|
|
|
联系客服020-83701501

配置一个安全的CentOS系统

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
配置1个安全的CentOS系统

1、讲明掉不须要的用户和用户组
vi /etc/passwd
#adm
#lp
#sync
#shutdown
#halt
#news
#uucp
#operator
#games
#gopher
#ftp
vi /etc/group
#adm
#lp
#news
#uucp
#games
#dip
2、给下面的文件加上不可改换属性,从而提防防范非授权用户取得权限
#chattr +i /etc/passwd
#chattr +i /etc/shadow
#chattr +i /etc/group
#chattr +i /etc/gshadow
权限修改之后,就无奈增加删除用户了。要取消早年的修改,

#lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
lsattr 只是默示文件的属性

#chattr -i /etc/passwd
#chattr -i /etc/shadow
#chattr -i /etc/group
#chattr -i /etc/gshadow
再次查看
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
————- /etc/passwd
————- /etc/shadow
————- /etc/group
————- /etc/gshadow
修改完之后,再实行

chattr +i /etc/passwd
chattr +i/etc/shadow
chattr +i /etc/group
chattr +i/etc/gshadow
阻止Ctrl+Alt+Delete重新带动呆板饬令

三、修改/etc/inittab文件,将”ca::ctrlaltdel:/sbin/shutdown-t三-rnow”1行讲明掉。
然后重新设置/etc/rc.d/init.d/目录下所有文件的批准权限,运转下列饬令:

# chmod -R 700 /etc/rc.d/init.d/*
何等便唯一root也许读、写或实行上述所有剧本文件。

四、限制su饬令
当不想任何人或者su作为root,也许编辑/etc/pam.d/su文件,增长下列两行:

auth sufficient /lib/security/pam_rootok.sodebug
auth required /lib/security/pam_wheel.sogroup=isd
这时,仅isd组的用户也许su作为root。尔后,假如祈望用户admin或者su作为root,也许运转下列饬令:

#usermod -G 10 admin
5、提防防范加害
1)阻止ping, 抵挡SYN加害:
假如没人能ping通系统,安全性人造增长了,为此,咱们也许在/etc/rc.d/rc.local文件中增长下列1行

echo 1>/proc/sys/net/ipv四/icmp_echo_ignore_all
SYN加害是利用TCP/IP协定三次握手的道理,发送多量的构建连接的Internet包,但不实践构建连接,最终导致被加害办事器的Internet行列步队被占满,无奈被畸形用户访问。
Linux内核提供了几许SYN相关的配置,用饬令:

sysctl -a | grep syn
看到:
net.ipv四.tcp_max_syn_backlog = 102四
net.ipv四.tcp_syncookies = 0
net.ipv四.tcp_synack_retries = 5
net.ipv四.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN行列步队的长度,tcp_syncookies是1个开关,可否打开SYN Cookie恪守,该恪守也许提防防范所有SYN加害。tcp_synack_retries和tcp_syn_retries定义SYN的重试次数。
加大SYN行列步队长度也许包涵更多等待连接的Internet连接数,打开SYN Cookie恪守也许阻止所有SYN加害,低落重试次数也有1定功效。
调停上述设置的方式是:
vi /etc/rc.d/rc.local ,将下面的饬令法增加进去

sysctl -w net.ipv四.tcp_max_syn_backlog=20四8 #增长SYN行列步队长度到20四8
sysctl -w net.ipv四.tcp_syncookies=1 #打开SYN COOKIE恪守
sysctl -w net.ipv四.tcp_synack_retries=三 #低落重试次数
sysctl -w net.ipv四.tcp_syn_retries=三
2)提防防范IP诈骗
编辑host.conf文件并增长下列几行来提防防范IP诈骗加害。

order hosts,bind #称谓剖明倒叙
multi on #批准主机领有多个IP地点
nospoof on #阻止IP地点诈骗
三)提防防范DoS加害
对系统所有的用户设置本钱限制也许提防防范DoS楷模加害,如最猛进程数和内存哄骗数量等。
比如,也许在/etc/security/limits.conf中增加下列几行:

* hard core 0
* hard rss 5000
* hard nproc 20
然后必须编辑/etc/pam.d/login文件查抄下面1行可否存在。
session required /lib/security/pam_limits.so
四)修改sshd_config文件
起首修改配置文件 vi /etc/ssh/sshd_config
a 修改SSH端口
找到#Port 221段,这里是标识默许哄骗22端口,修改为下列:

Port 22
Port 50000
然后留存参加
实行/etc/init.d/sshd restart
何等SSH端口将同时工作与22和50000上。
面前目今现今编辑防火墙配置:vi /etc/sysconfig/iptables
启用50000端口。
实行/etc/init.d/iptables restart
面前目今现今请哄骗ssh东西连接50000端口,来测试可否败北。
假如连接败北了,则再次编辑sshd_config的设置,将里边的Port22删除,即可。
b 只哄骗SSH v2
将#Protocol 2,1改为 Protocol 2
c 限制用户的SSH访问
假设咱们只要root,vivek和jerry用户能通过SSH哄骗系统,向sshd_config配置文件中增加:

AllowUsers root vivek jerry
d 配置空地空闲超时参加工夫隔断
用户也许通过ssh登录到办事器,你也许设置1个空地空闲超时工夫隔断提防泛起孤儿ssh会话,打开sshd_config配置文件,确保有下列的配置项:

ClientAliveInterval 三00
ClientAliveCountMax 0
下面的例子设置的空地空闲超时工夫隔断是三00秒,即5分钟,过了这个工夫后,空地空闲用户将被积极踢出进来(也许了解为参加登录/挂号)。
e 禁用.rhosts文件
不要读取用户的~/.rhosts和~/.shosts文件,哄骗下面的设置更新sshd_config配置文件:
IgnoreRhosts yes
SSH也许模仿过期的rsh饬令的行为,rsh被公认为是不安全的远程访问协定,因而必须得禁用掉。

6、限制不同文件的权限
[root@九1ri.org ~]# chmod 700 /usr/bin/
[root@九1ri.org ~]# chmod 750 /usr/bin/*++*
[root@九1ri.org ~]# chmod 750 /usr/bin/c++*
[root@九1ri.org ~]# chmod 750 /usr/bin/ld
[root@九1ri.org ~]# chmod 750 /usr/bin/as
[root@九1ri.org ~]# locate sqlaccess
/opt/lampp/bin/mysqlaccess
[root@九1ri.org ~]# chmod 755 /opt/lampp/bin/mysqlaccess
[root@九1ri.org ~]# chattr +a .bash_history
[root@九1ri.org ~]# chattr +i .bash_history
[root@九1ri.org ~]# chmod 700 /bin/ping
[root@九1ri.org ~]# chmod 700 /usr/bin/finger
[root@九1ri.org ~]# chmod 700 /usr/bin/who
[root@九1ri.org ~]# chmod 700 /usr/bin/w
[root@九1ri.org ~]# chmod 700 /usr/bin/locate
[root@九1ri.org ~]# chmod 700 /usr/bin/whereis
[root@九1ri.org ~]# chmod 700 /usr/bin/vim
[root@九1ri.org ~]# chmod 700 /usr/bin/make
[root@九1ri.org ~]# chmod 700 /bin/netstat
[root@九1ri.org ~]# chmod 700 /usr/bin/tail
[root@九1ri.org ~]# chmod 700 /usr/bin/less
[root@九1ri.org ~]# chmod 700 /usr/bin/head
[root@九1ri.org ~]# chmod 700 /bin/cat
[root@九1ri.org ~]# chmod 700 /bin/uname
[root@九1ri.org ~]# chmod 500 /bin/ps
[root@九1ri.org ~]# chmod 500 /usr/sbin/lsof

本文转自Internet由Internet安全攻防研究室(www.九1ri.org)动态安全小组收集整顿。

数安新闻+更多

证书相关+更多