CentOS服务器的加固方案
>>>Centos賬戶安全
對Centos的加固首先要控制用戶的權限,用戶權限主要涉及到/etc下的/passwd,/shadow和/group三個文件
/passwd文件主要是存儲了一些用戶信息:
文件每一行以:分隔了7列,分別代表了“用戶名稱:密碼占位符:賬戶UID:賬戶GID(組):賬戶附加信息(全名):該賬戶的home目錄:該賬戶登陸后執行的命令(/sbin/nologin表示該賬戶不能登錄系統)”
/shadow文件存儲的是用戶加密后的登錄密碼
!!符號說明該用戶被鎖定,不能登錄系統
/group文件存儲的是用戶組的信息:
/group文件也是以:分隔開,每列的含義是“組名(不能重復):口令(一般為空x):GID(組號):組內用戶列表(user1,user2,user3...)”
加固方法:
1.先在root權限下通過cat查看三個文件夾,獲取該服務器的用戶權限,在/etc/passwd文件中,若第三列(uid)為0,則表示該用戶為surper user
2.對/etc/passwd和/etc/shadow文件進行備份:cp /etc/passwd /etc/passwd_back
3.修改用戶權限,保證root用戶是唯一的surper user,使用命令鎖定不必要的用戶:passwd -l <用戶名>,解鎖用戶:passwd -u <用戶名>
建議:將備份的文件存儲到U盤之類的存儲介質中,一旦系統出現和用戶相關的故障時,可以及時用原文件替換:mv /etc/passwd_back /etc/passwd
>>>系統口令策略
加固方法:
1.先查看密碼策略的設置:cat /etc/login.defs | grep PASS
2.把原文件做一個備份:cp -p /etc/login.defs /etc/login.defs_back
3.修改配置文件:
PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數
PASS_MIN_DAYS 0??? #新建用戶的密碼最短使用天數
PASS_WARN_AGE 7? #新建用戶的密碼到期提前提醒天數
PASS_MIN_LEN 9????? #最小密碼長度為9
>>>限制能夠su為root的用戶
1.root權限下使用命令cat /etc/pam.d/s查看是否有auth required /lib/security/pam_wheel.so這種配置的
2.備份原文件:cp -p /etc/pam.d /etc/pam.d_bak
3.在頭部添加:auth required /lib/security/pam_wheel.so group=wheel(這樣就只有wheel組的用戶可以su到root)
可以使用usermod -G10 test將test用戶加入到wheel組
>>>檢查shadow中的空口令賬號
1.檢查:awk -F:'($2 == "") {print $1}' /etc/shadow
2.備份:cp -p /etc/shadow /etc/shadow_bak
3.鎖定空口令賬號或要求增加密碼
>>>最小化服務
停止或禁用與承載業務無關的服務的加固方法:
2.查看當前init級別:who -r 或runlevel
3.查看所有服務的狀態:chkconfig --list
4.設置服務在個init級別下開機是否啟動:chkconfig --level <服務名> on|off|reset
三、數據訪問控制
3.1 設置合理的初始文件權限
檢查方法:
#cat /etc/profile 查看umask的值
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
umask=027
風險:會修改新建文件的默認權限,如果該服務器是WEB應用,則此項謹慎修改。
四、網絡訪問控制
4.1 使用SSH進行管理
檢查方法:
#ps –aef | grep sshd 查看有無此服務
備份方法:
加固方法:
使用命令開啟ssh服務
#service sshd start
風險:改變管理員的使用習慣
4.2 設置訪問控制策略限制能夠管理本機的IP地址
檢查方法:
#cat /etc/ssh/sshd_config 查看有無AllowUsers的語句
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config,添加以下語句
AllowUsers *@10.138.*.* 此句意為:僅允許10.138.0.0/16網段所有用戶通過ssh訪問
保存后重啟ssh服務
#service sshd restart
風險:需要和管理員確認能夠管理的IP段
4.3 禁止root用戶遠程登陸
檢查方法:
#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config
PermitRootLogin no
保存后重啟ssh服務
service sshd restart
風險:root用戶無法直接遠程登錄,需要用普通賬號登陸后su
4.4 限定信任主機
檢查方法:
#cat /etc/hosts.equiv 查看其中的主機
#cat /$HOME/.rhosts 查看其中的主機
備份方法:
#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak
加固方法:
#vi /etc/hosts.equiv 刪除其中不必要的主機
#vi /$HOME/.rhosts 刪除其中不必要的主機
風險:在多機互備的環境中,需要保留其他主機的IP可信任。
4.5 屏蔽登錄banner信息
檢查方法:
#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段,或banner字段為NONE
#cat /etc/motd 查看文件內容,該處內容將作為banner信息顯示給登錄用戶。
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
#cp -p /etc/motd /etc/motd_bak
加固方法:
#vi /etc/ssh/sshd_config
banner NONE
#vi /etc/motd
刪除全部內容或更新成自己想要添加的內容
風險:無可見風險
4.6 防止誤使用Ctrl+Alt+Del重啟系統
檢查方法:
#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被注釋
備份方法:
#cp -p /etc/inittab /etc/inittab_bak
加固方法:
#vi /etc/inittab
在行開頭添加注釋符號“#”
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
風險:無可見風險
五、用戶鑒別
5.1 設置帳戶鎖定登錄失敗鎖定次數、鎖定時間
檢查方法:
#cat /etc/pam.d/system-auth 查看有無auth required pam_tally.so條目的設置
備份方法:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
加固方法:
#vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設置為密碼連續錯誤6次鎖定,鎖定時間300秒
解鎖用戶 faillog -u -r
風險:需要PAM包的支持;對pam文件的修改應仔細檢查,一旦出現錯誤會導致無法登陸;
當系統驗證出現問題時,首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息,根據這些信息判斷用戶賬號的有效性。
5.2 修改帳戶TMOUT值,設置自動注銷時間
檢查方法:
#cat /etc/profile 查看有無TMOUT的設置
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
增加
TMOUT=600 無操作600秒后自動退出
風險:無可見風險
5.3 Grub/Lilo密碼
檢查方法:
#cat /etc/grub.conf|grep password 查看grub是否設置密碼
#cat /etc/lilo.conf|grep password 查看lilo是否設置密碼
備份方法:
#cp -p /etc/grub.conf /etc/grub.conf_bak
#cp -p /etc/lilo.conf /etc/lilo.conf_bak
加固方法:為grub或lilo設置密碼
風險:etc/grub.conf通常會鏈接到/boot/grub/grub.conf
5.4 限制FTP登錄
檢查方法:
#cat /etc/ftpusers 確認是否包含用戶名,這些用戶名不允許登錄FTP服務
備份方法:
#cp -p /etc/ftpusers /etc/ftpusers_bak
加固方法:
#vi /etc/ftpusers 添加行,每行包含一個用戶名,添加的用戶將被禁止登錄FTP服務
風險:無可見風險
5.5 設置Bash保留歷史命令的條數
檢查方法:
#cat /etc/profile|grep HISTSIZE=
#cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
修改HISTSIZE=5和HISTFILESIZE=5即保留最新執行的5條命令
風險:無可見風險
六、審計策略
6.1 配置系統日志策略配置文件
檢查方法:
#ps –aef | grep syslog 確認syslog是否啟用
#cat /etc/syslog.conf 查看syslogd的配置,并確認日志文件是否存在
系統日志(默認)/var/log/messages
cron日志(默認)/var/log/cron
安全日志(默認)/var/log/secure
備份方法:
#cp -p /etc/syslog.conf
6.2 為審計產生的數據分配合理的存儲空間和存儲時間
檢查方法:
#cat /etc/logrotate.conf 查看系統輪詢配置,有無
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4 的配置
備份方法:
#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak
加固方法:
#vi /etc/logrotate.d/syslog
增加
rotate 4 日志文件保存個數為4,當第5個產生后,刪除最早的日志
size 100k 每個日志的大小
加固后應類似如下內容:
/var/log/syslog/*_log {missingoknotifemptysize 100k # log files will be rotated when they grow bigger that 100k.rotate 5 # will keep the logs for 5 weeks.compress # log files will be compressed.sharedscriptspostrotate/etc/init.d/syslog condrestart >/dev/null 2>1 || trueendscript}
1、主機名設置
[root@localhost~]# vi /etc/sysconfig/network
HOSTNAME=test.com
[root@localhost~]# hostname test.com #臨時生效
2、關閉SELinux
[root@localhost~]# vi /etc/selinux/config
SELINUX=disabled
[root@localhost~]# setenforce #臨時生效
[root@localhost~]# getenforce #查看selinux狀態
3、清空防火墻并設置規則
[root@localhost~]# iptables -F #清楚防火墻規則 [root@localhost~]# iptables -L #查看防火墻規則 [root@localhost~]# iptables -A INPUT -p tcp --dport 80 -j ACCEPT [root@localhost~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT [root@localhost~]# iptables -A INPUT -p tcp --dport 53 -j ACCEPT [root@localhost~]# iptables -A INPUT -p udp --dport 53 -j ACCEPT [root@localhost~]# iptables -A INPUT -p udp --dport 123 -j ACCEPT [root@localhost~]# iptables -A INPUT -p icmp -j ACCEPT [root@localhost~]# iptables -P INPUT DROP [root@localhost~]# /etc/init.d/iptables save
#根據需求開啟相應端口
4、添加普通用戶并進行sudo授權管理
[root@localhost~]# useradd user
[root@localhost~]# echo "123456" | passwd --stdin user #設置密碼
[root@localhost~]# vi /etc/sudoers #或visudo打開,添加user用戶所有權限 root ALL=(ALL)
ALL user ALL=(ALL) ALL
5、禁用root遠程登錄
[root@localhost~]# vi /etc/ssh/sshd_config
PermitRootLoginno
PermitEmptyPasswords no #禁止空密碼登錄
UseDNSno #關閉DNS查詢
6、關閉不必要開機自啟動服務
7、刪除不必要的系統用戶
8、關閉重啟ctl-alt-delete組合鍵
[root@localhost ~]# vi /etc/init/control-alt-delete.conf #exec /sbin/shutdown -r now "Control-Alt-Deletepressed" #注釋掉
9、調整文件描述符大小
[root@localhost ~]# ulimit –n #默認是1024 1024
[root@localhost ~]# echo "ulimit -SHn 102400">> /etc/rc.local #設置開機自動生效
10、去除系統相關信息
[root@localhost ~]# echo "Welcome to Server" >/etc/issue
[root@localhost ~]# echo "Welcome to Server" >/etc/redhat-release
11、修改history記錄
[root@localhost ~]# vi /etc/profile #修改記錄10個 HISTSIZE=10
12、同步系統時間
[root@localhost ~]# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtime #設置Shanghai時區 [root@localhost ~]# ntpdate cn.pool.ntp.org ;hwclock–w #同步時間并寫入blos硬件時間 [root@localhost ~]# crontab –e #設置任務計劃每天零點同步一次 0 * * * * /usr/sbin/ntpdate cn.pool.ntp.org ; hwclock -w
13、內核參數優化
[root@localhost ~]# vi /etc/sysctl.conf #末尾添加如下參數 net.ipv4.tcp_syncookies = 1 #1是開啟SYN Cookies,當出現SYN等待隊列溢出時,啟用Cookies來處,理,可防范少量SYN攻擊,默認是0關閉 net.ipv4.tcp_tw_reuse = 1 #1是開啟重用,允許講TIME_AIT sockets重新用于新的TCP連接,默認是0關閉 net.ipv4.tcp_tw_recycle = 1 #TCP失敗重傳次數,默認是15,減少次數可釋放內核資源 net.ipv4.ip_local_port_range = 4096 65000 #應用程序可使用的端口范圍 net.ipv4.tcp_max_tw_buckets = 5000 #系統同時保持TIME_WAIT套接字的最大數量,如果超出這個數字,TIME_WATI套接字將立刻被清除并打印警告信息,默認180000 net.ipv4.tcp_max_syn_backlog = 4096 #進入SYN寶的最大請求隊列,默認是1024 net.core.netdev_max_backlog = 10240 #允許送到隊列的數據包最大設備隊列,默認300 net.core.somaxconn = 2048 #listen掛起請求的最大數量,默認128 net.core.wmem_default = 8388608 #發送緩存區大小的缺省值 net.core.rmem_default = 8388608 #接受套接字緩沖區大小的缺省值(以字節為單位) net.core.rmem_max = 16777216 #最大接收緩沖區大小的最大值 net.core.wmem_max = 16777216 #發送緩沖區大小的最大值 net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手狀態重試次數,默認5 net.ipv4.tcp_syn_retries = 2 #向外SYN握手重試次數,默認4 net.ipv4.tcp_tw_recycle = 1 #開啟TCP連接中TIME_WAIT sockets的快速回收,默認是0關閉 net.ipv4.tcp_max_orphans = 3276800 #系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上,如果超出這個數字,孤兒連接將立即復位并打印警告信息 net.ipv4.tcp_mem = 94500000 915000000 927000000 net.ipv4.tcp_mem[0]:低于此值,TCP沒有內存壓力; net.ipv4.tcp_mem[1]:在此值下,進入內存壓力階段; net.ipv4.tcp_mem[2]:高于此值,TCP拒絕分配socket。內存單位是頁,可根據物理內存大小進行調整,如果內存足夠大的話,可適當往上調。上述內存單位是頁,而不是字節。
?
轉載于:https://www.cnblogs.com/sherlock17/p/6879748.html
總結
以上是生活随笔為你收集整理的CentOS服务器的加固方案的全部內容,希望文章能夠幫你解決所遇到的問題。
