当前位置: > CentOS > CentOS安全 >

centos安全防范设置

时间:2014-02-22 02:11来源:www.it.net.cn 作者:IT网
网络上有很多垃圾在扫描root账户,所以有必要做好安全防范!以下是一些安全设置,仅当参考:
1、修改SSH 端口
vi /etc/ssh/sshd_config
Port 22 修改
PermitEmptyPasswords no 把#注销掉-禁止空密码帐户登入服务器!
MaxAuthTries 2 两次不行就切断重新SSH启动登入

2、远程5分钟无操作自动注销:
vim /etc/profile
export TMOUT=300   ---5分钟自动注销下来
找到
HISTSIZE=1000
修改为:
HISTSIZE=100 --减少日记字节为100KB,太大内容过多容易漏重要信息.

3、修改文件属性
chmod 700 /bin/rpm  '只有root权限用户才可以使用rpm命定,安装软件包
chmod 664 /etc/hosts
chmod 644 /etc/passwd
chmod 644 /etc/exports
chmod 644 /etc/issue
chmod 664 /var/log/wtmp
chmod 664 /var/log/btmp
chmod 644 /etc/services
chmod 600 /etc/shadow
chmod 600 /etc/login.defs
chmod 600 /etc/hosts.allow
chmod 600 /etc/hosts.deny
chmod 600 /etc/securetty
chmod 600 /etc/security
chmod 600 /etc/ssh/ssh_host_key
chmod 600 /etc/ssh/sshd_config
chmod 600 /var/log/lastlog
chmod 600 /var/log/messages

4、禁止ping 用户使用ping不做任何反映
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 禁止ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 解除禁止ping操作

5、禁止IP伪装
vi /etc/host.conf
在里面加上:
nospoof on

6、防止DOS攻击:
vi /etc/security/limits.conf
加入以下配置:
*               hard   core            0
*               hard    rss             10000
*               hard    nproc           20

以上根据需求而论!

7、修改root帐户密码越复杂越好:
7.1、含有大小写字母;
7.2、含有数字;
7.3、含有字符;
7.4、不用自己生日等常关联的字母数字及字符。

8、删除部分不需要的用户和组:
# cut -d: -f1 /etc/passwd # 查看系统所有用户
# cut -d: -f1 /etc/group # 查看系统所有组
userdel adm
userdel lp
userdel news
userdel uucp
userdel games
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip

9、垃圾IP封杀
more /var/log/secure

首先通过以上命定观察多次扫描欲远程登入服务器的垃圾IP;
然后在
vi /etc/hosts.deny
增加:
sshd:61.131.47.157 ---这以61.131.47.157这个垃圾IP为例!
保存即可! (责任编辑:IT)
------分隔线----------------------------
栏目列表
推荐内容