linux(CentOS)服务器安全配置详解

linux（CentOS）服务器安全配置详解1.关闭不必覍的服务chkconfig--list|awk{printchkconfig$1off}/tmp/chkconfiglist.sh;/bin/sh/tmp/chkconfiglist.sh;rm-rf/tmp/chkconfiglist.shchkconfigcrondonchkconfigirqbalanceonchkconfignetworkonchkconfigsshdonchkcon1.关闭不必覍的服务chkconfig--list|awk'{printchkconfig$1off}'/tmp/chkconfiglist.sh;/bin/sh/tmp/chkconfiglist.sh;rm-rf/tmp/chkconfiglist.shchkconfigcrondonchkconfigirqbalanceonchkconfignetworkonchkconfigsshdonchkconfigsyslogonchkconfigiptablesonsetenforce0sed-i's/^SELINUX=.*$/SELINUX=disabled/g'/etc/sysconfig/selinux2.åˆé™¤ä¸å¿…覍rpm包yum-ygroupremoveFTPServerText-basedInternetWindowsFileServerPostgreSQLDatabaseNewsServerDNSNameServerWebServerDialupNetworkingSupportMailServerOffice/ProductivityRubyOffice/ProductivitySoundandVideoXWindowSystemXSoftwareDevelopmentPrintingSupportOpenFabricsEnterpriseDistribution3.åˆé™¤ç³»ç»Ÿç‰¹æ®Šçš„的用户å¸�å�·ç¦æ­¢æ‰€æœ‰é»˜è®¤çš„被操作系统本身卯动的且不需覍的帍卷，当ä½ç¬¬ä¸€æ¬¡è£…上系统时就应该博此检查，Linux捍供了卄种帍卷，ä½å¯èƒ½ä¸éœ€è¦ï¼Œå¦‚æžœä½ä¸éœ€è¦�这个帍卷，就移走它，ä½æœ‰çš„帍卷越多，就越容易å�—到攻击foriinadmlpsyncshutdownhaltmailnewsuucpoperatorgamesgopherftpdouserdel$idoneforiinadmlpmailnewsuucpgamesdipdogroupdel$idone4.对用户和å�£ä»¤æ–‡ä»¶è¿›è¡Œæƒé™æŽ§åˆ¶,并åŠä¸Šä¸å¯æ›´æ”¹å±žæ€§chmod600/etc/passwdchmod600/etc/shadowchmod600/etc/groupchmod600/etc/gshadowchattr+i/etc/passwdchattr+i/etc/shadowchattr+i/etc/groupchattr+i/etc/gshadowchattr+i/etc/services5.ç¦�æ­¢pingecho1/proc/sys/net/ipv4/icmp_echo_ignore_all#临时生效echo'net.ipv4.icmp_echo_ignore_all=1/etc/sysctl.conf'#重卯永久生效6.修改ssh服务的root登录捃降前捍不行建立卦一个一般用户，修改ssh服务配置文件，使的ssh服务不免许直接使用root用户捥登录。vi/etct/ssh/sshd_configPermitRootLoginyes将这行前的#去掉华，修改为：PermitRootLoginno7.密ç�输错5次锍定180ssed-i'4aauthrequiredpam_tally2.sodeny=5unlock_time=180'/etc/pam.d/system-auth8.修改shell命令的history记录个数sed-i's/HISTSIZE=.*$/HISTSIZE=100/g'/etc/profilesource/etc/profile9.修改自动注销å¸�å�·æ—¶é—´è‡ªåŠ¨æ³¨é”€å¸å·çš„登录，在Linux系统中root账户是具有最高特捃的。如果系统管獆员在离开系统之前忘记注销root账户，那将会带捥很大的安全隍患，应该让系统会自动注销。通过修改账户中“TMOUT‍卂数，卯以实现此功能。TMOUT按秒计算。编辑ä½çš„profile文件(vi/etc/profile),在HISTSIZE=华鍢åŠå…¥ä¸‹é¢è¿™è¡Œï¼šTMOUT=300300，表示300秒，也就是表示5分钟。这æ·ï¼Œå¦‚果系统中登陆的用户在5分钟内都没有动作，那么系统会自动注销这个账户。10.记录母个在服务器上操作的命令mkdir/root/logs#记录日志位置自己更改，最好隍è—�echoexportPROMPT_COMMAND='{msg=\$(history1|{readxy;echo\$y;});user=\$(whoami);echo\$(date\+%Y-%m-%d%H:%M:%S\):\$user:\`pwd\`/:\$msg----\$(whoami);}\$HOME/logs/\`hostname\`.\`whoami\`.history-timestamp'/root/.bash_profile11.优化网络卂数sed-i's/net.ipv4.tcp_syncookies.*$/net.ipv4.tcp_syncookies=1/g'/etc/sysctl.conf#TCPSYNCookie俍护生效echo'net.ipv4.tcp_tw_reuse=1'/etc/sysctl.confecho'net.ipv4.tcp_tw_recycle=1'/etc/sysctl.confecho'net.ipv4.ip_local_port_range=102465000'/etc/sysctl.confsysctl-p12.iptablesé…�ç½®sed-i's/IPTABLES_MODULES=ip_conntrack_netbios_ns/#IPTABLES_MODULES=ip_conntrack_netbios_ns/g'/etc/sysconfig/iptables-configcat/etc/sysconfig/iptablesEOF#Firewallconfigurationwrittenbysystem-config-securitylevel#Manualcustomizationofthisfileisnotrecommended.*filter:INPUTDROP[0:0]:FORWARDACCEPT[0:0]:OUTPUTACCEPT[0:0]-AINPUT-ilo-jACCEPT-AINPUT-mstate--stateRELATED,ESTABLISHED-jACCEPT-AINPUT-ptcp-mstate--stateNEW-mtcp--dport22-jACCEPT-AINPUT-ptcp-mstate--stateNEW-mtcp--dport80-jACCEPT-AINPUT-picmp-mlimit--limit100/sec--limit-burst100-jACCEPT-AINPUT-picmp-mlimit--limit1/s--limit-burst10-jACCEPT#-AINPUT-pudp-mudp--dport20-jACCEPTCOMMITEOF/sbin/serviceatdstartecho/sbin/serviceiptablesstop|atnow+3minutes/sbin/serviceiptablesrestartiptablesæ¹æ®å®žé™…情况设置13．禍止Ctrl+Alt+Delete重新卯动机器命令　修改/etc/inittab文件，将ca::ctrlaltdel:/sbin/shutdown-t3-rnow一行注释掉。然华重新设置/etc/rc.d/init.d/目录下所有文件的许卯捃降，迍行如下命令：　#chmod-R700/etc/rc.d/init.d/*　这æ·ä¾¿ä»…有root卯以读」写或执行上述所有脚本文件。14．降制su命令如果您不想任何人能够su作为root，卯以编辑/etc/pam.d/su文件，增åŠå¦‚下两行：　authsufficient/lib/security/pam_rootok.sodebug　authrequired/lib/security/pam_wheel.sogroup=isd　这时，仅isd组的用户卯以su作为root。此华，如果您希望用户admin能够su作为root，卯以迍行如下命令：　#usermod-G10admin15．åˆå‡ç™»å½•ä¿¡æ¯é»˜è®¤æƒ…况下，登录捍示信捯包括Linux卑行版」内æ¸ç‰ˆæœ¬åå’ŒæœåŠ¡å™¨ä¸»æœºåç­‰