CentOS安全配置,centos配置一、系统安全记录文件

CentOS安全配置,centos配置一、系统安全记录文件

注：以下全部内容来源于《熟悉linux系统安全与优化》一书部分节选。

一、系统安全记录文件

#more /var/log/secure

统计访问IP及次数。

#grep -oP '(d+.){3}d+' /var/log/secure |sort |uniq -c

二、启动和登录安全性

1．用户口令

修改改密码长度/etc/login.defs

#vi /etc/login.defs

PASS_MIN_LEN 8

2．注释掉不需要的用户和用户组

vi /etc/passwd

vi /etc/group

3．口令文件

chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

#chattr +i /etc/passwd

#chattr +i /etc/shadow

#chattr +i /etc/group

#chattr +i /etc/gshadow

4．禁止CtrlAltDelete重新启动机器命令

修改/etc/inittab文件，将ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉。

然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限，运行如下命令：

#chmod -R 700 /etc/rc.d/init.d/*

这样便仅有root可以读、写或执行上述所有脚本文件。

5．限制su命令

当不想任何人能够su作为root，可以编辑/etc/pam.d/su文件，增加如下两行：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=isd

这时，仅isd组的用户可以su作为root。此后，如果希望用户admin能够su作为root，可以运行如下命令：

#usermod -G10 admin

6 . 更改SSH端口，最好改为10000以上，别人扫描到端口的机率也会下降

不允许使用低版本的SSH协议

vi /etc/ssh/ssd_config

将#protocol2,1

改为protocol2

将PORT改为1000以上端口

vi /etc/ssh/sshd_config

Port 10000

同时，创建一个普通登录用户，并取消直接root登录

useradd 'username'

passwd 'username'

vi /etc/ssh/sshd_config

PermitRootLogin no

＃取消root直接远程登录

7 . 关闭那些不需要的服务,记住少开一个服务，就少一个危险。

以下仅列出需要启动的服务，未列出的服务一律关闭：

#setup

acpid

anacron

cpuspeed

crond

irqbalance仅当服务器CPU为S.M.P架构或支持双核心、HT技术时，才需开启，否则关闭。

microcode_ctl

network

random

sendmail

sshd

syslog

yum-updatesd

8 . 启用iptables防火墙，对增加系统安全有许多好处。设置好防火墙的规则。

/etc/init.d/iptables start

三、限制网络访问

1．NFS访问

使用NFS网络文件系统服务，应该确保/etc/exports具有最严格的访问权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。

/dir/to/export host1.mydomain.com(ro，root_squash)

/dir/to/export host2.mydomain.com(ro，root_squash)

/dir/to/export是想输出的目录，host.mydomain.com是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命令。

#/usr/sbin/exportfs-a

2．TCP_WRAPPERS设置

默认情况下，多数Linux系统允许所有的请求，而用TCP_WRAPPERS增强系统安全性是举手之劳，可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。例如，将/etc/hosts.deny设为”ALL:ALL”可以默认拒绝所有访问，然后在/etc/hosts.allow文件中添加允许的访问。

例如，”sshd:192.168.10.10/255.255.255.0 gate.openarch.com”表示

允许IP地址192.168.10.10和主机名gate.openarch.com允许通过SSH连接。

3．登录终端设置

/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，可以编辑/etc/securetty且注释掉如下的行。

tty1

#tty2

#tty3

#tty4

#tty5

#tty6

这时，root仅可在tty1终端登录。

四、防止攻击

1．阻止ping如果没人能ping通系统，安全性自然增加了，为此，我们可以在/etc/rc.d/rc.local文件中增加如下一行

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

2．防止IP欺骗

编辑host.conf文件并增加如下几行来防止IP欺骗攻击。

order bind，hosts 解析顺序

multi on 允许多面网络（多网卡开启）

nospoof on 拒绝IP欺骗

3．防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。

例如，可以在/etc/security/limits.conf中添加如下几行：

* hard core 0

* hard rss 5000

* hard nproc 20

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

session required /lib/security/pam_limits.so

core 0 表示禁止创建core文件，

nproc 20 把最多的进程数限制到20

* 表示登录到系统的所有用户

rss 5000 表示除了root之外，其它用户最多只能用5M内存。这样可以更好的控制系统中用户对进程、core文件和内存的使用情况。