议更换到其他目录，防止丢失或者被恶意登陆者在默认的这个路径中找到篡改。
①、该文件权限必须是640，所以需要执行sudo chmod 640 公钥文件，如：sudo chmod 640 /home/kid/.ssh/authorized_keys。
②、该文件的上层目录必须为700权限，所以需要执行sudo chmod 700 上层文件夹路径，如：sudo chmod 700 /home/kid。
③、该文件可以放多个公钥，注意公钥由于特别长，有的生成工具会把一个公钥拆分成多行，但sshd服务要求一个公钥只能一行存放，所以一定要编辑成一行才好使。

防止攻击
1、 禁用ping，vi /etc/rc.d/rc.local下添加一行:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all，0表示运行，1表示禁用

2、防止DOS攻击,所有用户设置资源限制，vi /security/limits.conf添加以下几行，hard core 0，hard rss 5000，hard nproc 50，禁止调试文件；检查/etc/pam.d/login文件，必须存在session required /lib/security/pam_limits.so

注释不需要的用户和用户组
vi /etc/passwd 注释不需要的用户，“#”注释，如下：

#games❌12💯games:/usr/games:/sbin/nologin
#gopher❌13:30:gopher:/var/gopher:/sbin/nologin
#ftp❌14:50:FTP User:/var/ftp:/sbin/nologin

#adm❌3:4:adm:/var/adm:/sbin/nologin
#lp❌4:7:lp:/var/spool/lpd:/sbin/nologin
#sync❌5:0:sync:/sbin:/bin/sync
#shutdown❌6:0:shutdown:/sbin:/sbin/shutdown
#halt❌7:0:halt:/sbin:/sbin/halt
#uucp❌10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator❌11:0:operator:/root:/sbin/nologin

vi /etc/group 注释不需要的用户组，如下:

#adm❌4:root,adm,daemon
#lp❌7:daemon,lp
#uucp❌14:uucp
#games❌20:
#dip❌40:

#news❌9:13:news:/etc/news

使用yum update更新系统时不升级内核，只更新软件包
由于系统与硬件的兼容性问题，有可能升级内核后导致服务器不能正常启动，这是非常可怕的，没有特别的需要，建议不要随意升级内核。
cp /etc/yum.conf /etc/yum.confbak
1、修改yum的配置文件 vi /etc/yum.conf 在[main]的最后添加 exclude=kernel*
2、直接在yum的命令后面加上如下的参数：
yum --exclude=kernel* update
查看系统版本 cat /etc/issue
查看内核版本 uname -a

关闭自动更新
chkconfig --list yum-updatesd #显示当前系统状态
service yum-updatesd stop #关闭 开启参数为start
chkconfig --level 35 yum-updatesd off #禁止开启启动）
chkconfig yum-updatesd off #禁止开启启动（所有启动模式全部禁止）
chkconfig --list yum-updatesd #显示当前系统状态

隐藏系统信息
在缺省情况下，当你登陆到linux系统，会显示linux发行版的名称、版本、内核版本、服务器的名称。这些信息不能泄露，需隐藏起来。
修改下面两文件的命名。
mv /etc/issue /etc/issuebak
mv /etc/issue.net /etc/issue.netbak

关闭系统不需要的服务
service acpid stop chkconfig acpid off #停止服务，取消开机启动
service autofs stop chkconfig autofs off #停用自动挂载档案系统与周边装置
service bluetooth stop chkconfig bluetooth off #停用Bluetooth蓝牙
service cpuspeed stop chkconfig cpuspeed off #停用控制CPU速度主要用来省电
service cups stop chkconfig cups off #停用Common UNIX Printing System 使系统支援印表机
service ip6tables stop chkconfig ip6tables off #禁止IPv6

禁止非root用户执行/etc/rc.d/init.d/下的系统命令
chmod -R 700 /etc/rc.d/init.d/*

重要文件加上不可更改属性，从而防止非授权用户获得权限
给系统服务端口列表文件加锁,防止未经许可的删除或添加服务:

chattr +a .bash_history

chattr +i .bash_history

chattr +i /etc/shadow
chattr +i /etc/group

chattr +i /etc/passwd
chattr +i /etc/gshadow
chattr +i /etc/services
重新添加删除用户需解锁，解锁命令为:chattr -i 对应文件

限制文件的权限
700权限表示只有属主才能去操作
chmod 700 /usr/bin
chmod 700 /bin/ping
chmod 700 /usr/bin/vim
chmod 700 /bin/netstat
chmod 700 /usr/bin/tail
chmod 700 /usr/bin/less
chmod 700 /usr/bin/head
chmod 700 /bin/cat
chmod 700 /bin/uname
chmod 500 /bin/ps
恢复文件权限命令:chmod 755 对应文件

关闭多余的虚拟控制台
系统默认定义了 6 个虚拟控制台，关闭多余的控制台，只留一个控制台，可以节省内存，防止从不同的控制台登录，修改如下：
vi /etc/inittab

Run gettys in standard runlevels

1:2345:respawn:/sbin/mingetty tty1
#2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6

优化内核参数
vi /etc/sysctl.conf
net.ipv4.tcp_max_syn_backlog = 65536
net.core.netdev_max_backlog = 32768
net.core.somaxconn = 32768
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_synack_retries = 2
net.ipv4.tcp_syn_retries = 2
net.ipv4.tcp_tw_recycle = 1
#net.ipv4.tcp_tw_len = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_max_orphans = 3276800
#net.ipv4.tcp_fin_timeout = 30
#net.ipv4.tcp_keepalive_time = 120
net.ipv4.ip_local_port_range = 10024 65535 #（表示用于向外连接的端口范围。缺省情况下很小：32768到61000 注意：这里不要将最低值设的太低，否则可能会占用掉正常的端口！ ）

限制shell命令记录大小
每个用户的主目录下都存放着/home/axjsms/.bash_history文件，可存放多大500条命令，为了系统安全，需限制该文件大小，可修改为50，vi /etc/profile添加HISTSIZE=50;

修改ssh服务的root登录权限
修改ssh服务配置文件，使的ssh服务不允许直接使用root用户来登录，这样减少系统被恶意登录攻击的机会。
vi /etc/ssh/sshd_config
PermitRootLogin no

修改ssh默认的端口
ssh默认会监听22端口，可以修改至8822端口以避过常规的扫描
1、修改22端口为8822端口，vi /etc/ssh/sshd_config把port 22改为port 8822
2、service sshd restart
3、查看端口是否正确，netstat -lnp|grep ssh
4、防火墙开放8822端口，vi /etc/sysconfig/iptables,添加-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 8822 -j ACCEPT
重启iptables服务，service iptables restart