您当前的位置:首页 > 电脑百科 > 站长技术 > 服务器

centos7安全加固方案

时间:2020-08-03 10:17:17  来源:  作者:
  • 一、用户帐号和环境

  检查项:

  1. 清除了operator、lp、shutdown、halt、games、gopher 帐号 删除的用户组有: lp、uucp、games、dip 其它系统伪帐号均处于锁定SHELL登录的状态

  2. 验证是否有账号存在空口令的情况: awk -F: '($2 == "") { print $1 }' /etc/shadow

  3. 检查除了root以外是否还有其它账号的UID为0:

  awk -F: '($3 == 0) { print $1 }' /etc/passwd(任何UID为0的账号在系统上都具有超级用户权限.)

  4. 检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录(超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马)

  5. 用户的home目录许可权限设置为700 (用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限 )

  6. 是否有用户的点文件是所有用户可读写的: for dir in

  `awk -F: '($3 >= 500) { print $6 }' /etc/passwd` do

  for file in $dir/.[A-Za-z0-9]* do

  if [ -f $file ]; then chmod o-w $file fi done done(Unix/linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限)

  7. 为用户设置合适的缺省umask值:

  cd /etc

  for file in profile csh.login csh.cshrc bashrc do

  if [ `grep -c umask $file` -eq 0 ]; then

  echo "umask 022" >> $file

  fi

  chown root:root $file

  chmod 444 $file

  done

  (为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据).

  8. 设备系统口令策略:修改/etc/login.defs文件 将PASS_MIN_LEN最小密码长度设置为12位。

  10. 限制能够su为root 的用户:#vi /etc/pam.d/su 在文件头部添加下面这样的一行

  auth required pam_wheel.so use_uid

  (这样,只有wheel组的用户可能su到root 操作样例:

  #usermod -G10 test 将test用户加入到wheel组)

  11. 修改别名文件/etc/aliases:#vi /etc/aliases

  注释掉不要的 #games: root #ingres: root #system: root #toor: root #uucp: root

  #manager: root #dumper: root #operator: root #decode: root #root: marc

  修改后执行/usr/bin/newaliases

  13. 修改账户TMOUT值,设置自动注销时间 vi /etc/profile 增加TMOUT=600

  (无操作600秒后自动退出)

  14. 设置Bash保留历史命令的条数 #vi /etc/profile 修改HISTSIZE=5

  (即只保留最新执行的5条命令)

  16. 防止IP SPOOF:

  #vi /etc/host.conf 添加:nospoof on

  (不允许服务器对IP地址进行欺骗)

  17. 使用日志服务器:

  #vi /etc/rsyslog.conf 照以下样式修改

  *.info;mail.none;authpriv.none;cron.none @192.168.10.199

  (这里只是作为参考,需要根据实际决定怎么配置参数)

  • 二、系统访问认证和授权

  检查项

  1. 限制 at/cron被授权的用户:

  cd /etc/

  rm -f cron.deny at.deny

  (Cron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单, 在多数系统上通常只有系统管理员)

  2. Crontab文件限制访问权限:

  chown root:root /etc/crontab chmod 400 /etc/crontab

  chown -R root:root /var/spool/cron chmod -R go-rwx /var/spool/cron chown -R root:root /etc/cron.* chmod -R go-rwx /etc/cron.*

  (系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序)

  3. 建立恰当的警告banner:

  echo "Authorized uses only. All activity may be

  monitored and reported." >>/etc/motd

  chown root:root /etc/motd chmod 644 /etc/motd

  echo "Authorized uses only. All activity may be

   monitored and reported." >> /etc/issue

  echo "Authorized uses only. All activity may be monitored and reported." >> /etc/issue.net

  (改变登录banner可以隐藏操作系统

  类型和版本号和其它系统信息,这些

  信息可以会对攻击者有用.)

  4. 限制root登录到系统控制台:

  cat < tty5 tty4 tty3 tty2 tty1 securetty>

  END_FILE

  chown root:root /etc/securetty

  chmod 400 /etc/securetty

  (通常应该以普通用户身份访问系统,然后通过其它授权机制(比如su命令和sudo)来获得更高权限,这样做至少可以对登录事件进行跟踪)

  5. 设置守护进程掩码 vi /etc/rc.d/init.d/functions

  设置为 umask 022

  (系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件)

  • 三、核心调整

  检查项

  1. 禁止core dump:

  cat <>/etc/security/limits.conf

  * soft core 0

  * hard core 0

  END_ENTRIES

  (允许core dump会耗费大量的磁盘空间.)

  2. chown root:root /etc/sysctl.conf

  chmod 600 /etc/sysctl.conf

  (log_martians将进行ip假冒的ip包记录到/var/log/messages

  其它核心参数使用centos默认值。)

  • 四、需要关闭的一些服务

  设置项

  1. 关闭Mail Server chkconfig

  postfix off

  (多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务)

  • 五、SSH安全配置

  设置项

  1. 配置空闲登出的超时间隔: ClientAliveInterval 300

  ClientAliveCountMax 0

  (Vi /etc/ssh/sshd_config)

  2. 禁用 .rhosts 文件

  IgnoreRhosts yes(Vi /etc/ssh/sshd_config)

  3. 禁用基于主机的认证

  HostbasedAuthentication no (Vi /etc/ssh/sshd_config)

  4. 禁止 root 帐号通过 SSH 登录 PermitRootLogin no

  (Vi /etc/ssh/sshd_config)

  5. 用警告的 Banner Banner /etc/issue

  (Vi /etc/ssh/sshd_config)

  6. iptables防火墙处理 SSH 端口 # 64906

  -A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 64906 -j

  ACCEPT

  -A INPUT -s 202.54.1.5/29 -m state --state NEW -p tcp --dport 64906 –j

  ACCEPT

  (这里仅作为参考,需根据实际需要调整参数)

  7. 修改 SSH 端口和限制 IP 绑定:

  Port 64906

  安装selinux管理命令

  yum -y install policycoreutils-Python

  修改 port contexts(关键),需要对context进行修改

  semanage port -a -t ssh_port_t -p tcp 64906

  semanage port -l | grep ssh ----查看当前SElinux 允许的ssh端口

  (Vi /etc/ssh/sshd_config仅作为参考,需根据实际需要调整参数)

  8. 禁用空密码:

  PermitEmptyPasswords no

  (禁止帐号使用空密码进行远程登录SSH)

  9. 记录日志:

  LogLevel INFO

  (确保在 sshd_config 中将日志级别 LogLevel 设置为 INFO 或者 DEBUG,可通过 logwatch or logcheck 来阅读日志。)

  10. 重启SSH

  systemctl restart sshd.service

  (重启ssh)

  • 六、封堵openssl的Heartbleed漏洞

  检测方法:在服务器上运行以下命令确认openssl版本

  # openssl version

  OpenSSL 1.0.1e-fips 11 Feb 2013

  以上版本的openssl存在Heartbleed bug,需要有针对性的打补丁。 升级补丁:

  #yum -y install openssl 验证:

  # openssl version -a

  OpenSSL 1.0.1e-fips 11 Feb 2013

  built on: Thu Jun 5 12:49:27 UTC 2014

  以上built on 的时间是2014.6.5号,说明已经修复了该漏洞。

  注:如果能够临时联网安装以上补丁,在操作上会比较简单一些。如果无法联网,则有两种处理办法:首选从安装光盘拷贝独立的rpm安装文件并更新;另一个办法是提前下载最新版本的openssl源码,编译并安装。

  • 七、开启防火墙策略

  在CentOS7.0中默认使用firewall代替了iptables service。虽然继续保留了iptables命令,但已经仅是名称相同而已。除非手动删除firewall,再安装iptables,否则不能继续使用以前的iptables配置方法。以下介绍的是firewall配置方法:

  #cd /usr/lib/firewalld/services //该目录中存放的是定义好的网络服务和端口参数,只用于参考,不能修改。这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务,也不必再增加相关xml定义,后续通过管理命令可以直接增加。 #cd /etc/firewalld/services/

  //从上面目录中将需要使用的服务的xml文件拷至

这个目录中,如果端口有变化则可以修改文件中的数值。

 

  • 八、启用系统审计服务

  审计内容包括:系统调用、文件访问、用户登录等。编辑/etc/audit/audit.rules,在文中添加如下内容:

  -w /var/log/audit/ -k LOG_audit

  -w /etc/audit/ -p wa -k CFG_audit

  -w /etc/sysconfig/auditd -p wa -k CFG_auditd.conf

  -w /etc/libaudit.conf -p wa -k CFG_libaudit.conf

  -w /etc/audisp/ -p wa -k CFG_audisp

  -w /etc/cups/ -p wa -k CFG_cups

  -w /etc/init.d/cups -p wa -k CFG_initd_cups

  -w /etc/netlabel.rules -p wa -k CFG_netlabel.rules

  -w /etc/selinux/mls/ -p wa -k CFG_mac_policy

  -w /usr/share/selinux/mls/ -p wa -k CFG_MAC_policy

  -w /etc/selinux/semanage.conf -p wa -k CFG_MAC_policy

  -w /usr/sbin/stunnel -p x

  -w /etc/security/rbac-self-test.conf -p wa -k CFG_RBAC_self_test

  -w /etc/aide.conf -p wa -k CFG_aide.conf

  -w /etc/cron.allow -p wa -k CFG_cron.allow

  -w /etc/cron.deny -p wa -k CFG_cron.deny

  -w /etc/cron.d/ -p wa -k CFG_cron.d

  -w /etc/cron.daily/ -p wa -k CFG_cron.daily

  -w /etc/cron.hourly/ -p wa -k CFG_cron.hourly

  -w /etc/cron.monthly/ -p wa -k CFG_cron.monthly

  -w /etc/cron.weekly/ -p wa -k CFG_cron.weekly

  -w /etc/crontab -p wa -k CFG_crontab

  -w /var/spool/cron/root -k CFG_crontab_root

  -w /etc/group -p wa -k CFG_group

  -w /etc/passwd -p wa -k CFG_passwd

  -w /etc/gshadow -k CFG_gshadow

  -w /etc/shadow -k CFG_shadow

  -w /etc/security/opasswd -k CFG_opasswd

  -w /etc/login.defs -p wa -k CFG_login.defs

  -w /etc/securetty -p wa -k CFG_securetty

  -w /var/log/faillog -p wa -k LOG_faillog

  -w /var/log/lastlog -p wa -k LOG_lastlog

  -w /var/log/tallylog -p wa -k LOG_tallylog

  -w /etc/hosts -p wa -k CFG_hosts

  -w /etc/sysconfig/network-scripts/ -p wa -k CFG_network

  -w /etc/inittab -p wa -k CFG_inittab

  -w /etc/rc.d/init.d/ -p wa -k CFG_initscripts

  -w /etc/ld.so.conf -p wa -k CFG_ld.so.conf

  -w /etc/localtime -p wa -k CFG_localtime

  -w /etc/sysctl.conf -p wa -k CFG_sysctl.conf

  -w /etc/modprobe.conf -p wa -k CFG_modprobe.conf

  -w /etc/pam.d/ -p wa -k CFG_pam

  -w /etc/security/limits.conf -p wa -k CFG_pam

  -w /etc/security/pam_env.conf -p wa -k CFG_pam

  -w /etc/security/namespace.conf -p wa -k CFG_pam

  -w /etc/security/namespace.init -p wa -k CFG_pam

  -w /etc/aliases -p wa -k CFG_aliases

  -w /etc/postfix/ -p wa -k CFG_postfix

  -w /etc/ssh/sshd_config -k CFG_sshd_config

  -w /etc/vsftpd.ftpusers -k CFG_vsftpd.ftpusers

  -a exit,always -F arch=b32 -S sethostname

  -w /etc/issue -p wa -k CFG_issue

  -w /etc/issue.net -p wa -k CFG_issue.net

  重启audit服务

  #service auditd restart

  • 九、部署完整性检查工具软件

  AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具,主要用途是检查文档的完整性。

  AIDE能够构造一个指定文档的数据库,它使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性,包括:权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法:sha1、md5、rmd160、tiger,以密文形式建立每个文档的校验码或散列号。

  在系统安装完毕,要连接到网络上之前,系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。数据库应该包含这些信息:关键的系统二进制可执行程式、动态连接库、头文档连同其他总是保持不变的文档。这个数据库不应该保存那些经常变动的文档信息,例如:日志文档、邮件、/proc文档系统、用户起始目录连同临时目录 安装方法:

  #yum -y install aide

  注:如果主机不能联网安装AIDE,那么也可以从安装光盘拷贝至目标主机。

  检验系统文件完整性的要求:

因为AIDE可执行程序的二进制文档本身可能被修改了或数据库也被修改了。因此,应该把AIDE的数据库放到安全的地方,而且进行检查时要使用确保没有被修改过的程序,最好是事先为AIDE执行程序生成一份MD5信息。再次使用AIDE可执行程序时,需要先验证该程序没有被篡改过。

 

建立、更新样本库:

  1)执行初始化,建立第一份样本库 # aide --init

  # cd /var/lib/aide/

  # mv aide.db.new.gz aide.db.gz //替换旧的样本库

  2)更新到样本库

  #aide --update

  # cd /var/lib/aide/

  # mv aide.db.new.gz aide.db.gz //替换旧的样本库

  执行aide入侵检测:

  1)查看入侵检测报告

  #aide --check

  报告的详细程度可以通过-V选项来调控,级别为0-255,-V0 最简略,-V255 最详细。 或

  #aide --compare

  这个命令要求在配置文件中已经同时指定好了新、旧两个库文件。

  2)保存入侵检测报告(将检查结果保存到其他文件)

  aide --check --report=file:/tmp/aide-report-20120426.txt

  3)定期执行入侵检测,并发送报告

  # crontab -e

  45 17 * * * /usr/sbin/aide -C -V4 | /bin/mail -s "AIDE REPORT $(date +%Y%m%d)" abcdefg#163.com

  或

  45 23 * * * aide -C >> /var/log/aide/'date +%Y%m%d'_aide.log

  记录aide可执行文件的md5 checksum:

  #md5sum /usr/sbin/aide

  • 十、部署系统监控环境

  该段落因为需要安装或更新较多的依赖包,所以目前仅作为参考。 为了在将来合适的时候,可以支持通过一台集中的监控主机全面监控主机系统和网络设备的运行状态、网络流量等重要数据,可以在安全加固主机的系统中预先安装和预留了系统监控软件nagIOS和cacti在被监控主机中需要使用的软件支撑环境。

  由于以下软件在安装过程中需要使用源码编译的方式,由此而引发需要安装GCC和OPENSSL-DEVEL。而为了安装GCC和OPENSSL-DEVEL而引发的依赖包的安装和更新大约有20个左右。这就违反了安全加固主机要保持最小可用系统的设计原则,所以该部分监控软件支撑环境的部署工作不作为默认设置,但仍然通过下文给出了部署参考,以用于系统运行运维过程中需要部署全局性监控系统时使用。

  1)安装net-snmp服务 #yum -y install net-snmp

  #chkconfig snmpd off ---将该服务设置为默认关闭,这里只是为以后部署cacti先预置一个支撑环境

  如果不能联网安装,则可以使用安装光盘,并安装以下几个rpm包: lm_sensors , net-snmp , net-snmp-libs , net-snmp-utils

  2)安装nagios-plugin和nrpe

  a. 增加用户&设定密码 # useradd nagios # passwd nagios

  b. 安装Nagios 插件

  # tar zxvf nagios-plugins-2.0.3.tar.gz # cd nagios-plugins-2.0.3 # ./configure --prefix=/usr/local/nagios # make && make install

  这一步完成后会在/usr/local/nagios/下生成三个目录include、libexec和share。 修改目录权限

  # chown nagios.nagios /usr/local/nagios # chown -R nagios.nagios /usr/local/nagios/libexec

  c. 安装NRPE

  # tar zxvf nrpe-2.15.tar.gz # cd nrpe-2.15 # ./configure

  # make all

  接下来安装NPRE插件,daemon和示例配置文件。 c.1 安装check_nrpe 这个插件 # make install-plugin

  监控机需要安装check_nrpe 这个插件,被监控机并不需要,在这里安装它只是为了测试目的。

  c.2 安装deamon # make install-daemon c.3 安装配置文件

  # make install-daemon-config

  现在再查看nagios 目录就会发现有5个目录了



Tags:centos7   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
阿里云镜像源地址及安装网站地址https://developer.aliyun.com/mirror/centos?spm=a2c6h.13651102.0.0.3e221b111kK44P更新源之前把之前的国外的镜像先备份一下 切换到yumcd...【详细内容】
2021-12-27  Tags: centos7  点击:(1)  评论:(0)  加入收藏
一. 配置yum源在目录 /etc/yum.repos.d/ 下新建文件 google-chrome.repovim /etc/yum.repos.d/google-chrome.repo按i进入编辑模式写入如下内容:[google-chrome]name=googl...【详细内容】
2021-12-23  Tags: centos7  点击:(7)  评论:(0)  加入收藏
yum -y install gcc automake autoconf libtool makeadduser testpasswd testmkdir /tmp/exploitln -s /usr/bin/ping /tmp/exploit/targetexec 3< /tmp/exploit/targetls -...【详细内容】
2021-12-22  Tags: centos7  点击:(7)  评论:(0)  加入收藏
概述我们知道SQL Server是微软公司推出的重要的数据库产品,通常情况下只支持部署在windows平台上。不过令人感到兴奋的是,从SQL Server 2017开始支持 linux系统。此 SQL Serve...【详细内容】
2021-12-17  Tags: centos7  点击:(13)  评论:(0)  加入收藏
准备安装包(PHP: Hypertext Preprocessor)下载安装包以及组件wget https://www.php.net/distributions/php-8.0.0.tar.bz2wget https://github.com/phpredis/phpredis/archive...【详细内容】
2021-11-09  Tags: centos7  点击:(40)  评论:(0)  加入收藏
在上一篇 VMware 安装 Centos7 详细过程 (新建虚拟机) 文章中详细说明了VMware新建虚拟机的每一个步骤,这一篇文章将详细记录CentOS的每一步的安装。0x01 引导界面虚拟机已经...【详细内容】
2021-09-17  Tags: centos7  点击:(77)  评论:(0)  加入收藏
养成良好习惯,在安装前先更新一下软件包,多数软件包更新主要是修补漏洞。 更新 CentOS 软件包yum -y update虽然也是可以不进行更新直接安装。安装 OpenVPN 和...【详细内容】
2021-09-02  Tags: centos7  点击:(105)  评论:(0)  加入收藏
Redis的可视化客户端目前较流行的有两个:Redis Desktop Manager 、 Redis Client 。Redis Client ,网络上大部分都是windows,完善说上有linux的jar.又是FQ,下载,却提示32位的不...【详细内容】
2021-07-28  Tags: centos7  点击:(91)  评论:(0)  加入收藏
一、环境说明本文中使用本地VM虚机部署测试。OS:CentOS Linux release 7.8.2003 (Core)虚机配置:2核CPU、4G内存①系统为CentOS 7.8 x64最小化安装,部署前已完成系统初始化、...【详细内容】
2021-06-25  Tags: centos7  点击:(141)  评论:(0)  加入收藏
一、准备机器  1、准备四台机器,(minio集群最少四台)。192.168.223.132 minio-1192.168.223.133 minio-2192.168.223.134 minio-3192.168.223.135 minio-4  2、编辑hosts文...【详细内容】
2021-05-19  Tags: centos7  点击:(191)  评论:(0)  加入收藏
▌简易百科推荐
阿里云镜像源地址及安装网站地址https://developer.aliyun.com/mirror/centos?spm=a2c6h.13651102.0.0.3e221b111kK44P更新源之前把之前的国外的镜像先备份一下 切换到yumcd...【详细内容】
2021-12-27  干程序那些事    Tags:CentOS7镜像   点击:(1)  评论:(0)  加入收藏
前言在实现TCP长连接功能中,客户端断线重连是一个很常见的问题,当我们使用netty实现断线重连时,是否考虑过如下几个问题: 如何监听到客户端和服务端连接断开 ? 如何实现断线后重...【详细内容】
2021-12-24  程序猿阿嘴  CSDN  Tags:Netty   点击:(12)  评论:(0)  加入收藏
一. 配置yum源在目录 /etc/yum.repos.d/ 下新建文件 google-chrome.repovim /etc/yum.repos.d/google-chrome.repo按i进入编辑模式写入如下内容:[google-chrome]name=googl...【详细内容】
2021-12-23  有云转晴    Tags:chrome   点击:(7)  评论:(0)  加入收藏
一. HTTP gzip压缩,概述 request header中声明Accept-Encoding : gzip,告知服务器客户端接受gzip的数据 response body,同时加入以下header:Content-Encoding: gzip:表明bo...【详细内容】
2021-12-22  java乐园    Tags:gzip压缩   点击:(8)  评论:(0)  加入收藏
yum -y install gcc automake autoconf libtool makeadduser testpasswd testmkdir /tmp/exploitln -s /usr/bin/ping /tmp/exploit/targetexec 3< /tmp/exploit/targetls -...【详细内容】
2021-12-22  SofM    Tags:Centos7   点击:(7)  评论:(0)  加入收藏
Windows操作系统和Linux操作系统有何区别?Windows操作系统:需支付版权费用,(华为云已购买正版版权,在华为云购买云服务器的用户安装系统时无需额外付费),界面化的操作系统对用户使...【详细内容】
2021-12-21  卷毛琴姨    Tags:云服务器   点击:(6)  评论:(0)  加入收藏
参考资料:Hive3.1.2安装指南_厦大数据库实验室博客Hive学习(一) 安装 环境:CentOS 7 + Hadoop3.2 + Hive3.1 - 一个人、一座城 - 博客园1.安装hive1.1下载地址hive镜像路径 ht...【详细内容】
2021-12-20  zebra-08    Tags:Hive   点击:(9)  评论:(0)  加入收藏
以下是服务器安全加固的步骤,本文以腾讯云的CentOS7.7版本为例来介绍,如果你使用的是秘钥登录服务器1-5步骤可以跳过。1、设置复杂密码服务器设置大写、小写、特殊字符、数字...【详细内容】
2021-12-20  网安人    Tags:服务器   点击:(7)  评论:(0)  加入收藏
项目中,遇到了一个问题,就是PDF等文档不能够在线预览,预览时会报错。错误描述浏览器的console中,显示如下错误:nginx代理服务报Mixed Content: The page at ******** was loaded...【详细内容】
2021-12-17  mdong    Tags:Nginx   点击:(7)  评论:(0)  加入收藏
转自: https://kermsite.com/p/wt-ssh/由于格式问题,部分链接、表格可能会失效,若失效请访问原文密码登录 以及 通过密钥实现免密码登录Dec 15, 2021阅读时长: 6 分钟简介Windo...【详细内容】
2021-12-17  LaLiLi    Tags:SSH连接   点击:(16)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条