centos7.9 安全加固的记录

已于 2024-11-06 09:55:15 修改
阅读量1.2k 收藏 17
点赞数 16
分类专栏: 运维知识-centos 文章标签: 安全 linux 服务器
于 2024-11-05 17:30:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/baidu_35848778/article/details/143387441
版权

目录

前提:准备备份文件夹用于存放原有文件

mkdir -p /root/centos79/reinforcement/

一、/etc/login.defs文件

1.1 备份基础文件

cp -a /etc/login.defs  /root/centos79/reinforcement/login.defs.default

1.2、密码长度及有效期

涉及参数

  • PASS_MAX_DAYS
  • PASS_MIN_DAYS
  • PASS_MIN_LEN
  • PASS_WARN_AGE

加固命令

sudo sed -i 's/^#\?PASS_MAX_DAYS.*/PASS_MAX_DAYS 90/g' /etc/login.defs && sudo sed -i 's/^#\?PASS_MIN_DAYS.*/PASS_MIN_DAYS 6/g' /etc/login.defs  && sudo sed -i 's/^#\?PASS_MIN_LEN.*/PASS_MIN_LEN 8/g' /etc/login.defs && sudo sed -i 's/^#\?PASS_WARN_AGE.*/PASS_WARN_AGE 30/g' /etc/login.defs

加固结果

cat /etc/login.defs |grep PASS_ |grep -v '#'
PASS_MAX_DAYS 90
PASS_MIN_DAYS 6
PASS_MIN_LEN 8
PASS_WARN_AGE 30

二、/etc/pam.d/system-auth 文件

2.1 备份基础文件

cp -a /etc/pam.d/system-auth  /root/centos79/reinforcement/system-auth.default

2.2 密码复杂度

涉及参数

  • minlen
  • difok
  • dcredit
  • lcredit
  • ocredit
  • retry

加固命令

sudo sed -i 's/^#\?password    requisite.*/password    requisite     pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type=/g' /etc/pam.d/system-auth

加固结果

cat /etc/pam.d/system-auth | grep  "password    requisite     pam_cracklib.so"
password    requisite     pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type=

2.3 历史密码不相同次数

涉及参数

  • remember

加固命令

sudo sed -i 's/^#\?password    sufficient.*/password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 /g' /etc/pam.d/system-auth

加固结果

cat /etc/pam.d/system-auth |grep "password    sufficient"
# 输出
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

2.4 设置登陆失败锁定

涉及参数

  • root_unlock_time
  • deny
  • unlock_time
  • even_deny_root

加固命令

sudo sed -i '/PAM-1.0/a auth        required      pam_tally2.so    deny=5    unlock_time=300 even_deny_root root_unlock_time=600' /etc/pam.d/system-auth

加固结果

cat /etc/pam.d/system-auth |grep "unlock_time"
# 输出
auth        required      pam_tally2.so    deny=5    unlock_time=300 even_deny_root root_unlock_time=600

三、/etc/profile 文件

3.1 备份基础文件

cp -a /etc/profile  /root/centos79/reinforcement/profile.default

3.2 设置会话时间

涉及参数

  • TMOUT

加固命令

sed -i '$a export TMOUT=300' /etc/profile

加固结果

cat /etc/profile |grep "TMOUT"
# 输出
export TMOUT=300

3.3 设置history命令时间戳

涉及参数

  • HISTTIMEFORMAT

加固命令

sed -i '$a export HISTTIMEFORMAT="%F %T `whoami` "' /etc/profile

加固结果

cat /etc/profile |grep "HISTTIMEFORMAT"
# 输出
export HISTTIMEFORMAT="%F %T `whoami` "

3.4 增加history保存条数

涉及参数

  • HISTSIZE

加固命令

sudo sed -i 's/^#\?HISTSIZE=.*/HISTSIZE=3000/g' /etc/profile

加固结果

cat /etc/profile |grep "HISTSIZE="
# 输出
HISTSIZE=3000

四、 /etc/ssh/sshd_config 文件

4.1 备份原始文件

cp -a /etc/ssh/sshd_config /root/centos79/reinforcement/sshd_config.default

4.2 禁止root远程访问

涉及参数

  • PermitRootLogin

加固命令

sudo sed -i 's/^#\?PermitRootLogin.*/PermitRootLogin no/g' /etc/ssh/sshd_config

加固结果

cat /etc/ssh/sshd_config |grep 'PermitRootLogin'
# 输出
PermitRootLogin no

4.3 参数增强

涉及参数

  • PermitEmptyPasswords
  • AllowTcpForwarding
  • ChallengeResponseAuthentication
  • GSSAPIAuthentication
  • MaxAuthTries
  • LogLevel

加固命令

sudo sed -i 's/^#\?PermitEmptyPasswords.*/PermitEmptyPasswords no/g' /etc/ssh/sshd_config && sudo sed -i 's/^#\?AllowTcpForwarding.*/AllowTcpForwarding no/g' /etc/ssh/sshd_config && sudo sed -i 's/^#\?ChallengeResponseAuthentication.*/ChallengeResponseAuthentication no/g' /etc/ssh/sshd_config &&  sudo sed -i 's/^#\?GSSAPIAuthentication.*/GSSAPIAuthentication no/g' /etc/ssh/sshd_config &&  sudo sed -i 's/^#\?MaxAuthTries.*/MaxAuthTries 3/g' /etc/ssh/sshd_config &&  sudo sed -i 's/^#\?LogLevel.*/LogLevel INFO/g' /etc/ssh/sshd_config

加固结果

cat /etc/ssh/sshd_config |grep  -E "PermitEmptyPasswords|AllowTcpForwarding|ChallengeResponseAuthentication|GSSAPIAuthentication|MaxAuthTries|LogLevel" |grep -v '#'
# 输出
PermitEmptyPasswords no
ChallengeResponseAuthentication no
GSSAPIAuthentication no
AllowTcpForwarding no

4.4 设置banner

涉及参数

  • Banner

加固命令

sudo sed -i 's/^#\?Banner none.*/Banner \/etc\/ssh\/banner/g' /etc/ssh/sshd_config && touch /etc/ssh/banner && echo "The content of the banner" > /etc/ssh/banner

加固结果

cat /etc/ssh/sshd_config |grep 'Banner' && cat /etc/ssh/banner
# 输出
Banner /etc/ssh/banner
The content of the banner

五、/etc/issue和/etc/issue.net 和/etc/motd文件

5.1 备份原始文件

cp -a /etc/issue /root/centos79/reinforcement/issue.default && cp -a /etc/issue.net  /root/centos79/reinforcement/issue.net.default && cp -a /etc/motd /root/centos79/reinforcement/motd.default

5.2 隐藏版本信息

加固命令

echo  "" >/etc/issue && echo  "" >/etc/issue.net && echo  "" > /etc/motd && echo "The content of the banner" > /etc/issue &&  echo "The content of the banner" > /etc/issue.net && echo "The content of the banner" > /etc/motd

加固结果

cat /etc/issue && cat /etc/issue.net && cat /etc/motd

六、 /etc/shadow 文件

6.1 备份基础文件

cp -a /etc/shadow  /root/centos79/reinforcement/shadow.default

6.2 检查空密码

检查命令

awk -F: '($2 == ""){print $1}' /etc/shadow

如果没有输出则为正常

七、 /etc/passwd 文件

7.1 备份基础文件

cp -a /etc/passwd  /root/centos79/reinforcement/passwd.default

7.2 检查UID为0的用户

检查命令

cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'

如果只输出root则为正常

八、日志服务

涉及服务

  • rsyslog.service

检查命令

systemctl status rsyslog.service

九、审计服务

涉及服务

  • auditd.service

检查命令

systemctl status auditd.service
CentOS 7.9安全加固
Tinmax的博客
01-07 2176
写在前面:CentOS即将停止更新服务,对于已经安装CentOS的用户来说,系统安全加固就显得更加重要。本文将基于最小化安装的CentOS 7.9,并参考《等级保护2.0》测评指导书(二级)的通用部分,从“身份鉴别”、“访问控制”、“安全审计”、“入侵防御”、“恶意代码防范”、“剩余信息保护”六个方面,介绍Linux安全加固
centos7.9系统安全加固
eagle89的专栏
05-11 1117
centos7.9系统安全加固
服务器安全加固措施(Linux_Centos7
水布天
08-23 1279
Centos7服务器安全改造 1 概述 root用户作为系统的超级管理员,拥有对系统的所有访问权限,在使用root操作的过程中需要引起足够的重视。尤其是目前云服务器风起云涌,各位开发人员的主战场从线下转到了线上,云服务器成了很多人员每天打交道的一个环节,针对每次登陆看到的登陆失败XXXX次,给人的感觉就是今天家里的防盗门被开启过XXXX次,明明是你自己的家,看到这个场景不得不让你想抒发一下情感。本篇针对云服务器安全提升方面的介绍。 2 环境说明 服务器:阿贝云服务器 操作系统:Centos7.9.2009
基于Centos 7系统的安全加固方案
剁椒鱼头没剁椒的博客
10-21 5220
基于centos7版本测试 注意:修改任何配置文件,为保障安全请先备份,命令: cp -a +配置文件路径 +存放位置路径 1.密码长度与有效期 位置:vi /etc/login.defs 修改: PASS_MAX_DAYS 90 注:密码有效期 PASS_MIN_DAYS 2 注:修改密码最短期限 PASS_MIN_LEN 8 注:密码最短长度 PASS_WARN_AGE 30 注:密码过期提醒 2.密码复杂度 位置:vi /etc/pam.
CentOS7进行账户和登录方面的安全加固
curry30的博客
09-22 2151
用户账户安全加固、用户登录安全设置
Centos7 安全加固
Simon & Shakie's Blog
03-19 1247
添加用户 不推荐直接使用root用户远程登录系统,建议创建本地用户,并给予管理员权限(sudo权限)。直接上命令(新用户的用户名为nuser): useradd nuser passwd nuser chmod -v u+w /etc/sudoers vim /etc/sudoers 找到root ALL=(ALL) ALL 然后添加nuser ALL=(ALL) ALL chmod -v u-w /etc/sudoers 使用密钥登录 在本地电
centos7.9-ssh10.0p1-ssl3.0.16-rpm-x86-64升级加固脚本
04-11
1. openssh-clients-9.9p1-1.el7.x86_64.rpm:这是SSH客户端的软件包,包含访问远程服务器所需的所有工具。 2. openssh-9.9p1-1.el7.x86_64.rpm:这是SSH服务器端和客户端的共同软件包。 3. openssh-server-9.9p1-1....
centos7.9-ssh9.9p2-ssl3.0.16-rpm-x86-64升级加固脚本.zip
02-21
4、已默认安全加固(已有配置跳过) 安装: 执行 bash upgrade_ssl_ssh.sh 进行安装 注意,升级安装后,确保sshd服务正常,请新开终端进行验证测试 验证 openssl版本: openssl version OpenSSL 3.0.16 11 Feb 2025...
centos7.9-ssh10.0p1-ssl3.5.0-rpm-x86-64升级加固脚本
最新发布
04-11
标题所指的“centos7.9-ssh10.0p1-ssl3.5.0-rpm-x86-64升级加固脚本”,是一个专门为CentOS 7.9 x86-64位系统设计的脚本。该脚本主要负责将系统中的SSH服务版本升级至10.0p1,并同时升级SSL协议至3.5.0版本,通过rpm...
centos7.9-ssh9.8p1-ssl3.0.14-rpm-x86-64升级加固脚本.zip
07-05
4、已默认安全加固(已有配置跳过) 安装: 执行 bash upgrade_ssl_ssh.sh 进行安装 注意,升级安装后,确保sshd服务正常,请新开终端进行验证测试 验证 openssl版本: openssl version OpenSSL 3.0.14 4 Jun 2024 ...
CentOS7 系统安全加固实施方案介绍
09-17
CentOS7 系统安全加固实施方案介绍,
centos主机基线加固手册.doc
07-16
介于linux主机的一些安全加固方面的配合和验证
linux 加固脚本,Centos7的常规加固脚本
weixin_42647395的博客
05-10 264
以下为一个普通的linux Centos7的常规加固脚本加固项包括以下项目:1、操作超时2、保留历史命令改为10条3、Enable TCP SYN Cookie Protection4、口令策略加固5、设置mask值&超时锁定#!/bin/shauthor:lpversion 1.0 written by 2019.05.03#1 add continue input failure 3 ...
Centos安全加固策略
被生活耽误的旅行者
04-24 2440
操作系统安全加固就是使操作系统安全稳定的各种技术方案。安全加固可从操作系统内外来看,对内就是是操作系统配置以及内核参数的调整,加强内部管理。对外,操作系统可以通过建立防火墙,关闭不必要开放的端口等等,建立安全的网络屏障
CentOS安全加固
wj193165zl的博客
07-29 351
CentOS安全加固: 不能是弱密码,必须是16位随机字符密码; 修改默认端口; 禁止root账号登陆(PermitRootLogin no); 指定允许登陆账号,使用特别账号进行登陆,登陆后再切换到root; 启动强制密码策略(/etc/login.defs) PASS_MIN_LEN 16,这样可以防止管理人员设置简单的密码 设置密码的更新时间。 检查/etc/passwd文...
Linux服务器系统安全加固(centos7系列)
cbc_19的博客
08-01 5690
安全加固就是对系统进行优化配置,杜绝系统配置不当出现的弱点,提高操作系统和服务器的防御能力,防止黑客攻击和病毒入侵,提升系统和网络安全
Linux CentOS发行版机安全加固——网络方面
qq_44611153的博客
06-23 2063
A(攻击者)发送TCP SYN,SYN是TCP三次握手中的第一个数据包,而当这个服务器返回ACK以后,A不再进行确认,那这个连接就处在了一个挂起的状态,也就是半连接的意思,那么服务器收不到再确认的一个消息,还会重复发送ACK给A。ICMP重定向用于优化路由策略,始终让主机的路由表保持最新最快的状态,这本身是一个对网络有益的机制。这就会使一个攻击者可以假冒一个主机的名义通过一个特殊的路径来获得某些被保护数据,就如使用服务器提供的服务时,可以通过服务器的ip地址访问到与其相连接的私有地址系统,对内网进行攻击。
【史上最全】centOS/Linux系统安全加固方案手册
sophiasofia的博客
02-02 5295
Linux/centOS安全加固方案,按照本方案进行的加固安全可顺利通过一般的安全扫描工具。
安装centos7.9的一些注意事项及系统优化加固
qq_46319647的博客
07-29 535
注意:刚安装好系统,先不要修改65行,等把所有要使用密钥连接这台机器的其他主机,都配置好可以使用密钥正常连接这台机器以后,在把65行修改成no。重启后,想查看有没有生效就进到/pro/sys/net目录里面查找对应的文件,查看内容即可。查看当前文件描述符是多少,如果是65535就不需要修改,如果小于65535就需要修改。以上修改完成后,重启计算机,重启完后在验证一下上面的修改有没有成功,避免出现问题。优化系统内核(如果使用阿里云,不用修改这里的设置,因为阿里云已经修改好了)每12个小时同步一次时间。
centos7.9 安全加固
06-20
CentOS 7.9安全加固是一个关键步骤,可以增强系统的安全性并防止潜在的威胁。以下是一些基本的加固措施: 1. **更新系统和软件包**:使用`yum update`确保系统中的所有组件都是最新版本,包括安全补丁。 2. **...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值