|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!注:以下全体内容来历于《熟习linux体系宁静与优化》一书局部节选。
1、体系宁静纪录文件
#more/var/log/secure
统计会见IP及次数。
#grep-oP(d+.){3}d+/var/log/secure|sort|uniq-c
2、启动和登录宁静性
1.用户口令
修正改暗码长度/etc/login.defs
#vi/etc/login.defs
PASS_MIN_LEN8
2.正文失落不必要的用户和用户组
vi/etc/passwd
vi/etc/group
3.口令文件
chattr下令给上面的文件加上不成变动属性,从而避免非受权用户取得权限。
#chattr+i/etc/passwd
#chattr+i/etc/shadow
#chattr+i/etc/group
#chattr+i/etc/gshadow
4.克制CtrlAltDelete从头启念头器下令
修正/etc/inittab文件,将ca::ctrlaltdel:/sbin/shutdown-t3-rnow”一行正文失落。
然后从头设置/etc/rc.d/init.d/目次下一切文件的允许权限,运转以下下令:
#chmod-R700/etc/rc.d/init.d/*
如许便唯一root能够读、写或实行上述一切剧本文件。
5.限定su下令
当不想任何人可以su作为root,能够编纂/etc/pam.d/su文件,增添以下两行:
authsufficient/lib/security/pam_rootok.sodebug
authrequired/lib/security/pam_wheel.sogroup=isd
这时候,仅isd组的用户能够su作为root。今后,假如但愿用户admin可以su作为root,能够运转以下下令:
#usermod-G10admin
6.变动SSH端口,最好改成10000以上,他人扫描到端口的机率也会下落
不同意利用低版本的SSH协定
vi/etc/ssh/ssd_config
将#protocol2,1
改成protocol2
将PORT改成1000以上端口
vi/etc/ssh/sshd_config
Port10000
同时,创立一个一般登任命户,并作废间接root登录
useraddusername
passwdusername
vi/etc/ssh/sshd_config
PermitRootLoginno
#作废root间接近程登录
7.封闭那些不必要的办事,记着少开一个办事,就少一个伤害。
以下仅列出必要启动的办事,未列出的办事一概封闭:
#setup
acpid
anacron
cpuspeed
crond
irqbalance仅当办事器CPU为S.M.P架构或撑持双中心、HT手艺时,才需开启,不然封闭。
microcode_ctl
network
random
sendmail
sshd
syslog
yum-updatesd
8.启用iptables防火墙,对增添体系宁静有很多优点。设置好防火墙的划定规矩。
/etc/init.d/iptablesstart
3、限定收集会见
1.NFS会见
利用NFS收集文件体系办事,应当确保/etc/exports具有最严厉的会见权限设置,也就是意味着不要利用任何通配符、不同意root写权限而且只能装置为只读文件体系。编纂文件/etc/exports并到场以下两行。
/dir/to/exporthost1.mydomain.com(ro,root_squash)
/dir/to/exporthost2.mydomain.com(ro,root_squash)
/dir/to/export是想输入的目次,host.mydomain.com是登录这个目次的呆板名,ro意味着mount成只读体系,root_squash克制root写进该目次。为了使修改失效,运转以下下令。
#/usr/sbin/exportfs-a
2.TCP_WRAPPERS设置
默许情形下,多半Linux体系同意一切的哀求,而用TCP_WRAPPERS加强体系宁静性是举手之劳,能够修正/etc/hosts.deny和/etc/hosts.allow来增添会见限定。比方,将/etc/hosts.deny设为”ALL:ALL”能够默许回绝一切会见,然后在/etc/hosts.allow文件中增加同意的会见。
比方,”sshd:192.168.10.10/255.255.255.0gate.openarch.com”暗示
同意IP地点192.168.10.10和主机名gate.openarch.com同意经由过程SSH毗连。
3.登录终端设置
/etc/securetty文件指定了同意root登录的tty装备,由/bin/login步伐读取,其格局是一个被同意的名字列表,能够编纂/etc/securetty且正文失落以下的行。
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
这时候,root仅可在tty1终端登录。
4、避免打击
1.制止ping假如没人能ping通体系,宁静性天然增添了,为此,我们能够在/etc/rc.d/rc.local文件中增添以下一行
echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all
2.避免IP棍骗
编纂host.conf文件并增添以下几行来避免IP棍骗打击。
orderbind,hosts剖析按次
multion同意多面收集(多网卡开启)
nospoofon回绝IP棍骗
3.避免DoS打击
对体系一切的用户设置资本限定能够避免DoS范例打击,如最猛进程数和内存利用数目等。
比方,能够在/etc/security/limits.conf中增加以下几行:
*hardcore0
*hardrss5000
*hardnproc20
然后必需编纂/etc/pam.d/login文件反省上面一行是不是存在。
sessionrequired/lib/security/pam_limits.so
core0暗示克制创立core文件,
nproc20把最多的历程数限定到20
*暗示登录到体系的一切用户
rss5000暗示除root以外,别的用户最多只能用5M内存。如许能够更好的把持体系顶用户对历程、core文件和内存的利用情形。
欢迎大家来到仓酷云论坛! |
|