實(shí)驗(yàn)?zāi)康?/span>

通過(guò)配置Centos配置文件，加強(qiáng)Centos默認(rèn)安全配置。同時(shí)也是理解linux一切皆文件的思想。嘗試用shell腳本來(lái)處置Centos的安全配置。

實(shí)驗(yàn)環(huán)境

一臺(tái)Centos 7.2 無(wú)需其他環(huán)境。

實(shí)驗(yàn)原理

Linux操作系統(tǒng)的配置基本上以配置文件展示，通過(guò)不同配置文件理解不同的配置。

實(shí)驗(yàn)步驟

一、網(wǎng)絡(luò)配置

1、檢查不用的連接

運(yùn)行以下命令

ip link show up

?如圖，發(fā)現(xiàn)有兩個(gè)連接一個(gè)為lo，一個(gè)為eth0

若有需要關(guān)閉的接口，可以使用

ip link set down

2、關(guān)閉IP轉(zhuǎn)發(fā)

先查看ip轉(zhuǎn)發(fā)配置

sysctl net.ipv4.ip_forward

查看發(fā)現(xiàn)為0，若是1，可以使用下面命令改為0

sysctl -w net.ipv4.ip_forward=0

3、關(guān)閉數(shù)據(jù)包重定向

查看數(shù)據(jù)包重定向設(shè)置

sysctl net.ipv4.conf.all.send_redirects

查看發(fā)現(xiàn)為1，可以使用下面命令改為0

sysctl -w net.ipv4.conf.all.send_redirects=0

4、開(kāi)啟SYN cookies

查看syn cookies配置

sysctl net.ipv4.tcp_syncookies

發(fā)現(xiàn)為1，已經(jīng)開(kāi)啟。若為0，則使用下面命令改為1

sysctl -w net.ipv4.tcp_syncookies=1

二、查看審計(jì)服務(wù)

1、查看服務(wù)是否開(kāi)啟

systemctl status auditd

如上圖顯示服務(wù)已經(jīng)開(kāi)啟，如未開(kāi)啟可以使用下面命令開(kāi)啟

systemctl start auditd

2、查看審計(jì)日志大小

cat /etc/audit/auditd.conf |grep max

如圖顯示最大日志為6M，可以自己修改文件，然后重啟auditd服務(wù)后生效。

三、查看并配置日志審計(jì)

1、查看日志文件權(quán)限，日志權(quán)限應(yīng)為600，僅root可讀寫(xiě)

使用下面命令

ls -l /var/log/

非600的文件，如wpa_supplicant.log 可以使用下面命令改為600

chmod 600 /var/log/wpa_supplicant.log

?復(fù)查

ls -l /var/log/wpa_supplicant.log

2、查看日志歸檔處理

確保存在/etc/logrotate.d/syslog文件

使用以下命令

ls /etc/logrotate.d/syslog

四、查看SSH認(rèn)證配置

1、檢查SSH配置文件權(quán)限

ls -l /etc/ssh/sshd_config

?其權(quán)限建議改為600，使用以下命令

chmod 600 /etc/ssh/ssd_conf

2、配置允許SSH允許的驗(yàn)證失敗次數(shù)

查看當(dāng)前配置

sshd -T |grep maxauthtries

如上圖顯示，默認(rèn)為6次登錄失敗后斷開(kāi)連接。
可以修改/etc/ssh/sshd_config文件的MaxAuthTires值進(jìn)行修改。

3、禁止空密碼登錄SSH

sshd -T | grep permitemptypasswords

4、查看SSH支持密碼算法，確保沒(méi)有md5 des等已經(jīng)不安全的算法

sshd -T | grep ciphers

五、認(rèn)證模塊配置

Linux的認(rèn)證模塊由PAM處理，PAM中可以配置認(rèn)證的賬號(hào)、密碼強(qiáng)度等操作。

1、密碼強(qiáng)度配置

vim /etc/security/pwquality.conf

將密碼最小設(shè)為10位，設(shè)置minlen = 10，密碼復(fù)雜度為4種類(lèi)型（包含大寫(xiě)字母、小寫(xiě)字母、數(shù)字、符號(hào)），設(shè)置minclass =4

如圖設(shè)置，設(shè)置后保存退出。

2、密碼過(guò)期時(shí)間設(shè)置

查看過(guò)期時(shí)間

grep ^\s*PASS_MAX_DAYS /etc/login.defs

默認(rèn)過(guò)期時(shí)間為9999天，修改相應(yīng)文件即可修改過(guò)期時(shí)間

3、查看用戶(hù)密碼過(guò)期時(shí)間

grep -E '^[^:]+:[^!*]' /etc/shadow | cut -d: -f1,5

?

修改root用戶(hù)過(guò)期時(shí)間為365天

chage --maxdays 365 root

4、自動(dòng)禁用賬號(hào)

useradd -D | grep INACTIVE

如圖顯示表示不會(huì)自動(dòng)禁用賬號(hào)

使用下面設(shè)置30天未使用的賬號(hào)自動(dòng)禁用

useradd -D -f 30

本實(shí)驗(yàn)為Centos的基本安全加固配置

總結(jié)

以上是生活随笔為你收集整理的基线管理之Centos安全配置的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。