Centos系统安全基本设置

linux itxz 1个月前 (10-26) 34次浏览 0个评论

从以下几个方面设置

1、禁止root用户远程登录

[root@localhost ~]# vim /etc/ssh/sshd_config 
#PermitRootLogin yes     改为 PermitRootLogin no
[root@localhost ~]# systemctl restart sshd.service   #重启sshd服务

2、修改ssh端口

[root@localhost ~]# vim /etc/ssh/sshd_config
Port 66   #更改端口
[root@localhost ~]# systemctl restart sshd.service

3、禁止ping扫描

[root@localhost ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
1代表关闭    0代表开启
[root@hya ~]# iptables -I INPUT -p icmp -j DROP

4、设置密码修改最小间隔时间,限制密码更改过于频繁

[root@localhost ~]# vim /etc/login.defs
PASS_MIN_DAYS   7   #参数设置7-14之间,建议为7
# 须同时执行命令为root用户设置
[root@localhost ~]# chage --mindays 7 root

5、设置ssh空闲超时退出时间

#设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险
[root@localhost ~]# vim /etc/ssh/sshd_config

#将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间

ClientAliveInterval 600
ClientAliveCountMax 2

6、密码复杂度检查

#检查密码长度和密码是否使用多种字符类型
[root@localhost ~]# vim /etc/security/pwquality.conf   把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。
minlen = 10
minclass = 3

7、检查密码重用是否受限制(身份鉴别)

#强制用户不重用最近使用的密码,降低密码猜测攻击风险
[root@localhost ~]# vim /etc/pam.d/password-auth
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
[root@localhost ~]# vim /etc/pam.d/system-auth
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
## 只是在password sufficient pam_unix.so 
这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5

8、检查系统空密码账户(身份鉴别)

[root@localhost ~]# passwd -l root
锁定用户 root 的密码 。
passwd: 操作成功
#设置非空密码

9、禁止ssh空密码用户登录

[root@localhost ~]# vim /etc/ssh/sshd_config 
PermitEmptyPasswords no    取消注释

10、设置密码失效时间(身份鉴别不建议)

#设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项
[root@localhost ~]# vim /etc/login.defs 
PASS_MAX_DAYS   90    #将 PASS_MAX_DAYS 参数设置为 60-180之间
[root@localhost ~]# chage --maxdays 90 root  #需同时执行命令设置root密码失效时间。

11、确保密码到期警告天数为7或更多(身份鉴别)

[root@localhost ~]# vim /etc/login.defs  # 确保密码到期警告天数为7或更多
PASS_WARN_AGE   7
[root@localhost ~]# chage --warndays 7 root   #同时执行命令使root用户设置生效

12、确保SSH MaxAuthTries设置为3到6之间 (SSH服务配置)

#设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。
[root@localhost ~]# vim /etc/ssh/sshd_config  #设置最大密码尝试失败次数3-6,建议为4
MaxAuthTries 4

13、确保rsyslog服务已启用 |(安全审计)

#确保rsyslog服务已启用,记录日志用于审计
[root@localhost ~]# systemctl  enable rsyslog
[root@localhost ~]# systemctl  start rsyslog

14、确保SSH LogLevel设置为INFO (服务配置)

#确保SSH LogLevel设置为INFO,记录登录和注销活动
[root@localhost ~]# vim /etc/ssh/sshd_config  
LogLevel INFO

15、访问控制配置文件的权限设置 |(文件权限)

#访问控制配置文件的权限设置
[root@localhost ~]# chown root:root /etc/hosts.allow 
[root@localhost ~]# chown root:root /etc/hosts.deny 
[root@localhost ~]# chmod 644 /etc/hosts.deny 
[root@localhost ~]# chmod 644 /etc/hosts.allow 

16、开启地址空间布局随机化(入侵防范)

#它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险
[root@localhost ~]# vim /etc/sysctl.conf 
kernel.randomize_va_space = 2
[root@localhost ~]# sysctl -w kernel.randomize_va_space=2
kernel.randomize_va_space = 2

17、确保root是唯一的UID为0的账户(身份鉴别)

#除root以外其他UID为0的用户都应该删除,或者为其分配新的UID
[root@localhost ~]# cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$'

总结
至于说系统安全优化还有很多很多,在这里我只是简单的写了这么几条,我们也可以借助第三方工具来进行防范暴力破解、攻击等问题。


IT学者 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:Centos系统安全基本设置
喜欢 (0)

您必须 登录 才能发表评论!