centos7系统优化

本文涉及的产品
运维安全中心(堡垒机),企业双擎版|50资产|一周时长
运维安全中心(堡垒机),免费版 6个月
云防火墙,500元 1000GB
简介: centos7系统优化

1.设置会话超时(600代表十分钟)


vim /etc/profile

1675155612480.png

生效命令:source  /etc/profile


2.新密码不能与最近10个使用密码相同


vim /etc/pam.d/system-auth

1675155634231.jpg


3.设置禁止root通过ssh远程登录


vim /etc/ssh/sshd_config,把#PermitRootLogin yes改为PermitRootLogin no

1675155661049.jpg


4.密码复杂度


默认配置:

cat /etc/pam.d/system-auth | grep  "pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type="
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=

加固方案:

1.备份配置文件:
# cp -a /etc/pam.d/system-auth /etc/pam.d/system-auth.default
2.编辑配置文件
# vi /etc/pam.d/system-auth
将password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
 注释并在其下面新增1行 password requisite pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type=

备注:


try_first_pass而当pam_unix验证模块与password验证类型一起使用时,该选项主要用来防止用户新设定的密码与以前的旧密码相同。


minlen=8:最小长度8位


difok=5:新、旧密码最少5个字符不同


dcredit=-1:最少1个数字


lcredit=-1:最少1个小写字符,(ucredit=-1:最少1个大写字符)


ocredit=-1:最少1个特殊字符


retry=1:1次错误后返回错误信息


type=xxx:此选项用来修改缺省的密码提示文本


5.设置history密码时间戳

vim /etc/profile
最底部添加
export HISTTIMEFORMAT="%F %T `whoami` "

效果图:

1675155715229.jpg


6.设置用户登录失败锁定

# vi /etc/pam.d/system-auth
在# User changes will be destroyed the next time authconfig is run.行的下面,添加
auth       required     pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800

1675155728828.jpg


7.ssh配置增强

#vi /etc/ssh/sshd_config
(1)禁止空密码登录
将#PermitEmptyPasswords no参数的注释符号去掉,改成
PermitEmptyPasswords no
(2)关闭ssh的tcp转发
将#AllowTcpForwarding yes参数改成
AllowTcpForwarding no
(3)关闭S/KEY(质疑-应答)认证方式
将#ChallengeResponseAuthentication yes参数,改成
ChallengeResponseAuthentication no
(4)关闭基于GSSAPI 的用户认证
将GSSAPIAuthentication yes参数,改成
GSSAPIAuthentication no
重启ssh服务
systemctl restart sshd


8.新增连接声明


#vi /etc/ssh/sshd_config
找到#Banner none参数,在其下一行,增加
Banner /etc/ssh/alert
新增告警信息文件
 #vi /etc/ssh/alert
文件内容,设置成
*******************************************************
这里的内容自己定义,可以提示一下登录的用户引起运维人员重视
Warning!!!Any Access Without Permission Is Forbidden!!!
*******************************************************
注:ssh设置的可能不支持中文
vim /etc/motd
本人声明,如果您以非法方式登录本服务器,您将承担法律责任!!!
I declare that if you log on this server by illegal means, you will be held legally responsible!!!


效果图:

1675155768985.jpg


9.关闭selinux,清空iptables


关闭selinux防火墙
默认云服务器都是关着的
cat /etc/selinux/config 
setenforce 0 设置不启动
getenforce   查看

清空iptables


# iptables –F     #清理防火墙规则
# iptables –L     #查看防火墙规则
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
#/etc/init.d/iptables save   #保存防火墙配置信息


针对centos7防火墙配置

修改防火墙
CentOS切换为iptables防火墙
firewall-cmd --state 查看防火墙状态
切换到iptables首先应该关掉默认的firewalld,然后安装iptables服务。
1、关闭firewall:
systemctl stop firewalld.service 
systemctl disable firewalld.service #禁止firewall开机启动
2、安装iptables防火墙
yum install iptables-services #安装
service iptables save
3、编辑iptables防火墙配置
vi /etc/sysconfig/iptables #编辑防火墙配置文件
下边是一个完整的配置文件:
在你运行完save中间插入下面的规则
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 3306 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
:wq! #保存退出
systemctl start iptables.service  #开启
systemctl enable iptables.service #设置防火墙开机启动


附赠防火墙脚本,前提你已经切换至iptables

#!/bin/bash
IPT=`which iptables`
$IPT -F
$IPT -X
$IPT -P INPUT DROP
$IPT -P FORWARD ACCEPT 
$IPT -P OUTPUT ACCEPT
$IPT -N syn-flood
##本地回环 内网允许任何
$IPT -A INPUT -i lo -j ACCEPT
$IPT -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT -A INPUT -m state --state NEW -s 10.0.0.0/8 -j ACCEPT
# ssh 端口开放 任何IP
$IPT -A INPUT -m state --state NEW -p tcp --dport 22 -j ACCEPT
# 根据需求填写相应的端口
$IPT -A INPUT -p tcp -m multiport --dports 80,8087,89 -j ACCEPT
# zabbix监控地址
$IPT -A INPUT -p tcp -s zabbix.ip -m state --state NEW -m tcp --dport 10050 -j ACCEPT
# ICMP 规则控制
$IPT -A INPUT -p icmp -m limit --limit 100/sec --limit-burst 100 -j ACCEPT
$IPT -A INPUT -p icmp -m limit --limit 1/s --limit-burst 10 -j ACCEPT
# DOS防护
$IPT -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK SYN -j syn-flood
$IPT -A INPUT -j REJECT --reject-with icmp-host-prohibited
$IPT -A syn-flood -p tcp -m limit --limit 3/sec --limit-burst 6 -j RETURN
$IPT -A syn-flood -j REJECT --reject-with icmp-port-unreachable


10.锁定关键文件系统


加锁,不可修改加锁文件
chattr +i /etc/passwd
lsattr /etc/passwd
----i--------e-- /etc/passwd
去锁,可以修改文件
chattr -i /etc/passwd 
lsattr /etc/passwd   
-------------e-- /etc/passwd


使用chattr命令后,为了安全我们需要将其改名

mv /usr/bin/chattr /usr/bin/任意名称
相关文章
|
安全 算法 Linux
CentOS7 系统安全及应用
CentOS7 系统安全及应用
304 0
CentOS7 系统安全及应用
|
安全 Linux
CentOS7一键安全加固及系统优化脚本
CentOS7一键安全加固及系统优化脚本
1330 1
CentOS7一键安全加固及系统优化脚本
|
安全 网络协议 Unix
Centos系统安全配置
Centos系统安全配置
302 0
Centos系统安全配置
|
Linux 数据安全/隐私保护
【Linux操作系统】——安装CentOS系统
安装注意事项,安装的时候虚拟机 与 宿主机 (宿主机指当前虚拟机安装在本地环境上的设备)键盘操作切换
539 0
【Linux操作系统】——安装CentOS系统
|
运维 Ubuntu Linux
系统优化脚本支持Ubuntu和CentOS
安装系统后经常有一些基础的系统优化安装,本人比较懒,写了一个脚本,可以后期加入其他优化方面。 仓库地址:https://github.com/cby-chen/OS 后续可能会继续更新脚本
389 0
|
缓存 安全 Ubuntu
centos系统漏洞修复简易方法
阿里云主机的管理后台上,经常看到漏洞警告,漏洞多了心慌慌。 后台的修复功能需要付费,其实自己修复也挺简单,用yum安装包管理工具,只需两个步骤即可
4113 0
centos系统漏洞修复简易方法
|
Linux
【转】CentOS 7. × 系统及内核升级指南
因手动部署fabric项目需要,故预先转载本篇方案,转载来源:https://www.aliyun.com/jiaocheng/128260.html   最近在学习 Docker,想在服务器上实践一下.Docker 需要安装在 CentOS 7 64 位的平台,并且内核版本不低于 3.10。
3233 0
|
Linux Shell
阿里云Centos系统优化--关闭THP服务
centos7查看服务状态[root@iZuf6hoq0t4zac8n5l3uobZ ~]# cat /sys/kernel/mm/transparent_hugepage/enabled[always] madvise never #服务已启动[root@iZuf6hoq0t4zac8n5l...
4263 0
|
Linux 开发工具 网络协议
Centos7之系统优化方案
修改ip地址、网关(修改配置文件) vim /etc/sysconfig/network-scripts/ifcfg-ens33 [root@server ~]# service network restart //激活服务Restarting networ.
1187 0