實驗目的

通過配置Centos配置文件，加強Centos默認安全配置。同時也是理解linux一切皆文件的思想。嘗試用shell腳本來處置Centos的安全配置。

實驗環境

一臺Centos 7.2 無需其他環境。

實驗原理

Linux操作系統的配置基本上以配置文件展示，通過不同配置文件理解不同的配置。

實驗步驟

一、網絡配置

1、檢查不用的連接

運行以下命令

ip link show up

?如圖，發現有兩個連接一個為lo，一個為eth0

若有需要關閉的接口，可以使用

ip link set down

2、關閉IP轉發

先查看ip轉發配置

sysctl net.ipv4.ip_forward

查看發現為0，若是1，可以使用下面命令改為0

sysctl -w net.ipv4.ip_forward=0

3、關閉數據包重定向

查看數據包重定向設置

sysctl net.ipv4.conf.all.send_redirects

查看發現為1，可以使用下面命令改為0

sysctl -w net.ipv4.conf.all.send_redirects=0

4、開啟SYN cookies

查看syn cookies配置

sysctl net.ipv4.tcp_syncookies

發現為1，已經開啟。若為0，則使用下面命令改為1

sysctl -w net.ipv4.tcp_syncookies=1

二、查看審計服務

1、查看服務是否開啟

systemctl status auditd

如上圖顯示服務已經開啟，如未開啟可以使用下面命令開啟

systemctl start auditd

2、查看審計日志大小

cat /etc/audit/auditd.conf |grep max

如圖顯示最大日志為6M，可以自己修改文件，然后重啟auditd服務后生效。

三、查看并配置日志審計

1、查看日志文件權限，日志權限應為600，僅root可讀寫

使用下面命令

ls -l /var/log/

非600的文件，如wpa_supplicant.log 可以使用下面命令改為600

chmod 600 /var/log/wpa_supplicant.log

?復查

ls -l /var/log/wpa_supplicant.log

2、查看日志歸檔處理

確保存在/etc/logrotate.d/syslog文件

使用以下命令

ls /etc/logrotate.d/syslog

四、查看SSH認證配置

1、檢查SSH配置文件權限

ls -l /etc/ssh/sshd_config

?其權限建議改為600，使用以下命令

chmod 600 /etc/ssh/ssd_conf

2、配置允許SSH允許的驗證失敗次數

查看當前配置

sshd -T |grep maxauthtries

如上圖顯示，默認為6次登錄失敗后斷開連接。
可以修改/etc/ssh/sshd_config文件的MaxAuthTires值進行修改。

3、禁止空密碼登錄SSH

sshd -T | grep permitemptypasswords

4、查看SSH支持密碼算法，確保沒有md5 des等已經不安全的算法

sshd -T | grep ciphers

五、認證模塊配置

Linux的認證模塊由PAM處理，PAM中可以配置認證的賬號、密碼強度等操作。

1、密碼強度配置

vim /etc/security/pwquality.conf

將密碼最小設為10位，設置minlen = 10，密碼復雜度為4種類型（包含大寫字母、小寫字母、數字、符號），設置minclass =4

如圖設置，設置后保存退出。

2、密碼過期時間設置

查看過期時間

grep ^\s*PASS_MAX_DAYS /etc/login.defs

默認過期時間為9999天，修改相應文件即可修改過期時間

3、查看用戶密碼過期時間

grep -E '^[^:]+:[^!*]' /etc/shadow | cut -d: -f1,5

?

修改root用戶過期時間為365天

chage --maxdays 365 root

4、自動禁用賬號

useradd -D | grep INACTIVE

如圖顯示表示不會自動禁用賬號

使用下面設置30天未使用的賬號自動禁用

useradd -D -f 30

本實驗為Centos的基本安全加固配置

總結

以上是生活随笔為你收集整理的基线管理之Centos安全配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。