CentOS Linux系统安全设置-阿里云开发者社区

CentOS Linux系统安全设置

2017-11-15 1380

版权

本文内容由阿里云实名注册用户自发贡献，版权归原作者所有，阿里云开发者社区不拥有其著作权，亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容，填写侵权投诉表单进行举报，一经查实，本社区将立刻删除涉嫌侵权内容。

简介：

CentOS系统安全设置
1.禁止ping
[root@zh888 ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all //临时禁止ping
[root@zh888 ~]# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all //临时允许ping
如果要永久ping可以把第一句
[root@zh888 ~]# echo "echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all">>/etc/rc.local
[root@zh888 ~]# cat /etc/rc.local
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2.用iptables防火墙禁止(或丢弃) icmp 包
[root@zh888 ~]# iptables -A INPUT -p icmp -j DROP
[root@zh888 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
DROP icmp -- 0.0.0.0/0 0.0.0.0/0

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

[root@zh888 ~]# iptables -F INPUT //清理INPUT
[root@zh888 ~]# iptables -L -n
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

3.、更改SSH端口，最好改为10000以上,防止别人扫描顺便建立一个普通用户来登录然后直接切换到root
[root@zh888 ~]# echo "port=10000">>/etc/ssh/sshd_config
[root@zh888 ~]# echo "PermitRootlogin no">>/etc/ssh/sshd_config
[root@zh888 ~]# service sshd restart
停止 sshd： [确定]
启动 sshd： [确定]

root@zh888 ~]# netstat -ntlp
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 127.0.0.1:199               0.0.0.0:*                   LISTEN      1631/snmpd
tcp        0      0 0.0.0.0:139                 0.0.0.0:*                   LISTEN      1748/smbd
tcp        0      0 0.0.0.0:111                 0.0.0.0:*                   LISTEN      1607/portmap
tcp        0      0 192.168.122.1:53            0.0.0.0:*                   LISTEN      1917/dnsmasq
tcp        0      0 0.0.0.0:21                  0.0.0.0:*                   LISTEN      1726/vsftpd
tcp        0      0 0.0.0.0:445                 0.0.0.0:*                   LISTEN      1748/smbd
tcp        0      0 :::10000                    :::*                        LISTEN      3023/sshd   //修改了端口22默认端口。

[test@zh888 ~]$ su - root//切换到root
口令：
[root@zh888 ~]# set|grep LOGNAME//然后查看环境变量的LOGNAME
LOGNAME=root

4.[root@zh888 ~]# chattr +i /etc/passwd /etc/group /etc/gshadow /etc/shadow //利用chattr +i或者-i来修改权限.

[root@zh888 ~]# chmod 777 /etc/passwd
chmod: 更改 “/etc/passwd” 的权限: 不允许的操作

5.[root@zh888 ~]# chmod 600 /etc/xinetd.conf //修改xinetd.conf配置文件权限，因为已经修改好了。主只有读和写。
chmod: 更改 “/etc/xinetd.conf” 的权限: 不允许的操作
[root@zh888 ~]# ll /etc/xinetd.conf
-rw------- 1 root root 1001 2011-05-31 /etc/xinetd.conf

6.删除不太常用的用户和组adm lp sync shutdown halt news uucp operator games gopher

组groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip groupdel pppusers

7.禁止ip原路由也就是ip包包含到达目的地的详细路径信息，是非常危险的。
fro f in /proc/sys/net/ipv4/conf/*
/accept_source_route;do
echo 0 > $f done
上面是禁止所有网络界面。

8.使TCP SYN Cookie保护生效，SYN Attack是一种拒绝服务攻击方式，会消耗系统所有资源，迫使系统重启，
[root@zh888 ~]# echo "echo 1 >/proc/sys/net/ipv4/tcp_syncookies">>/etc/rc.local //让系统启动可以生效
[root@zh888 ~]# cat /etc/rc.local //查看/etc/rc.local文件
#!/bin/sh
#
# This script will be executed *after* all the other init scripts.
# You can put your own initialization stuff in here if you don't
# want to do the full Sys V style init stuff.

touch /var/lock/subsys/local

#/usr/local/mysql/libexec/mysqld --user=root&
#/usr/local/apache/bin/apachectl start
#modprobe ip_conntrack_ftp
#route add default gw 192.168.20.254
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
fro f in /proc/sys/net/ipv4/conf/*/accept_source_route;do echo 0 > done
fro f in /proc/sys/net/ipv4/conf/*/accept_source_route;do echo 0 > done
echo 1 >/proc/sys/net/ipv4/tcp_syncookies

9.[root@zh888 ~]# chattr +i /etc/services //修改/etc/services端口文件的属性

10.[root@zh888 ~]# cat /etc/securetty //注释掉不用的tty前面加#就可以了。只允许root为tty1设备登录，如果其它可以用su - root来切换。
console
vc/1
vc/2
vc/3
vc/4
vc/5
vc/6
vc/7
vc/8
vc/9
vc/10
vc/11
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
#tty9
#tty10
#tty11

11.关闭不需要的服务可以用ntsysv来关闭。
[root@zh888 ~]# runlevel
N 3 //3级别因为修改了/etc/sysconfig/i18n 所以是中文显示grep最好用on off来比较好。
[root@zh888 ~]# cat /etc/sysconfig/i18n
#LANG="en_US.UTF-8"
SYSFONT="latarcyrheb-sun16"
LANG="zh_CN.GB18030"
[root@zh888 ~]# chkconfig --list|grep 3:启用

anacron         0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
apmd            0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
auditd          0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
crond           0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
kudzu           0:关闭 1:关闭 2:关闭 3:启用 4:启用 5:启用 6:关闭
libvirt-guests 0:关闭 1:关闭 2:关闭 3:启用 4:启用 5:启用 6:关闭
libvirtd        0:关闭 1:关闭 2:关闭 3:启用 4:启用 5:启用 6:关闭
mdmonitor       0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
network         0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
ntpd            0:关闭 1:关闭 2:关闭 3:启用 4:关闭 5:关闭 6:关闭
portmap         0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
readahead_early 0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
readahead_later 0:关闭 1:关闭 2:关闭 3:启用 4:关闭 5:启用 6:关闭
restorecond     0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
smb             0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
snmpd           0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
snmptrapd       0:关闭 1:关闭 2:关闭 3:启用 4:关闭 5:关闭 6:关闭
sshd            0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
syslog          0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
sysstat         0:关闭 1:关闭 2:启用 3:启用 4:关闭 5:启用 6:关闭
vsftpd          0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭
xendomains      0:关闭 1:关闭 2:关闭 3:启用 4:启用 5:启用 6:关闭
xinetd          0:关闭 1:关闭 2:关闭 3:启用 4:启用 5:启用 6:关闭
yum-updatesd    0:关闭 1:关闭 2:启用 3:启用 4:启用 5:启用 6:关闭

本文转自zh888 51CTO博客，原文链接：http://blog.51cto.com/zh888/740880，如需转载请自行联系原作者

CentOS Linux系统安全设置

热门文章

最新文章

相关课程

相关电子书

相关实验场景

推荐镜像