1.系统安全记录文件
通过cat /var/log/secure | grep refused 检查系统所受到的攻击。
2.启动和登录安全性
1)BIOS安全:设置bios密码且修改引导次序禁止从软盘启动系统;
2)用户口令:通过login.defs文件修改PASS_MIN_LEN值来更改修改口令长度;
3)注释掉不需要的用户和用户组:/etc/passwd;/etc/shadow文件修改;
4)口令文件:chattr命令给下面的文件加上不可更改属性;
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
5)禁止Ctrl alt delete重新启动机器命令
修改/etc/inittab文件,将"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"注释。并将/etc/rc.d/init.d/目录下所有文件的许可权限。
6)限制su命令:编辑/etc/pam.d/su
代码如下:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
这时,仅isd组的用户可以su作为root。此后,如果您希望用户admin能够su作为root,可以运行如下命令:
# usermod -G10 admin #注isd组的id号不一定是10,所以请谨慎执行。centos 6里没有自带isd的组!
7)删减登录信息
默认情况下,登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。
8)更改ssh端口
不允许使用低版本的SSH协议
vi /etc/ssh/sshd_config
将#protocol 2,1改为
protocol 2
(注:centos 6下已默认取消了低版本协议)
将PORT改为1000以上端口
vi /etc/ssh/sshd_config
Port 10000
同时,创建一个普通登录用户,并取消直接root登录
useradd 'username'
passwd 'username'
vi /etc/ssh/sshd_config
PermitRootLogin no #取消root直接远程登录
X11Forwarding no #(服务器一般不会开X,所以X转发就不要开了吧) 取消X11转发
9)关闭不必要的服务
10)启用iptables防火墙,设置好防火墙规则。
vi /etc/sysconf/iptalbes
网友评论