可以使用Linux初始安装之后配置脚本进行批量处理,注意执行前修改成合适自己的情况。
第一步、账户安全管理
1. 修改密码长度
-
[root@localhost /]# vi /etc/login.defs
-
PASS_MIN_LEN 18
2. 创建一个普通用户账号并设置密码,这样所有的操作都使用该普通账号进行
-
[root@localhost /]# useradd ru
-
[root@localhost /]# passwd ru
3. Linux默认提供了很多账号,账号越多,系统就越容易受到攻击,所以应该禁止所有默认的被操作系统本身启动的并且不必要的账号。
可以使用 vi /etc/passwd 查看系统账号,使用 vi /etc/group 查看系统的用户组。
-
[root@localhost /]# userdel adm
-
[root@localhost /]# userdel lp
-
[root@localhost /]# userdel sync
-
[root@localhost /]# userdel shutdown
-
[root@localhost /]# userdel halt
-
[root@localhost /]# userdel news
-
[root@localhost /]# userdel uucp
-
[root@localhost /]# userdel operator
-
[root@localhost /]# userdel games
-
[root@localhost /]# userdel gopher
-
[root@localhost /]# userdel ftp
-
-
[root@localhost /]# groupdel adm
-
[root@localhost /]# groupdel lp
-
[root@localhost /]# groupdel news
-
[root@localhost /]# groupdel uucp
-
[root@localhost /]# groupdel games
-
[root@localhost /]# groupdel dip
-
[root@localhost /]# groupdel pppusers
4. 限制su命令
限制只有特定用户组的用户才能使用su命令作为root权限,可以编辑 /etc/pam.d/su 文件,修改或增加下面的内容
# 这一行默认是有的
auth sufficient pam_rootok.so
# 将下面这行注释掉,后面加上 group=wheel ,注意顺序
#auth required pam_wheel.so use_uid
auth required pam_wheel.so use_uid group=wheel
这样设置之后只有wheel用户组的用户可以使用su切换为root。如果系统用户ru能够su切换为root,可以运行如下命令:
-
[root@localhost /]# usermod -G10 ru
这里注意,使用 su - 命令可以切换为root用户并将root的环境变量信息进行切换,而 su 命令仅仅是切换角色但还是原来用户的环境变量,可以使用 echo $PATH 进行查看。
5. 使用chattr命令将下面的文件加上不可更改属性,从而防止非授权用户获得权限。
-
[root@localhost /]# chattr +i /etc/passwd
-
[root@localhost /]# chattr +i /etc/shadow
-
[root@localhost /]# chattr +i /etc/group
-
[root@localhost /]# chattr +i /etc/gshadow
这样操作之后也无法创建账号和修改密码,后面可以使用chattr -i命令恢复之后再进行操作。
6. 禁止Ctrl+Alt+Delete重启命令
修改 /etc/inittab 文件,将下面一行注释掉
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
7. 设置/etc/profile
-
# 设置自动退出终端,防止非法关闭ssh客户端造成登录进程过多,可以设置大一些,单位为秒
-
[root@localhost /]# echo "TMOUT=3600" >>/etc/profile
-
# 历史命令记录数量设置为10条
-
[root@localhost /]# sed -i "s/HISTSIZE=1000/HISTSIZE=10/" /etc/profile
-
[root@localhost /]# source /etc/profile
8. 重新设置 /etc/rc.d/init.d/ 目录下所有文件的许可权限,仅root账号可以读、写和执行其中的所有脚本文件:
-
[root@localhost /]# chmod -R 700 /etc/rc.d/init.d/*
第二步、SSH安全配置
SSH作为系统登录的入口,其安全性好比城楼的城门,重要性不言而喻。
首先查看系统中是否安装了SSH:
-
[root@localhost /]# chkconfig --list |grep sshd
如果出现内容则说明安装了sshd服务,否则使用 yum install ssh 命令进行安装。
接下来先备份原来的配置文件
-
[root@localhost /]# cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
然后修改 /etc/ssh/sshd_config 文件:
# 修改SSH的端口,默认为22
Port 5028
# 将#protocol 2,1改为
protocol 2
# 不允许root用户直接登录
PermitRootLogin no
# 不允许空密码登录
PermitEmptyPasswords no
# 不适用DNS
UseDns no
最后使用 service sshd restart 重启SSH服务
第三步、关闭系统中不需要的服务和端口
1. 系统中少开一个服务就少一个危险,以下仅列出需要启动的服务,未列出的服务一律关闭,如果没有下面的服务则直接忽略:
-
[root@localhost /]# setup
-
acpid
-
anacron
-
cpuspeed
-
crond
-
iptables
-
irqbalance \\仅当服务器CPU为S.M.P架构或支持双核心、HT技术时,才需开启,否则关闭。
-
microcode_ctl
-
network
-
random
-
sendmail
-
sshd
-
syslog
-
# CentOS自动更新
-
yum-updatesd
2. 使用iptables防火墙只打开指定的端口
首先创建如下的sh文件:
-
#!/bin/bash
-
iptables -F INPUT
-
iptables -P INPUT DROP
-
# 打开80端口
-
/sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
-
# 打开SSH端口,这一点很重要,否则无法使用SSH了,注意将5028修改为你的SSH端口
-
/sbin/iptables -A INPUT -p tcp --dport 5028 -j ACCEPT
-
# 打开服务器对外的DNS端口
-
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
-
# 123为ntpdate更新时间的端口
-
iptables -A INPUT -p udp -m multiport --sport 53,123 -j ACCEPT
-
iptables -A INPUT -p udp --dport 53 -j ACCEPT
-
iptables -A OUTPUT -p udp --sport 53 -j ACCEPT
-
# 打开服务器内部访问80端口
-
iptables -A INPUT -p tcp -m multiport --sport 80,8080 -j ACCEPT
然后保存为closeports.sh文件,使用下面的命令执行该文件:
-
[root@localhost /home/ru]# chmod +x closeports.sh
-
[root@localhost /home/ru]# ./closeports.sh
-
# 保存规则
-
[root@localhost /home/ru]# /etc/init.d/iptables save
-
# 重启iptables
-
[root@localhost /home/ru]# /etc/init.d/iptables restart
-
# 使用lsof -i:xx查看端口是否有效
-
[root@localhost /home/ru]# lsof -i:81
详细的iptables配置信息存放在 /etc/sysconfig/iptables 文件中。
第四步、防止攻击
1. 阻止ping
将 /proc/sys/net/ipv4/icmp_echo_ignore_all 文件的内容修改为1,不过这样的话如果服务器重启之后就会恢复为0了。
可以将下面的内容加入到 /etc/rc.d/rc.local 文件中:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
2. 防止IP欺骗攻击
编辑 /etc/host.conf 文件,在下面增加如下几行:
-
[root@localhost /]# vi /etc/host.conf
-
order bind,hosts
-
multi off
-
nospoof on
3. 防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。对 /etc/security/limits.conf 文件添加如下内容:
-
# 禁止调试文件
-
* hard core 0
-
# 限制内存使用为5MB
-
* hard rss 5000
-
# 限制进程数为20
-
* hard nproc 20
接下来必须编辑 /etc/pam.d/login 文件确认下面一行是否存在,如果不存在的话添加上:
-
session required /lib/security/pam_limits.so
对于DDos攻击可以使用DDoS deflate脚本,详细介绍见下面的参考资料。
第五步、系统配置及性能调优
1. 修改系统默认字符集
如果使用英文安装系统之后,如果系统中有中文会显示乱码,这个时候需要修改系统默认的字符集:
-
[root@localhost /]# vi /etc/sysconfig/i18n
-
LANG="zh_CN.UTF-8"
-
-
[root@localhost /]# source /etc/sysconfig/i18n
将系统的编码修改为zh_CN.UTF-8,后面一句命令是让修改立即生效。
2. 使用ntp服务更新服务器时间
首先检查系统中是否安装了ntp服务:
-
[root@localhost /]# chkconfig --list |grep ntp
如果没有安装的话使用yum进行安装并更新时间
-
[root@localhost /]# yum install ntp
-
[root@localhost /]# ntpdate time.windows.com
也可以将更新命令加入到cron中进行自动更新时间:
-
[root@localhost /]# crontab -e
-
* */12 * * * ntpdate time.windows.com
-
-
[root@localhost /]# service crond restart
以上操作是每隔12小时自动更新一次时间,可以通过 crontab -l 命令进行查看。
3. 加大服务器文件描述符
当系统服务开启后,访问量变大,会使用到更多的文件描述符。使用 ulimit –n 命令显示当前的文件描述符数(需要使用 su - 命令切换到root账号)。可以使用如下方法加大文件描述符数:
-
[root@localhost /]# vi /etc/security/limits.conf
-
* - nofile 65536 #在文本的最后一行添加
重新登录之后,可以使用 ulimit –n 命令再次查看文件描述符会看的已经发生了变化。
4. 调整内核参数
-
[root@localhost /]# cp /etc/sysctl.conf /etc/sysctl.conf.bak
-
[root@localhost /]# vi /etc/sysctl.conf
-
-
net.ipv4.tcp_fin_timeout = 2
-
net.ipv4.tcp_tw_reuse = 1
-
net.ipv4.tcp_tw_recycle = 1
-
net.ipv4.tcp_syncookies = 1
-
net.ipv4.tcp_keepalive_time = 600
-
net.ipv4.ip_local_port_range = 4000 65000
-
net.ipv4.tcp_max_syn_backlog = 16384
-
net.ipv4.tcp_max_tw_buckets = 36000
-
net.ipv4.route.gc_timeout = 100
-
net.ipv4.tcp_syn_retries = 1
-
net.ipv4.tcp_synack_retries = 1
-
net.ipv4.ip_conntrack_max = 25000000
-
net.ipv4.netfilter.ip_conntrack_max=25000000
-
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180
-
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120
-
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60
-
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120
最后,使用 sysctl –p 命令让上述设置立即生效。
本文转自 佛哒 51CTO博客,原文链接:http://blog.51cto.com/fodaa/1404552,如需转载请自行联系原作者
