centos安全防范设置
时间:2014-02-22 02:11 来源:www.it.net.cn 作者:IT网
网络上有很多垃圾在扫描root账户,所以有必要做好安全防范!以下是一些安全设置,仅当参考:
1、修改SSH 端口
vi /etc/ssh/sshd_config
Port 22 修改
PermitEmptyPasswords no 把#注销掉-禁止空密码帐户登入服务器!
MaxAuthTries 2 两次不行就切断重新SSH启动登入
2、远程5分钟无操作自动注销:
vim /etc/profile
export TMOUT=300 ---5分钟自动注销下来
找到
HISTSIZE=1000
修改为:
HISTSIZE=100 --减少日记字节为100KB,太大内容过多容易漏重要信息.
3、修改文件属性
chmod 700 /bin/rpm '只有root权限用户才可以使用rpm命定,安装软件包
chmod 664 /etc/hosts
chmod 644 /etc/passwd
chmod 644 /etc/exports
chmod 644 /etc/issue
chmod 664 /var/log/wtmp
chmod 664 /var/log/btmp
chmod 644 /etc/services
chmod 600 /etc/shadow
chmod 600 /etc/login.defs
chmod 600 /etc/hosts.allow
chmod 600 /etc/hosts.deny
chmod 600 /etc/securetty
chmod 600 /etc/security
chmod 600 /etc/ssh/ssh_host_key
chmod 600 /etc/ssh/sshd_config
chmod 600 /var/log/lastlog
chmod 600 /var/log/messages
4、禁止ping 用户使用ping不做任何反映
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 禁止ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 解除禁止ping操作
5、禁止IP伪装
vi /etc/host.conf
在里面加上:
nospoof on
6、防止DOS攻击:
vi /etc/security/limits.conf
加入以下配置:
* hard core 0
* hard rss 10000
* hard nproc 20
以上根据需求而论!
7、修改root帐户密码越复杂越好:
7.1、含有大小写字母;
7.2、含有数字;
7.3、含有字符;
7.4、不用自己生日等常关联的字母数字及字符。
8、删除部分不需要的用户和组:
# cut -d: -f1 /etc/passwd # 查看系统所有用户
# cut -d: -f1 /etc/group # 查看系统所有组
userdel adm
userdel lp
userdel news
userdel uucp
userdel games
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
9、垃圾IP封杀
more /var/log/secure
首先通过以上命定观察多次扫描欲远程登入服务器的垃圾IP;
然后在
vi /etc/hosts.deny
增加:
sshd:61.131.47.157 ---这以61.131.47.157这个垃圾IP为例!
保存即可! (责任编辑:IT)
| 网络上有很多垃圾在扫描root账户,所以有必要做好安全防范!以下是一些安全设置,仅当参考: 1、修改SSH 端口 vi /etc/ssh/sshd_config Port 22 修改 PermitEmptyPasswords no 把#注销掉-禁止空密码帐户登入服务器! MaxAuthTries 2 两次不行就切断重新SSH启动登入 2、远程5分钟无操作自动注销: vim /etc/profile export TMOUT=300 ---5分钟自动注销下来 找到 HISTSIZE=1000 修改为: HISTSIZE=100 --减少日记字节为100KB,太大内容过多容易漏重要信息. 3、修改文件属性 chmod 700 /bin/rpm '只有root权限用户才可以使用rpm命定,安装软件包 chmod 664 /etc/hosts chmod 644 /etc/passwd chmod 644 /etc/exports chmod 644 /etc/issue chmod 664 /var/log/wtmp chmod 664 /var/log/btmp chmod 644 /etc/services chmod 600 /etc/shadow chmod 600 /etc/login.defs chmod 600 /etc/hosts.allow chmod 600 /etc/hosts.deny chmod 600 /etc/securetty chmod 600 /etc/security chmod 600 /etc/ssh/ssh_host_key chmod 600 /etc/ssh/sshd_config chmod 600 /var/log/lastlog chmod 600 /var/log/messages 4、禁止ping 用户使用ping不做任何反映 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 禁止ping echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all -- 解除禁止ping操作 5、禁止IP伪装 vi /etc/host.conf 在里面加上: nospoof on 6、防止DOS攻击: vi /etc/security/limits.conf 加入以下配置: * hard core 0 * hard rss 10000 * hard nproc 20 以上根据需求而论! 7、修改root帐户密码越复杂越好: 7.1、含有大小写字母; 7.2、含有数字; 7.3、含有字符; 7.4、不用自己生日等常关联的字母数字及字符。 8、删除部分不需要的用户和组: # cut -d: -f1 /etc/passwd # 查看系统所有用户 # cut -d: -f1 /etc/group # 查看系统所有组 userdel adm userdel lp userdel news userdel uucp userdel games groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip 9、垃圾IP封杀 more /var/log/secure 首先通过以上命定观察多次扫描欲远程登入服务器的垃圾IP; 然后在 vi /etc/hosts.deny 增加: sshd:61.131.47.157 ---这以61.131.47.157这个垃圾IP为例! 保存即可! (责任编辑:IT) |