你的CentOS还在“裸跑”？这几个配置让服务器安全性提升90%

你的CentOS还在“裸跑”？这几个配置让服务器安全性提升90%

【Linux安全基线】- CentOS 7/8安全配置指南

在企业业务的生产环境中，Linux服务器的安全性至关重要，尤其是对于具有超级用户权限的root账号。滥用或被入侵后，可能会造成数据泄露、系统损坏等严重安全问题。为了减少这种风险，本文将详细介绍如何通过一系列安全措施来增强CentOS 7/8服务器的安全性，降低系统被攻击的风险。

1. 创建普通用户并禁用Root用户直接登录

场景说明： 在Linux系统中，root用户拥有最高权限，允许其对系统进行任何操作。然而，root账户的滥用或者由于弱密码被破解，可能会导致系统被完全控制。因此建议创建普通用户并为其赋予管理权限，而非直接使用root账户。

操作步骤：

• • 创建新用户：adduser ecs-user

• • 设置用户密码：passwd ecs-user

• • 确认账户可正常登录：通过新的ecs-user账户登录系统，确保一切正常。

• • 为新用户添加免密sudo权限：

  vim /etc/sudoers
  
  

  ，在

  root ALL=(ALL) ALL
  
  

  下添加：

  ecs-user ALL=(ALL) NOPASSWD:ALL
  
  

• • 禁止root登录：编辑SSH配置文件/etc/ssh/sshd_config，找到PermitRootLogin项，将其设置为PermitRootLogin no，如果不存在此项，手动添加。

解释： 通过禁用root直接登录，可以避免因root账户被入侵导致的系统完全失控。此外，普通用户通过sudo提权执行管理操作，增加了一层安全保护。

2. 设置SSH空闲超时退出

场景说明： 在业务运维过程中，如果管理人员通过SSH远程登录服务器并长时间未操作，保持会话活跃可能会导致未授权人员接管该会话。设置超时退出机制可以有效降低这种风险。

操作步骤：

• • 编辑SSH配置文件

  /etc/ssh/sshd_config
  
  

  ，设置：

  ClientAliveInterval 600
  ClientAliveCountMax 2
  
  

解释： 这意味着系统会在10分钟（600秒）内没有收到客户端响应时发起两次探测（ClientAliveCountMax），如果依然没有回应，会自动断开连接，避免空闲会话带来的风险。

3. 设置密码修改最小间隔时间

场景说明： 如果允许用户频繁更改密码，可能会导致弱密码的重用，或形成恶意行为，例如通过多次快速更改绕过系统的密码策略。因此需要设置密码修改的最小间隔时间。

操作步骤：

• • 编辑文件

  /etc/login.defs
  
  

  ，设置：

  PASS_MIN_DAYS 7
  
  

• • 为root用户设置相同策略：

  chage --mindays 7 root
  
  

解释： 该设置确保用户在7天内无法更改密码，从而防止通过频繁更改密码试图绕过系统安全策略。

4. 设置密码失效时间

场景说明： 密码长期不修改会增加密码被暴力破解或泄露的风险。设置密码失效时间可以强制用户定期更换密码，提升系统安全性。

操作步骤：

• • 编辑文件

  /etc/login.defs
  
  

  ，设置：

  PASS_MAX_DAYS 90
  
  

• • 为root用户设置相同策略：

  chage --maxdays 90 root
  
  

解释： 密码失效时间为90天，超过这个时间段，用户必须更改密码才能继续使用系统。这一措施可以减少密码泄露或被猜测的风险。

5. 限制密码重用

场景说明： 限制用户重复使用以前的密码可以降低由于暴力破解导致的安全威胁。强制用户使用全新的密码有助于提升整体系统安全性。

操作步骤：

• • 编辑文件

  /etc/pam.d/password-auth
  
  

  和

  /etc/pam.d/system-auth
  
  

  ，在

  password sufficient pam_unix.so
  
  

  后面添加：

  remember=5
  
  

解释： 该配置强制用户至少使用5次不同的密码后才能重新使用某个旧密码，防止密码重复使用造成的安全隐患。

6. 密码复杂度检查

场景说明： 密码复杂度的提高能够有效防止弱密码的使用，从而增强系统的安全性。通过强制要求密码使用多种字符类型，系统可以有效抵御暴力破解等攻击。

操作步骤：

• • 编辑文件

  /etc/security/pwquality.conf
  
  

  ，设置：

  minlen=10
  minclass=3
  
  

解释： minlen=10要求密码长度至少为10个字符，minclass=3表示密码中至少要包含三种不同类型的字符（如大写、小写、数字、特殊符号等），从而增强密码强度。

7. 禁止SSH空密码用户登录

场景说明： 允许用户使用空密码登录SSH会大大降低系统的安全性，容易被恶意攻击者利用。因此需要禁止使用空密码登录。

操作步骤：

• • 编辑

  /etc/ssh/sshd_config
  
  

  ，设置：

  PermitEmptyPasswords no
  
  

解释： 禁用空密码用户登录SSH，确保所有用户账户都有设置密码，以此提高系统的安全性。

8. SSH登录最大尝试次数

场景说明： 攻击者通过暴力破解尝试多次错误登录有可能最终获得系统访问权限。限制最大登录尝试次数可以有效防止此类攻击。

操作步骤：

• • 编辑文件

  /etc/ssh/sshd_config
  
  

  ，设置：

  MaxAuthTries 4
  
  

解释： 该设置表示用户在SSH登录时最多可尝试4次密码输入错误，超过4次系统将自动断开连接，防止暴力破解。

9. 确保rsyslog服务已启用

场景说明： rsyslog服务用于收集并记录系统日志，帮助运维人员进行审计和故障排查。确保该服务的正常运行对于安全审计至关重要。

操作步骤：

• • 启动并启用

  rsyslog
  
  

  服务：

  systemctl enable rsyslog
  systemctl start rsyslog
  
  

解释： 确保日志记录服务启动，防止系统事件未被记录，影响问题排查和安全审计。

10. 配置文件权限设置

场景说明： 配置文件如果被非授权用户访问或修改，可能会导致系统被攻破或配置信息泄露。确保关键配置文件仅可被root用户访问可以提升系统安全性。

操作步骤：

• • 设置权限：

  chown root:root /etc/hosts.allow
  chown root:root /etc/hosts.deny
  chmod 644 /etc/hosts.allow
  chmod 644 /etc/hosts.deny
  
  

解释： chown确保这些配置文件的拥有者是root用户，chmod 644确保只有root用户拥有写权限，其他用户只能读取，防止配置文件被篡改。

11. 设置用户权限文件的权限

场景说明： 系统中的passwd、shadow、group等文件存储了用户的敏感信息（如密码等）。设置适当的文件权限可以防止非授权用户访问这些信息。

操作步骤：

• • 执行以下命令：

  chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
  chmod 0644 /etc/passwd /etc/group
  chmod 0400 /etc/shadow /etc/gshadow
  
  

解释： 这些命令确保只有root用户可以修改这些文件，并且限制其他用户的访问权限。

12. 确保root是唯一UID为0的账户

场景说明： UID为0的用户拥有系统的最高权限，通常只有root账户拥有此权限。确保没有其他用户拥有UID=0可以避免权限被滥用。

操作步骤：

• • 检查系统中是否存在UID为0的用户：

  cat /etc/passwd | awk -F: '($3 == 0) { print $1 }' | grep -v '^root$'
  
  

解释： 如果出现非root的UID为0用户，建议立即删除或更改其UID，防止权限滥用。

13. 密码到期警告天数

场景说明： 提前通知用户密码即将过期，提醒用户及时更改密码可以减少因密码过期导致的账户无法访问问题。

操作步骤：

• • 编辑

  /etc/login.defs
  
  

  文件，设置：

  PASS_WARN_AGE 7
  
  

• • 为root用户设置相同策略：

  chage --warndays 7 root
  
  

解释： 密码到期前7天会提前发出警告，用户可以及时更改密码，确保账户的可用性和安全性。

14. SSH日志级别设置为INFO

场景说明： LogLevel设置为INFO可以记录更多有用的信息，便于管理员在出现问题时快速排查问题。

操作步骤：

• • 编辑

  /etc/ssh/sshd_config
  
  

  ，设置：

  LogLevel INFO
  
  

解释： 日志级别设置为INFO可以记录登录、认证失败等关键信息，提升安全审计能力。

15. 开启地址空间布局随机化（ASLR）

场景说明： 地址空间布局随机化（ASLR）通过随机化进程的内存地址布局来增加攻击者利用漏洞攻击的难度，从而提高系统的安全性。

操作步骤：

• • 编辑

  /etc/sysctl.conf
  
  

  或

  /etc/sysctl.d/
  
  

  文件，添加以下内容：

  kernel.randomize_va_space = 2
  
  

• • 立即生效：

  sysctl -w kernel.randomize_va_space=2
  
  

---

黑客&网络安全如何学习**

今天只要你给我的文章点赞，我私藏的网安学习资料一样免费共享给你们，来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的路线图，如果你能学完它们，你去就业和接私活完全没有问题。

2.视频教程
网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我们和网安大厂360共同研发的的网安视频教程，之前都是内部资源，专业方面绝对可以秒杀国内99%的机构和个人教学！全网独一份，你不可能在网上找到这么专业的教程。

内容涵盖了入门必备的操作系统、计算机网络和编程语言等初级知识，而且包含了中级的各种渗透技术，并且还有后期的CTF对抗、区块链安全等高阶技术。总共200多节视频，200多G的资源，不用担心学不全。

因篇幅有限，仅展示部分资料，需要见下图即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

3.技术文档和电子书
技术文档也是我自己整理的，包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

4.工具包、面试题和源码
“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等，感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包，需要的话也可以拿走。

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源

最后就是我这几年整理的网安方面的面试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。

这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

参考解析：深信服官网、奇安信官网、Freebuf、csdn等

内容特点：条理清晰，含图像化表示更加易懂。

内容概要：包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

🐵这些东西我都可以免费分享给大家，需要的可以点这里自取👉:网安入门到进阶资源
————————————————

本文转自 https://blog.youkuaiyun.com/yy17111342926/article/details/149324307?spm=1001.2014.3001.5502，如有侵权，请联系删除。