Linux服务器安全配置(CentOS服务器安全技巧)

发布时间:2017-04-19 编辑:小张个人博客 查看次数:2324

Linux服务器安全配置(CentOS服务器安全技巧),通过一些通用的安全步骤设置以便帮助你保护服务器。你可以采取更多方式去增强对服务器的保护。请记住保证服务器安全是你的责任,在维护服务器安全时尽量做出明智的选择。

CentOS服务器安全配置--账户安全及权限

1.禁止ROOT以外的超级用户

1:检测方法
cat /etc/passwd   #查看口令文件

2:备份口令文件
cp -p /etc/passwd /etc/passwd_bak

3:加固方法
passwd -l <用户名>   #锁定不必要的超级帐户
passwd -u <用户名>   #解锁需要的超级用户

2.CentOS系统-删除不必要的用户

1.可删除的用户,如
adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等

2.可删除的组,如
adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等

3.删除命令
userdel username
groupdel groupname

3.CentOS系统用户口令设置

生产环境口令要求:包含大写字母小写字母数字特殊字符四种中的三种,并且口令整体长度大于10位,每台服务器的口令不相同。

4.检查空口令用户

# awk -F:'($2=="") {print $1}' /etc/shadow

5.口令文件加锁

chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

6.设置ROOT用户自动注销时限

修改环境引导文件/etc/profile中的TMOUT参数,TMOUT参数按秒计算

vim/etc/profile

# 在"HISTFILESIZE="后面加入下面这行
TMOUT=300

 改变这项设置后,必须先注销用户,再用该用户登陆才能激活这个功能。如果想修改某个用户的自动注销时限,可以在用户目录下的".bashrc"文件中添加该值,以便系统对该用户实行特殊的自动注销时间

7.限制su命令

禁止任何人能够su切换为root,编辑/etc/pam.d/su文件,增加如下行:

authrequired pam_wheel.so use_uid

这时,仅wheel组的用户可以su作为root。此后,如果希望用户admin能够su作为root,可以运行如下命令:

usermod –G 10 admin

8.限制普通用户无法执行关机、重启、配置网络等敏感操作


删除/etc/security/console.apps下的halt、reboot、poweroff、shutdown等程序的访问控制文件,以禁止普通用户执行该命令。

也可以整体删除/etc/security/console.apps下的所有配置文件

rm –rf /etc/security/console.apps/*

9.禁用Ctrl+Alt+Delete组合键重新启动机器命令

修改/etc/inittab文件,将"ca::ctrlaltdel:/sbin/shutdown-t3-rnow"一行注释掉。

10.设置开机启动服务文件夹权限


设置/etc/rc.d/init.d/目录下所有文件的许可权限,此目录下文件为开机启动项,运行如下命令:

chmod –R 700 /etc/rc.d/init.d/

这样便仅有root可以读、写或执行上述所有脚本文件。

11.避免login时显示系统和版本信息

# 删除信息文件:
rm –rf /etc/issue
rm –rf /etc/issue.net

CentOS服务器安全配置---限制网络访问

1.NFS访问

使用NFS网络文件系统服务,应该确保/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。

/dir/to/exporthost1.023xs.cn(ro,root_squash)
/dir/to/exporthost2.023xs.cn(ro,root_squash)

/dir/to/export是您想输出的目录,host.023xs.cn是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。

/usr/sbin/exportfs-a

2.登录终端设置

/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,可以编辑/etc/securetty且注释掉如下的行。

#tty2
#tty3
#tty4
#tty5
#tty6

这时,root仅可在tty1终端登录。

CentOS服务器安全配置--防止IP欺骗和DoS攻击

1、防止IP欺骗

编辑host.conf文件并增加如下几行来防止IP欺骗攻击。

orderbind,hosts
multioff
nospoofon

2、防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如,可以在/etc/security/limits.conf中添加如下几行:

*hardcore0
*hardrss5000
*hardnproc20

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

sessionrequired/lib/security/pam_limits.so

上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。

3.更改SSH默认端口号

sudo vim /etc/ssh/sshd_config  
Port 22   # 端口号使用1024--65535之间的数字

4.关闭ROOT直接用户登录

vim /etc/ssh/sshd_config
PermitRootLogin on

Linux服务器安全配置(CentOS服务器安全技巧),以上涵盖一些通用的安全步骤以便帮助你保护服务器。你可以采取更多方式去增强对服务器的保护。请记住保证服务器安全是你的责任,在维护服务器安全时尽量做出明智的选择。

出处:小张个人博客

网址:http://blog.023xs.cn/

您的支持是对博主最大的鼓励,感谢您的认真阅读。欢迎转载,但请保留该声明。

顶部

Copyright © 小张个人博客 All Rights Reserved 渝ICP备15006773号-1

联系方式:[email protected] | 本站文章仅供学习和参考

渝公网安备 50024102500267号