本文以CentOS 5.4为例进行说明,对于5.x版本应该都是适用的,其他版本的话主要是命令的路径不同,思路是一致的。
第一步、账户安全管理
1. 修改密码长度
- #vi /etc/login.defs
- PASS_MIN_LEN 18
2. 创建一个普通用户账号并设置密码,这样所有的操作都使用该普通账号进行
3. Linux默认提供了很多账号,账号越多,系统就越容易受到攻击,所以应该禁止所有默认的被操作系统本身启动的并且不必要的账号。
可以使用 vi /etc/passwd 查看系统账号,使用 vi /etc/group 查看系统的用户组。
- #userdel adm
- #userdel lp
- #userdel sync
- #userdel shutdown
- #userdel halt
- #userdel news
- #userdel uucp
- #userdel operator
- #userdel games
- #userdel gopher
- #userdel ftp
-
- #groupdel adm
- #groupdel lp
- #groupdel news
- #groupdel uucp
- #groupdel games
- #groupdel dip
- #groupdel pppusers
4. 使用chattr命令将下面的文件加上不可更改属性,从而防止非授权用户获得权限。
- #chattr +i /etc/passwd
- #chattr +i /etc/shadow
- #chattr +i /etc/group
- #chattr +i /etc/gshadow
这样操作之后也无法创建账号和修改密码,后面可以使用chattr -i命令恢复之后再进行操作。
5. 禁止Ctrl+Alt+Delete重启命令
修改 /etc/inittab 文件,将下面一行注释掉
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
然后重新设置 /etc/rc.d/init.d/ 目录下所有文件的许可权限,仅root账号可以读、写和执行其中的所有脚本文件:
- #chmod -R 700 /etc/rc.d/init.d/*
6. 限制su命令
限制只有特定用户组的用户才能使用su命令作为root权限,可以编辑 /etc/pam.d/su 文件,修改或增加下面的内容
# 这一行默认是有的
auth sufficient pam_rootok.so
# 确认wheel用户组是存在的
auth required pam_wheel.so group=wheel
这样设置之后只有wheel用户组的用户可以使用su切换为root。如果系统用户ru能够su切换为root,可以运行如下命令:
这里注意,使用 su - 命令可以切换为root用户并将root的环境变量信息进行切换,而 su 命令仅仅是切换角色但还是原来用户的环境变量。
第二步、SSH安全配置
SSH作为系统登录的入口,其安全性好比城楼的城门,重要性不言而喻。
首先查看系统中是否安装了SSH:
- #chkconfig --list |grep sshd
如果出现内容则说明安装了sshd服务,否则使用 yum install ssh 命令进行安装。
接下来先备份原来的配置文件
- #cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
然后修改 /etc/ssh/sshd_config 文件:
# 修改SSH的端口,默认为22
Port 5028
# 将#protocol 2,1改为
protocol 2
# 不允许root用户直接登录
PermitRootLogin no
# 不允许空密码登录
PermitEmptyPasswords no
# 不适用DNS
UseDns no
最后使用 service sshd restart 重启SSH服务
第三步、关闭系统中不需要的服务和端口
1. 系统中少开一个服务就少一个危险,以下仅列出需要启动的服务,未列出的服务一律关闭,如果没有下面的服务则直接忽略:
- #setup
- acpid
- anacron
- cpuspeed
- crond
- iptables
- irqbalance \\仅当服务器CPU为S.M.P架构或支持双核心、HT技术时,才需开启,否则关闭。
- microcode_ctl
- network
- random
- sendmail
- sshd
- syslog
- yum-updatesd
2. 使用iptables防火墙只打开指定的端口
首先创建如下的sh文件:
- #!/bin/bash
- iptables -F INPUT
- iptables -P INPUT DROP
- # 打开80端口
- /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
- # 打开SSH端口,这一点很重要,否则无法使用SSH了,注意将5028修改为你的SSH端口
- /sbin/iptables -A INPUT -p tcp --dport 5028 -j ACCEPT
然后保存为closeports.sh文件,使用下面的命令执行该文件:
- #chmod +x closeports.sh
- #./closeports.sh
详细的iptables配置信息存放在 /etc/sysconfig/iptables 文件中。
第四步、防止攻击
1. 阻止ping
将 /proc/sys/net/ipv4/icmp_echo_ignore_all 文件的内容修改为1,不过这样的话如果服务器重启之后就会恢复为0了。
可以将下面的内容加入到 /etc/rc.d/rc.local 文件中:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2. 防止IP欺骗攻击
编辑 /etc/host.conf 文件,在下面增加如下几行:
- #vi /etc/host.conf
- order bind,hosts
- multi off
- nospoof on
3. 防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。对 /etc/security/limits.conf 文件添加如下内容:
- # 禁止调试文件
- * hard core 0
- # 限制内存使用为5MB
- * hard rss 5000
- # 限制进程数为20
- * hard nproc 20
接下来必须编辑 /etc/pam.d/login 文件确认下面一行是否存在,如果不存在的话添加上:
- session required /lib/security/pam_limits.so
对于DDos攻击可以使用DDoS deflate脚本,详细介绍见下面的参考资料。
第五步、系统配置及性能调优
1. 修改系统默认字符集
如果使用英文安装系统之后,如果系统中有中文会显示乱码,这个时候需要修改系统默认的字符集:
- #vi /etc/sysconfig/i18n
- LANG="zh_CN.UTF-8"
-
- #source /etc/sysconfig/i18n
将系统的编码修改为zh_CN.UTF-8,后面一句命令是让修改立即生效。
2. 使用ntp服务更新服务器时间
首先检查系统中是否安装了ntp服务:
- #chkconfig --list |grep ntp
如果没有安装的话使用yum进行安装并更新时间
- #yum install ntp
- #ntpdate time.windows.com
也可以将更新命令加入到cron中进行自动更新时间:
- #crontab -e
- * */12 * * * ntpdate time.windows.com
-
- #service crond restart
以上操作是每隔12小时自动更新一次时间,可以通过 crontab -l 命令进行查看。
3. 加大服务器文件描述符
当系统服务开启后,访问量变大,会使用到更多的文件描述符。使用 ulimit –n 命令显示当前的文件描述符数(需要使用 su – 命令切换到root账号)。可以使用如下方法加大文件描述符数:
- #vi /etc/security/limits.conf
- * - nofile 65536 #在文本的最后一行添加
重新登录之后,可以使用 ulimit –n 命令再次查看文件描述符会看的已经发生了变化。
4. 调整内核参数
- #cp /etc/sysctl.conf /etc/sysctl.conf.bak
- #vi /etc/sysctl.conf
-
- net.ipv4.tcp_fin_timeout = 2
- net.ipv4.tcp_tw_reuse = 1
- net.ipv4.tcp_tw_recycle = 1
- net.ipv4.tcp_syncookies = 1
- net.ipv4.tcp_keepalive_time = 600
- net.ipv4.ip_local_port_range = 4000 65000
- net.ipv4.tcp_max_syn_backlog = 16384
- net.ipv4.tcp_max_tw_buckets = 36000
- net.ipv4.route.gc_timeout = 100
- net.ipv4.tcp_syn_retries = 1
- net.ipv4.tcp_synack_retries = 1
- net.ipv4.ip_conntrack_max = 25000000
- net.ipv4.netfilter.ip_conntrack_max=25000000
- net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180
- net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120
- net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60
- net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120
最后,使用 sysctl –p 命令让上述设置立即生效。
参考资料:
centos 安全配置
centos最小化安装系统后的基本调优及安全设置
简单的防火墙设置,只要求开放80端口!
利用iptables来配置linux禁止所有端口登陆和开放指定端口
linux 禁ping和开启ping方法
DDoS deflate – Linux下防御/减轻DDOS攻击
Linux的cron和crontab
linux 内核参数调整说明
分享到:
相关推荐
Duplicati可以安装在各种操作系统上。最常见的平台是Windows,Linux和OSX。 1.Duplicati是一款免费的开源软件 2.文件备份采用块备份机制,备份时文件将被分成小块数据(块) 3.可以备份选定的文件和文件夹 特性 ...
ProFTP已经成为继Wu-FTP之后最为流行的FTP服务器软件,越来越多的站点选用它构筑安全高效的FTP站点,ProFTP配置方便,并有MySQL和Quota模块可供选择,利用它们的完美结合可以实现非系统账号的管理和用户磁盘的限制。...
安装方法: 首先备份/etc/pam.d/sshd cp /etc/pam.d/sshd /etc/pam.d/sshd_bak 解压zip得到ssh-rpm8.7p1_For_Centos...4,重启服务:完成之后删除/etc/ssh/ssh_host_*_key然后重启ssh服务 如有任何问题,可以留言给我。
工具,工具盘在系统安装好之后再装就可以。 建议刻盘安装,安装需要安装盘一和二 把安装盘一放入光驱,设置光驱引导,引导过程直接回车选择图形模式安装。 text+回车为文本模式安全。 黑与红的强烈对比。哈哈。 仿XP...
同时支持 x86 Legacy BIOS 以及 IA32/x86_64/ARM64/MIPS64 UEFI,UEFI 模式支持安全启动 (Secure Boot),支持数据持久化,支持Windows系统的自动安装部署,支持 RHEL7/8/CentOS7/8/SUSE/Ubuntu Server/Debian 等...
ProFTP已经成为继Wu-FTP之后最为流行的FTP服务器软件,越来越多的站点选用它构筑安全高效的FTP站点,ProFTP配置方便,并有MySQL和Quota模块可供选择,利用它们的完美结合可以实现非系统账号的管理和用户磁盘的限制。...
[root@centos vsftpd]# vi vsftpd.conf //进入配置文件,更改如下配置 anonymous_enable=NO local_enable=YES //虚拟帐户对应的是系统本地用户,所以必须开启这一项 anon_upload_enable=YES //开启此项以后,使用虚拟...
购买成功之后添加安全组(设置可访问端口,不知道怎么设置的,网站有文档,这里不赘述了) 购买成功之后已经创建了一个实例,点击远程连接会有一个密码(不记得了可以重启实例进行设置)自己本地做好文档记录 进入...
不要忘记安装PostgreSQL和/或创建zabbix DB,然后在用户输入“ zcat /usr/share/doc/zabbix-server-pgsql*/create.sql.gz | sudo -u zabbix psql zabbix”之后,将其放入控制台它如果Zabbix服务器没有连接到数据库,...
自动登录配置好以后,你可以通过它使用 SSH (Secure Shell)和安全复制 (SCP)来移动文件。 SSH 是开源的,是用于远程登录的最为可靠的网络协议。系统管理员用它来执行命令,以及通过 SCP 协议在网络上向另一台...
同时支持 x86 Legacy BIOS 以及 IA32/x86_64/ARM64/MIPS64 UEFI,UEFI 模式支持安全启动 (Secure Boot),支持数据持久化,支持Windows系统的自动安装部署,支持 RHEL7/8/CentOS7/8/SUSE/Ubuntu Server/Debian 等...
同时支持 x86 Legacy BIOS 以及 IA32/x86_64/ARM64/MIPS64 UEFI,UEFI 模式支持安全启动 (Secure Boot),支持数据持久化,支持Windows系统的自动安装部署,支持 RHEL7/8/CentOS7/8/SUSE/Ubuntu Server/Debian 等...
同时支持 x86 Legacy BIOS 以及 IA32/x86_64/ARM64/MIPS64 UEFI,UEFI 模式支持安全启动 (Secure Boot),支持数据持久化,支持Windows系统的自动安装部署,支持 RHEL7/8/CentOS7/8/SUSE/Ubuntu Server/Debian 等...
支持 RHEL7/8/CentOS7/8/SUSE/Ubuntu Server/Debian 等Linux系统的自动安装部署 说明 镜像分区支持 FAT32/exFAT/NTFS/UDF/XFS/Ext2(3)(4) 文件系统 支持超过4GB的ISO文件 保留ISO原始的启动菜单风格(Legacy & UEFI) ...
/selinux:这个目录是Redhat/CentOS所特有的目录,Selinux是一个安全机制,类似于windows的防火墙 /srv:service缩写,该目录存放一些服务启动之后需要提取的数据。 /sys: 这是linux2.6内核的一个很大的变化。该...
新添加的脚本遵循CIS基准指南,为Linux系统建立了安全的配置状态。 该工具是一个Bash脚本,可自动增强Linux Server的安全性,其步骤如下: 配置主机名 重新配置时区 更新整个系统 创建一个新的Admin用户,这样您...
建立功能模块识别节点号,根据部门、职务、用户综合受权,明确不同单元的操作范围和界限,彻底解决系统内应用层的安全及权限问题 2.8 修改网站名 很简单,跟前边的网站图片管理相结合,目的就是让本系统彻底成为您...
通过一些简单的注解,开发者就可以快速的在应用中配置一下常用模块并构建庞大的分布式系统。它主要提供的模块包括:服务发现(Eureka),断路器(Hystrix),智能路由(Zuul),客户端负载均衡(Ribbon)等。 2)...
1.4、等宝塔程序自动安装完毕之后,我们就可以去左侧菜单创建站点、数据库等应用。 1.5、此时环境lnmp搭建好,但是redis和php插件 如opchache redis fileinfo都需要安装下 1.6、找到redis安装下 1.7、同理安装下...