基线管理之Centos安全配置

最新推荐文章于 2025-05-30 11:57:13 发布
最新推荐文章于 2025-05-30 11:57:13 发布
阅读量2.6k 收藏 2
点赞数 1
CC 4.0 BY-SA版权
文章标签: centos 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YUGUOHOU/article/details/121909585
该实验旨在通过配置Centos的网络、审计、日志、SSH及认证模块,加强系统安全。步骤包括关闭不必要的网络接口,禁止IP转发和数据包重定向,启用SYNcookies,检查和调整审计服务,确保日志文件权限安全,限制SSH登录失败次数,禁止空密码登录,并设置密码策略和过期时间。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

实验目的

        通过配置Centos配置文件,加强Centos默认安全配置。同时也是理解linux一切皆文件的思

想。尝试用shell脚本来处置Centos的安全配置。

实验原理

        Linux操作系统的配置基本上以配置文件展示,通过不同配置文件理解不同的配置。

实验步骤

一、网络配置

1、检查不用的连接

使用以下命令

ip link show up

        例如:下图发现有四个不同的连接,如果有需要关闭的接口,可以使用

ip link set down

 2、关闭IP转发

先查看ip转发配置

sysctl net.ipv4.ip_forward

        例如:下图查看发现为0,如果是1,可以使用命令改为0

sysctl -w  net.ipv4.ip_forward=0

3、关闭数据包重定向

查看数据包重定向设置

sysctl net.ipv4.conf.all.send_redirects

        例如:下图查看发现为1,可以使用命令改为0

sysctl -w  net.ipv4.conf.all.send_redirects=0

4、开启SYN cookies

查看syn cookies配置

sysctl net.ipv4.tcp_syncookies

        例如:下图发现为1,已经开启。如果为0,则使用下面命令改为1

sysctl -w net.ipv4.tcp_syncookies=1

二、查看审计服务

1、查看服务是否开启

systemctl status auditd

        例如:下图显示服务已经开启,如未开启可以使用下面命令开启

systemctl start auditd

2、查看审计日志大小

cat /etc/audit/auditd.conf |grep max

        例如:下图显示最大日志为8M,可以自己修改文件,然后重启auditd服务后生效。

三、查看并配置日志审计

1、查看日志文件权限,日志权限应为600,仅root可读写

使用下面命令

ls -l /var/log/

        例如:下图

2、查看日志归档处理

确保存在/etc/logrotate.d/syslog文件

使用以下命令

ls /etc/logrotate.d/syslog

        例如:下图

四、查看SSH认证配置

1、检查SSH配置文件权限

ls -l /etc/ssh/sshd_conf

        例如:下图显示权限为644,建议改为600,使用以下命令

chmod 600 /etc/ssh/ssd_conf

2、配置允许SSH允许的验证失败次数

查看当前配置

sshd -T |grep maxauthtries

         例如:下图显示,默认为3次登录失败后断开连接。可以修改/etc/ssh/sshd_config文件的

MaxAuthTires值进行修改。

3、禁止空密码登录SSH

sshd -T | grep permitemptypasswords

4、查看SSH支持密码算法,确保没有md5 des等已经不安全的算法

sshd -T | grep ciphers

五、认证模块配置

        Linux的认证模块由PAM处理,PAM中可以配置认证的账号、密码强度等操作。

1、密码强度配置

vim /etc/security/pwquality.conf

        例如:下图先进入文件位置,然后修改密码强度,这里自己修改即可,去掉首#号,可以把密

码设置为10位,设置minlen = 10(因为我这里没有改动 )将密码复杂度为4种类型(包含大写字

母、小写字母、数字、符号),设置minclass =4

                   然后保存配置退出

2、密码过期时间设置

查看过期时间

grep ^\s*PASS_MAX_DAYS /etc/login.defs

        例如:下图默认过期时间为9999天,修改相应文件即可修改过期时间

 3、查看用户密码过期时间

修改root用户过期时间

chage  --maxdays 365 root

        例如:下图设置密码过期时间

4、自动禁用账号

useradd -D | grep INACTIVE

        例如:下图查看不会自动禁用,然后设置30天自动禁用

useradd -D -f 30

linuxcentos)之useradd命令
河北强商网络科技有限公司官方博客
04-19 2142
useradd建立用户的过程 useradd不加任何参数创建用户时,系统首先读取添加用户配置文件/etc/login.defs和/etc/default/useradd,根据这两个配置文件中定义的规则添加用户,然后会向/etc/passwd和/etc/group文件添加用户用户组记录,同时/etc/passwd和/etc/group对应的加密文件也会自动生成记录,接着系统会自动在/etc/default/useradd文件设定的目录下建立用户主目录,最后复制/etc/skel目录中的所有文件到新用户的主目
Linux安全加固
个人博客
12-06 4350
Linux安全加固 文章目录Linux安全加固账号和口令sudo安全环境变量sysctl认证授权SSH服务安全SSH加固安全登陆安全验证登录后PAM配置at和crontab文件文件权限标准审计auditrsyslogjournald应用 本文规定了LINUX操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。 账号和口令 1.应用账户禁止拥有登录系统权限 2.设置锁定在指定时间内不活跃的用户 验证命令:useradd -D |
Linux新建用户
白宇 的博客
12-28 712
useradd 选项 写道 选项: -b, --base-dir BASE_DIR 新账户的主目录的基目录 -c, --comment COMMENT 新账户的 GECOS 字段 -d, --home-dir HOME_DIR 新账户的主目录 -D, --defaults 显示或更改默认的 useradd 配置 -e, --expiredate EXPIRE_DATE 新账户的过期日期 -f...
Linux安装audit审计软件
最新发布
Skywither的博客
05-30 251
摘要:本文介绍了在Ubuntu和Debian系统中安装配置auditd服务的方法。首先使用apt安装auditd软件包,然后通过systemctl命令启动服务、查看状态和设置开机自启。主要操作包括:更新软件源、安装auditd、启动服务、检查状态以及配置自启动等基本系统管理步骤。
Linux安全基线(三)配置6小项
bigwood99的博客
09-27 5031
通过将net.ipv4.conf.all.accept_redirects和设置net.ipv6.conf.all.accept_redirects为0,系统将不接受任何ICMP重定向消息,因此,不允许外部人员更新系统的路由表。它的流行和实用性使基于USB的恶意软件成为网络渗透的一种简单而通用的手段。在网络中,源路由允许发送者部分或完全指定通过网络的路由数据包。相反,非源路由数据包将通过网络中的路由器确定的路径。在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件文件。
构建企业安全存储
m0_49246516的博客
01-13 3329
在系统中完成以下用户操作 1.建立用户组Manufacture,Finance,Technology并满足以下要求 *Manufactu re组id为8000 *Finance组id为8001 *Technology组id为8002 2.建立westosuser ,linux,lee , westosadmin等用户完成以下要求 *westosuser用户的附加组为Manufacture和Technology * lee的主组为Finance附加组为Technology,lee的uid和gid必须一致
linux负载均衡部署步骤,在Linux下搭建集群负载均衡系统
weixin_35802571的博客
05-14 664
搭建集群负载均衡系统负载均衡集群是在应用服务器高负载的情况下,由多台节点提供可伸缩的,高负载的服务器组以保证对外提供良好的服务响应;而LVS就是实现这一功能的技术.实际上LVS是一种Linux操作系统上基于IP层的负载均衡调度技术,它在操作系统核心层上,将来自IP层的TCP/UDP请求均衡地转移到不同的服务器,从而将一组服务器构成一个高性能、高可用的虚拟服务器。使用三台机器就可以用LVS实现最简单...
Linux SSH安全之禁用CBC模式(SSH Server CBC Mode Ciphers)
promise524的博客
12-04 1537
被认为存在安全隐患(例如可能被攻击者利用来进行Padding Oracle攻击)。确保使用最新版本的OpenSSH,旧版本可能支持不安全的算法。该工具可以详细列出SSH服务的加密算法及其安全性。等信息,则说明SSH服务支持CBC模式加密。检查输出中是否列出了CBC模式加密算法。如果发现仍然支持CBC模式,重新检查。确保输出中显示的加密算法为非。相关算法,则需要进行修复。在Linux系统中,
linux net.ipv4.ip_forward 数据包转发
热门推荐
whatday的专栏
05-09 4万+
出于安全考虑,Linux系统默认是禁止数据包转发的。所谓转发即当主机拥有多于一块的网卡时,其中一块收到数据包,根据数据包的目的ip地址将数据包发往本机另一块网卡,该网卡根据路由表继续发送数据包。这通常是路由器所要实现的功能。 要让Linux系统具有路由转发功能,需要配置一个Linux的内核参数net.ipv4.ip_forward。这个参数指定了Linux系统当前对路由转发功能的支持情况;其值为0时表示禁止进行IP转发;如果是1,则说明IP转发功能已经打开。 要配置Linux内核中的net.ipv4.i
Linux系统的几个重要内核参数
大叶子不小的博客
08-14 435
开启syncookies后,当SYN队列满了后,TCP会通过原地址端口,目的地址端口和时间戳打造一个特别的Sequence Number(又叫cookie发回去,如果是攻击者则不会有响应,如果是正常连接则把这个SYNCookie发回来,然后服务器端可以通过cookie建立连接(即使不在SYN队列)。#此参数默认值60,TCP保持在FIN_WAIT2状态的时间,超时后直接处于CLOSED,所以降低tcp_fin_timeout有助于减少TIME_WAIT数量。#此参数应该设置为1,防止SYN Flood。
/etc/sysctl.conf的参数
影子
09-21 2515
我们公司最近Android部分用户不能连接服务器移动、电信、联通都出现了问题,ios却是可以连接服务器,很稳定,找了很多关于后端的问题,基本都没啥问题,最后发现Android里面每次请求服务器都要ping一下www.baidu.com ,ios则是ping的我们服务器。故当我们在使用阿里云的VPC虚拟专网的时候,使用弹性IP接入,一定要注意NAT的问题,在服务器参数上关闭net.ipv4.tcp_tw_recycle。允许将TIME-WAIT sockets重新用于新的TCP连接,默认为0,表示关闭。
proc/sys/net/ipv4/tcp_syncookies
Java程序员的知识博客
06-10 627
安全性的角度来看,最好保持它为on,即将value设置为1。但是,关掉它是很安全的。参见:tcp_max_syn_backlog、tcp_synack_retries、tcp_abort_on_overflow。tcp_syncookies是一个开关,是否打开SYN Cookie功能,该功能可以防止部分SYN攻击。tcp_synack_retries 和 tcp_syn_retries定义SYN的重试次数。日志中的SYN flood警告,但是没有真正淹没,应该是你的服务器。因为超载的合法连接,
lvs+keepalived要点详解二
qq_37369726的博客
11-06 901
一.nat模式 nat模式原理中的要点: 请求到达调度器,ipvs对比数据包请求是否为集群服务,若是,修改数据包的目标ip地址为后端服务器ip,然后将数据包发至POSTROUTING链。此时报文的源ip为cip(客户端),目标ip为Rip(后端真实) 返回时: 调度器将源ip修改为自己的vip,然后相应给客户端。此时报文的源ip为vip,目标ip为cip。 要点一:icmp重定向 icmp重定向...
useradd命令详解
huangbaokang的博客
06-22 2626
useradd是Linux添加新用户的命令,这个命令提供了一次性创建新用户账户及设置用户HOME目录结构的简便方法。 1、useradd命令加参数-D参看系统的默认值: # useradd -D GROUP=100 HOME=/home INACTIVE=-1 EXPIRE= SHELL=/bin/bash SKEL=/etc/skel CREATE_MAIL_SPOOL=ye...
用户管理(1)---useradd
_今已亭亭如盖矣
09-20 2234
useradd命令useradd用户管理命令。帐号建立或更新新用户资讯的工具。当使用useradd命令不加参数选项,后面直接跟所添加的用户名时,系统首先会读取配置文件/etc/login.defs和/etc/default/useradd中所定义的参数或规则,根据设置的规则添加用户,同时会向/etc/passwd和/etc/group文件内添加新建用户用户组记录。/etc/passwd和/etc/
useradd命令使用方法与解释
qq_43058317的博客
11-19 1749
useradd [root@node5 ~]# useradd --help Usage: useradd [options] LOGIN useradd -D useradd -D [options] Options: -b, --base-dir BASE_DIR base directory for the home directory of the new account -c, --comment COMMENT GECOS field of the new accou
centos基线配置
09-06
CentOS基线配置是指在安装和配置CentOS操作系统时的一些基本设置和安全性要求。这些设置有助于确保系统的稳定性、安全性和性能。 以下是一些常见的CentOS基线配置建议: 1. 安装最新的CentOS版本:始终使用最新的CentOS版本,以获取最新的安全补丁和功能。 2. 禁用不必要的服务:只启用需要的服务,禁用不使用或不必要的服务。可以使用服务管理工具(如systemctl)来管理服务。 3. 更新系统补丁:定期更新系统补丁以修复安全漏洞和改善性能。 4. 配置防火墙:启用并配置防火墙以限制对系统的访问。使用Firewalld或iptables进行防火墙配置。 5. 使用强密码策略:对于用户账户,强制使用复杂的密码,并定期更改密码。 6. 禁用root远程登录:禁用root用户的远程登录,并使用普通用户登录系统后再切换到root用户。 7. 配置SSH安全:限制SSH访问,例如禁用root用户的SSH登录、使用公钥认证等。 8. 安装安全更新和工具:安装常用的安全更新和工具,如SELinux、OpenSSL等,以提高系统的安全性。 9. 监控和日志记录:配置系统监控和日志记录,以便及时发现和解决潜在的安全问题。 10. 定期备份数据:定期备份重要的系统和用户数据,以防止数据丢失或损坏。 这些是一些常见的CentOS基线配置建议,根据实际需求和安全要求,您可能需要进行适当调整和定制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YUGUOHOU

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值