CentOS安全配置
时间:2014-09-09 18:50 来源:linux.it.net.cn 作者:it
注:以下全部内容来源于《熟悉linux系统安全与优化》一书部分节选。
一、系统安全记录文件
#more /var/log/secure
统计访问IP及次数。
#grep -oP '(\d+\.){3}\d+' /var/log/secure |sort |uniq -c
二、启动和登录安全性
1.用户口令
修改改密码长度/etc/login.defs
#vi /etc/login.defs
PASS_MIN_LEN 8
2.注释掉不需要的用户和用户组
vi /etc/passwd
vi /etc/group
3.口令文件
chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。
#chattr +i /etc/passwd
#chattr +i /etc/shadow
#chattr +i /etc/group
#chattr +i /etc/gshadow
4.禁止CtrlAltDelete重新启动机器命令
修改/etc/inittab文件,将ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉。
然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限,运行如下命令:
#chmod -R 700 /etc/rc.d/init.d/*
这样便仅有root可以读、写或执行上述所有脚本文件。
5.限制su命令
当不想任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
这时,仅isd组的用户可以su作为root。此后,如果希望用户admin能够su作为root,可以运行如下命令:
#usermod -G10 admin
6 . 更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降
不允许使用低版本的SSH协议
vi /etc/ssh/ssd_config
将#protocol2,1
改为protocol2
将PORT改为1000以上端口
vi /etc/ssh/sshd_config
Port 10000
同时,创建一个普通登录用户,并取消直接root登录
useradd 'username'
passwd 'username'
vi /etc/ssh/sshd_config
PermitRootLogin no
#取消root直接远程登录
7 . 关闭那些不需要的服务,记住少开一个服务,就少一个危险。
以下仅列出需要启动的服务,未列出的服务一律关闭:
#setup
acpid
anacron
cpuspeed
crond
irqbalance\\仅当服务器CPU为S.M.P架构或支持双核心、HT技术时,才需开启,否则关闭。
microcode_ctl
network
random
sendmail
sshd
syslog
yum-updatesd
8 . 启用iptables防火墙,对增加系统安全有许多好处。设置好防火墙的规则。
/etc/init.d/iptables start
三、限制网络访问
1.NFS访问
使用NFS网络文件系统服务,应该确保/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
/dir/to/export是想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。
#/usr/sbin/exportfs-a
2.TCP_WRAPPERS设置
默认情况下,多数Linux系统允许所有的请求,而用TCP_WRAPPERS增强系统安全性是举手之劳,可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。例如,将/etc/hosts.deny设为”ALL:ALL”可以默认拒绝所有访问,然后在/etc/hosts.allow文件中添加允许的访问。
例如,”sshd:192.168.10.10/255.255.255.0 gate.openarch.com”表示
允许IP地址192.168.10.10和主机名gate.openarch.com允许通过SSH连接。
3.登录终端设置
/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,可以编辑/etc/securetty且注释掉如下的行。
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
这时,root仅可在tty1终端登录。
四、防止攻击
1.阻止ping如果没人能ping通系统,安全性自然增加了,为此,我们可以在/etc/rc.d/rc.local文件中增加如下一行
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
2.防止IP欺骗
编辑host.conf文件并增加如下几行来防止IP欺骗攻击。
order bind,hosts 解析顺序
multi on 允许多面网络(多网卡开启)
nospoof on 拒绝IP欺骗
3.防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。
例如,可以在/etc/security/limits.conf中添加如下几行:
* hard core 0
* hard rss 5000
* hard nproc 20
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
session required /lib/security/pam_limits.so
core 0 表示禁止创建core文件,
nproc 20 把最多的进程数限制到20
* 表示登录到系统的所有用户
rss 5000 表示除了root之外,其它用户最多只能用5M内存。这样可以更好的控制系统中用户对进程、core文件和内存的使用情况。 (责任编辑:IT)
注:以下全部内容来源于《熟悉linux系统安全与优化》一书部分节选。 一、系统安全记录文件 #more /var/log/secure 统计访问IP及次数。 #grep -oP '(\d+\.){3}\d+' /var/log/secure |sort |uniq -c 二、启动和登录安全性 1.用户口令 修改改密码长度/etc/login.defs #vi /etc/login.defs PASS_MIN_LEN 8 2.注释掉不需要的用户和用户组 vi /etc/passwd vi /etc/group 3.口令文件 chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。 #chattr +i /etc/passwd #chattr +i /etc/shadow #chattr +i /etc/group #chattr +i /etc/gshadow 4.禁止CtrlAltDelete重新启动机器命令 修改/etc/inittab文件,将ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉。 然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限,运行如下命令: #chmod -R 700 /etc/rc.d/init.d/* 这样便仅有root可以读、写或执行上述所有脚本文件。 5.限制su命令 当不想任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行: auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=isd 这时,仅isd组的用户可以su作为root。此后,如果希望用户admin能够su作为root,可以运行如下命令: #usermod -G10 admin 6 . 更改SSH端口,最好改为10000以上,别人扫描到端口的机率也会下降 不允许使用低版本的SSH协议 vi /etc/ssh/ssd_config 将#protocol2,1 改为protocol2 将PORT改为1000以上端口 vi /etc/ssh/sshd_config Port 10000 同时,创建一个普通登录用户,并取消直接root登录 useradd 'username' passwd 'username' vi /etc/ssh/sshd_config PermitRootLogin no #取消root直接远程登录 7 . 关闭那些不需要的服务,记住少开一个服务,就少一个危险。 以下仅列出需要启动的服务,未列出的服务一律关闭: #setup acpid anacron cpuspeed crond irqbalance\\仅当服务器CPU为S.M.P架构或支持双核心、HT技术时,才需开启,否则关闭。 microcode_ctl network random sendmail sshd syslog yum-updatesd 8 . 启用iptables防火墙,对增加系统安全有许多好处。设置好防火墙的规则。 /etc/init.d/iptables start 三、限制网络访问 1.NFS访问 使用NFS网络文件系统服务,应该确保/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。 /dir/to/export host1.mydomain.com(ro,root_squash) /dir/to/export host2.mydomain.com(ro,root_squash) /dir/to/export是想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。 #/usr/sbin/exportfs-a 2.TCP_WRAPPERS设置 默认情况下,多数Linux系统允许所有的请求,而用TCP_WRAPPERS增强系统安全性是举手之劳,可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。例如,将/etc/hosts.deny设为”ALL:ALL”可以默认拒绝所有访问,然后在/etc/hosts.allow文件中添加允许的访问。 例如,”sshd:192.168.10.10/255.255.255.0 gate.openarch.com”表示 允许IP地址192.168.10.10和主机名gate.openarch.com允许通过SSH连接。 3.登录终端设置 /etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,可以编辑/etc/securetty且注释掉如下的行。 tty1 #tty2 #tty3 #tty4 #tty5 #tty6 这时,root仅可在tty1终端登录。 四、防止攻击 1.阻止ping如果没人能ping通系统,安全性自然增加了,为此,我们可以在/etc/rc.d/rc.local文件中增加如下一行 echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all 2.防止IP欺骗 编辑host.conf文件并增加如下几行来防止IP欺骗攻击。 order bind,hosts 解析顺序 multi on 允许多面网络(多网卡开启) nospoof on 拒绝IP欺骗 3.防止DoS攻击 对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。 例如,可以在/etc/security/limits.conf中添加如下几行: * hard core 0 * hard rss 5000 * hard nproc 20 然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。 session required /lib/security/pam_limits.so core 0 表示禁止创建core文件, nproc 20 把最多的进程数限制到20 * 表示登录到系统的所有用户 rss 5000 表示除了root之外,其它用户最多只能用5M内存。这样可以更好的控制系统中用户对进程、core文件和内存的使用情况。 (责任编辑:IT) |