美文网首页linux基础
centos7 系统 安全优化

centos7 系统 安全优化

作者: 杀死一只喵 | 来源:发表于2020-06-10 16:16 被阅读0次
    • 修改ip地址、网关、主机名、DNS等
    • 关闭selinux,清空iptables
    • 添加普通用户并进行sudo授权管理
    • 更新yum源及必要软件安装
    • 定时自动更新服务器时间
    • 精简开机自启动服务
    • 定时自动清理/var/spool/clientmqueue/目录垃圾文件,放置inode节点被占满
    • 变更默认的ssh服务端口,禁止root用户远程连接
    • 锁定关键文件系统
    • 调整文件描述符大小
    • 调整字符集,使其支持中文
    • 去除系统及内核版本登录前的屏幕显示
    • 禁止ping
    • 历史记录
    • 内核参数优化
    • 升级具有典型漏洞的软件版本
    1. 禁用或重命名超级管理员 (root)
      修改这两个配置文件即可
      [root@worker1 plugins]# vi /etc/shadow
      强制保存: x!
      [root@worker1 plugins]# vi /etc/passwd

    2. 修改远程连接端口,默认为 22
      修改次配置文件
      [root@worker1 plugins]# vi /etc/ssh/sshd_config
      重启 sshd服务
      [root@worker1 plugins]# systemctl restart sshd

    3. Linux的三权分立配置
      创建不同的用户并给不通的权限
      系统管理员只有创建账号和分配权限的权限,安全管理员只有配置安全策略的权限,审计管理员只有审计日志的权限

    systemuser 系统管理员
    securityuser 安全管理员
    audituser 审计管理员

    for name in systemuser securityuser audituser
    do
       useradd $name -p password
    done
     
     
    for name in systemuser securityuser audituser
    do
        echo "p@ssword"|passwd $name --stdin
    done
    

    登录root用户
    在visudo里面配置

    ## Allow root to run any commands anywhere
    root    ALL=(ALL)       ALL
    #audituser只用查看文件的权限
    audituser ALL = (root) NOPASSWD: /usr/bin/cat , /usr/bin/less , /usr/bin/more , /usr/bin/tail , /usr/bin/head
     #systemuser只用创建用户和授权的权限
    systemuser ALL= (root) NOPASSWD: /usr/sbin/useradd ,  /usr/sbin/visudo  
    

    审计管理员授权 可以查看/var/log/ 下的所有文件
    usermod -a -G root audituser
    cd /var/ && chmod -R 775 log

    安全管理员配置可以读写 配置安全配置文件
    usermod -a -G root securityuser
    授予root用户组为可读写这些文件的权限
    这样就形成 root用户组内的用户可以读写这些文件
    chmod 660 /etc/ssh/sshd_config
    chmod 660 /etc/login.defs
    chmod 660 /etc/pam.d/system-auth
    chmod 660 /etc/pam.d/login
    授予securityuser 与root用户一个组,
    将这些安全配置的文件授予 用户组内的可读写

    /etc/login.defs 检查是否设置账户口令的生存期不长于90天。
    /etc/pam.d/system-auth
    /etc/pam.d/login 检查是否设置当用户连续认证失败次数超过5次,锁定该用户使用的账户。
    /etc/rc.d/init.d
    /etc/ssh/sshd_config ssh安全设置策略

    相关文章

      网友评论

        本文标题:centos7 系统 安全优化

        本文链接:https://www.haomeiwen.com/subject/wxwgzhtx.html