基线管理之Centos安全配置

最新推荐文章于 2023-12-24 11:43:14 发布
原创 最新推荐文章于 2023-12-24 11:43:14 发布 · 2.6k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos #安全 #linux

该实验旨在通过配置Centos的网络、审计、日志、SSH及认证模块,加强系统安全。步骤包括关闭不必要的网络接口,禁止IP转发和数据包重定向,启用SYNcookies,检查和调整审计服务,确保日志文件权限安全,限制SSH登录失败次数,禁止空密码登录,并设置密码策略和过期时间。

实验目的

        通过配置Centos配置文件,加强Centos默认安全配置。同时也是理解linux一切皆文件的思

想。尝试用shell脚本来处置Centos的安全配置。

实验原理

        Linux操作系统的配置基本上以配置文件展示,通过不同配置文件理解不同的配置。

实验步骤

一、网络配置

1、检查不用的连接

使用以下命令

ip link show up

        例如:下图发现有四个不同的连接,如果有需要关闭的接口,可以使用

ip link set down

 2、关闭IP转发

先查看ip转发配置

sysctl net.ipv4.ip_forward

        例如:下图查看发现为0,如果是1,可以使用命令改为0

sysctl -w  net.ipv4.ip_forward=0

最低0.47元/天 解锁文章
centos | centos 设置用户有效期
@范恒宾的博客
07-16 5377
一、chage 命令用法 chage:密码失效是通过此命令来管理的。   参数意思:   -m 密码可更改的最小天数。为零时代表任何时候都可以更改密码。   -M 密码保持有效的最大天数。   -W 用户密码到期前,提前收到警告信息的天数。   -E 帐号到期的日期。过了这天,此帐号将不可用。   -d 上一次更改的日期   -I 停滞时期。如果一个密码已过期这些天,那么此帐号将不可用。   -l 例出当前的设置。由非特权用户来确定他们的密码或帐号何时过期 二、设置用户有效期 1.前提要素   首先
Linux访问身份验证和授权
cainiao17441898的博客
11-23 4721
文章目录SSH服务配置补充设置是否使用基于主机的验证禁止解析SSH环境变量使用经过校验的MAC算法设置登录SSH提示信息配置PAM密码安全策略创建一定强度的密码 SSH服务配置补充 设置是否使用基于主机的验证 描述: HostbasedAuthentication参数指定是否允许可信主机通过rhosts或/etc/hosts. equiv胪进行身份验证以及成功的公钥落户机主机身份验证。此选项只适用于SSH V2版本。 配置: 编辑/etc/ssh/sshd_ config文件来设置如下所示参数: Host
Linux安全加固
个人博客
12-06 4385
Linux安全加固 文章目录Linux安全加固账号和口令sudo安全环境变量sysctl认证授权SSH服务安全SSH加固安全登陆安全验证登录后PAM配置at和crontab文件文件权限标准审计auditrsyslogjournald应用 本文规定了LINUX操作系统主机应当遵循的操作系统安全性设置标准,本文档旨在指导系统管理人员或安全检查人员进行LINUX 操作系统的安全合规性检查和配置。 账号和口令 1.应用账户禁止拥有登录系统权限 2.设置锁定在指定时间内不活跃的用户 验证命令:useradd -D |
Linux useradd与用户管理相关的配置文件
OS4key
08-14 3354
一、Linux useradd与用户管理相关的配置文件; 1、/etc/passwd 和/etc/groups我们对用户用户组进行添加、修改、删除最终目的是修改系统用户 /etc/passwd和其加密资讯文件 /etc/shadows 以及用户组的 /etc/groups和其加密资讯文件/etc/gshadow。 2、超级权限控制sudo 的配置文件 /etc/sudoers
系统内核参数配置
Cookie_1030的专栏
03-24 889
cp -p /proc/sys/net/ipv4/conf/all/accept_redirects /proc/sys/net/ipv4/conf/all/accept_redirects.bak sysctl -w net.ipv4.conf.all.accept_redirects="0"
linux开启内部路由转发、关闭ICMP重定向功能
热门推荐
wangfei111g的博客
07-20 2万+
一、开启路由转发 转自http://blog.51cto.com/zouqingyun/1697571 一组内部机器需要连接外网,则需要找一台机器,即可以连接外网,内网机器也可以连接。 因此将这台外网机器当做路由器,做路由转发 1、在需要做路由转发的机器上执行下面命令 1  [root@shx ~]# echo 1 > /proc/sys/net/ip...
Linux新建用户
白宇 的博客
12-28 733
useradd 选项 写道 选项: -b, --base-dir BASE_DIR 新账户的主目录的基目录 -c, --comment COMMENT 新账户的 GECOS 字段 -d, --home-dir HOME_DIR 新账户的主目录 -D, --defaults 显示或更改默认的 useradd 配置 -e, --expiredate EXPIRE_DATE 新账户的过期日期 -f...
Linux 系统管理命令之 useradd 命令
小白嵌入式学习的博客
08-15 1704
Linux 系统管理命令之 useradd 命令。
Linux安全基线(三)配置6小项
bigwood99的博客
09-27 5160
通过将net.ipv4.conf.all.accept_redirects和设置net.ipv6.conf.all.accept_redirects为0,系统将不接受任何ICMP重定向消息,因此,不允许外部人员更新系统的路由表。它的流行和实用性使基于USB的恶意软件成为网络渗透的一种简单而通用的手段。在网络中,源路由允许发送者部分或完全指定通过网络的路由数据包。相反,非源路由数据包将通过网络中的路由器确定的路径。在/etc/modprobe.d/目录中编辑或创建以.conf结尾的文件文件。
Linux-04-文件管理(包括压缩与打包)、用户管理、提取IP地址
Hi文的博客
10-09 780
一、文件管理 1.目录结构 2.基础命令 cd pwd touch mkdir cp mv rm ls cat head tail less more rz sz wget vim 3.压缩与打包 (1)什么是压缩包? 压缩包是一个特殊的文件,将多个文件或目录整合在一个文件中. (2)为什么要使用压缩包? 1.便于传输 2.压缩后的体积会变小. 28GB文件 ---> 6GB (3)实现打包与压缩有哪些工具: Windows: zip tar Linux: z
LVS/DR实战篇 (三)
bpb_cx的博客
08-10 846
一、LVS/DR的工作原理 1. 重将请求报文的目标MAC地址设定为挑选出的RS的MAC地址  当用户请求到达Director Server,此时请求的数据报文会先到内核空间的PREROUTING链。 此时报文的源IP为CIP,目标IP为VIP  PREROUTING检查发现数据包的目标IP是本机,将数据包送至INPUT链  IPVS比对数据包请求的服务是否为集群服务,若是,将请求报文...
linux 命令规定,linux命令技巧
weixin_42503446的博客
04-30 583
1、关于arp协议:关于arp命令,注意其中的Flags,如果是C,表示是动态的,但是如果使用arp -s 来绑定的话则是显示M,是静态所以后边每个侦都需要加入填充字符以达到以太网的最小长度要求60字节。大多数的bsd实现把完成tcp连接请求的时间限制设置为75秒。1byte=8bit2、关于tcpdump想输出点分十进制:tcpdump -n ***想输出mac地址:tcpdump -e ***...
linux关闭网络重定向,Linux Centos7禁止转发ICMP重定向报文
weixin_29482557的博客
05-04 2296
加固建议: 在 /etc/sysctl.conf 或 /etc/sysctl.d/* 文件中设置以下参数:net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.default.send_redirects = 0运行以下命令来设置活动的内核参数:$ sysctl -w net.ipv4.conf.all.send_redirects=0$ sysctl...
Linux命令之useradd
weixin_43094061的博客
02-25 2015
useradd [选项] LOGIN(登录名) useradd –D useradd –D [选项] 创建一个新用户或更新默认新用户信息。useradd和adduser命令相同,adduser是useradd的软连接。如果使用时不带-D选项,useradd命令使用命令行上指定的值和系统的默认值创建一个新的用户。根据命令行选项,useradd命令也会更新系统文件和创建新用户的主目录并复制初始文件。默...
LVS-DR实战案例
weixin_70228478的博客
10-16 683
(net.ipv4.ip_forward = 1 #开启路由功能net.ipv4.conf.all.send_redirects = 0 #禁止转发重定向报文net.ipv4.conf.ens33.send_redirects = 0 #禁止ens33转发重定向报文net.ipv4.conf.default.send_redirects = 0 #禁止转发默认重定向报文。
linux中useradd命令的使用详解
vecloud的博客
07-15 7183
useradd[-dhome][-sshell][-ccomment][-m[-ktemplate]][-finactive][-eexpire][-ppasswd][-r]name3.主要参数。今天小编给大家分享的是linux中useradd命令的使用详解,相信很多人都不太了解,为了让大家更加了解linux中useradd命令的使用详解,所以给大家总结了以下内容,一起往下看吧。useradd命令用来建立用户帐号和创建用户的起始目录,使用权限是root用户。...
useradd命令使用详解
最新发布
zxj519911的博客
12-24 4943
例子四:创建一个用户名为dmdba,用户id为12345 群组为dinstall shell为/bin/bash 同时主目录 为/home/dmdba。1.为新创建的用户账户编辑文件/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow。例子三:创建一个登录shell为 /bin/bash的用户名为dmdba的用户。例子二:创建一个用户组为dinstall ,用户名为dmdba的用户。例子五:创建一个用户名为dmdba,没有登录shell。
centos基线配置
09-06
CentOS基线配置是指在安装和配置CentOS操作系统时的一些基本设置和安全性要求。这些设置有助于确保系统的稳定性、安全性和性能。 以下是一些常见的CentOS基线配置建议: 1. 安装最新的CentOS版本:始终使用最新的CentOS版本,以获取最新的安全补丁和功能。 2. 禁用不必要的服务:只启用需要的服务,禁用不使用或不必要的服务。可以使用服务管理工具(如systemctl)来管理服务。 3. 更新系统补丁:定期更新系统补丁以修复安全漏洞和改善性能。 4. 配置防火墙:启用并配置防火墙以限制对系统的访问。使用Firewalld或iptables进行防火墙配置。 5. 使用强密码策略:对于用户账户,强制使用复杂的密码,并定期更改密码。 6. 禁用root远程登录:禁用root用户的远程登录,并使用普通用户登录系统后再切换到root用户。 7. 配置SSH安全:限制SSH访问,例如禁用root用户的SSH登录、使用公钥认证等。 8. 安装安全更新和工具:安装常用的安全更新和工具,如SELinux、OpenSSL等,以提高系统的安全性。 9. 监控和日志记录:配置系统监控和日志记录,以便及时发现和解决潜在的安全问题。 10. 定期备份数据:定期备份重要的系统和用户数据,以防止数据丢失或损坏。 这些是一些常见的CentOS基线配置建议,根据实际需求和安全要求,您可能需要进行适当调整和定制。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

YUGUOHOU

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值