来一发Centos体系宁静防护事情

如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的好朋友们！1.装置体系centos6.264X
2.定制体系分区,
2.1/分区100G；
2.2.swap2048M；
2.3./data分区，利用残剩全体可用空间。
2.4.别的需求依据办事特性举行定制；
2.体系瘦身，卸载无用体系软件；（此步调在线体系跳过）
yum-ygroupremove"FTPServer""Text-basedInternet""WindowsFileServer""PostgreSQLDatabase"
"NewsServer""DNSNameServer""WebServer""DialupNetworkingSupport""MailServer"
"Office/Productivity""Ruby""Office/Productivity""SoundandVideo""XWindowSystem""XSoftware
Development""PrintingSupport""OpenFabricsEnterpriseDistribution"

3.装置需要体系形态检察下令；
yum-yinstallgccgcc-c++autoconflibjpeglibjpeg-devellibpnglibpng-develfreetypefreetype-devel
libxml2libxml2-develzlibzlib-develglibcglibc-develglib2glib2-develbzip2bzip2-develzipunzip
ncursesncurses-develcurlcurl-devele2fsprogse2fsprogs-develkrb5-devellibidnlibidn-developenssl
opensshopenssl-develnss_ldapopenldapopenldap-developenldap-clientsopenldap-serverslibxslt-devel
libevent-develntplibtool-ltdlbisonlibtoolvim-enhancedpythonwgetlsofiptrafstracelrzsz
kernel-develkernel-headerspam-develTcl/Tkcmakencurses-develbisonsetuptool

4.锁定无用账户;
passwd-lxfs
passwd-lnews
passwd-lnscd
passwd-ldbus
passwd-lvcsa
passwd-lgames
passwd-lnobody
passwd-lavahi
passwd-lhaldaemon
passwd-lgopher
passwd-lftp
passwd-lmailnull
passwd-lpcap
passwd-lmail
passwd-lshutdown
passwd-lhalt
passwd-luucp
passwd-loperator
passwd-lsync
passwd-ladm
passwd-llp
5.限定关头下令,研发职员利用root暗码大概将某用户提拔至root级别，可使用，现不合用ptmind；
#chmod700/bin/ping
#chmod700/usr/bin/finger
#chmod700/usr/bin/who
#chmod700/usr/bin/w
#chmod700/usr/bin/locate
#chmod700/usr/bin/whereis
#chmod700/sbin/ifconfig
#chmod700/usr/bin/pico
#chmod700/bin/vi
#chmod700/usr/bin/which
#chmod700/usr/bin/gcc
#chmod700/usr/bin/make
#chmod700/bin/rpm

6.修正暗码输出失利3次，锁定5分钟;
sed-is#authrequiredpam_env.so#authrequiredpam_env.soauth
requiredpam_tally.soonerr=faildeny=3unlock_time=300authrequired
/lib/security/$ISA/pam_tally.soonerr=faildeny=3unlock_time=300#/etc/pam.d/system-auth

7.修正30分钟无举动，主动加入;
echo"TMOUT=1800">>/etc/profile

8.修正体系翻开最年夜文件数;
echo"*softnofile66666">>/etc/security/limits.conf
echo"*hardnofile66666">>/etc/security/limits.conf

9.封闭ipv6;
echo"aliasnet-pf-10off">>/etc/modprobe.conf
echo"aliasipv6off">>/etc/modprobe.conf
/sbin/chkconfig--level35ip6tablesoff

10.变动体系默许字体为UTF8；
sed-is@LANG=.*$@LANG="en_US.UTF-8"@g/etc/sysconfig/i18n

11.修正启动形式到3;
sed-is/id:.*$/id:3:initdefault:/g/etc/inittab

12.内核参数调剂；
cat>>/etc/sysctl.conf<<EOF
#michaelkangadd120724
net.ipv4.tcp_abort_on_overflow=1
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_tw_recycle=1
net.ipv4.tcp_fin_timeout=20
net.ipv4.tcp_retries1=2
net.ipv4.tcp_retries2=5
net.ipv4.tcp_max_orphans=2000
net.ipv4.tcp_keepalive_time=1200
net.ipv4.tcp_keepalive_intvl=15
net.ipv4.tcp_keepalive_probes=5
net.ipv4.tcp_syn_retries=2
net.ipv4.tcp_synack_retries=3
net.ipv4.tcp_max_syn_backlog=8192
net.ipv4.tcp_max_tw_buckets=5000
EOF
sysctl-p
13.清算无用办事；
#!/bin/sh
foriin`ls/etc/rc3.d/S*`
do
CURSRV=`echo$i|cut-c15-`
echo$CURSRV
case$CURSRVin
cpuspeed|crond|irqbalance|microcode_ctl|xinetd|network|mon|partmon|messagebus|udev-
post|sshd|rsyslog|syslog)
#这个启动的体系办事依据详细的使用情形设置，个中network、sshd、syslog是三项必需要启动的体系办事！
echo"Baseservices,Skip!"
;;
*)
echo"change$CURSRVtooff"
chkconfig--level235$CURSRVoff
service$CURSRVstop
;;
esac
done
14.增加需要的用户和组

mkdir/workspace
cp/etc/shadow/workspace/
cp/etc/passwd/workspace/
groupaddpublic
useraddabc-gpublic
echoabc:$1$V5X9cldh$skn2.IclKEc.HFVLW/|chpasswd-e
history-c
15.关头文件增加特别权限;
chattr+i/etc/passwd
chattr+i/etc/shadow
chattr+i/etc/group
chattr+i/etc/gshadow
#historysecurity
chattr+a/root/.bash_history
chattr+i/root/.bash_history

16.修正/data下目次权限
chownuser:group/data/

17.付与user初级权限
echo"userALL=(ALL)NOPASSWD:ALL">>/etc/sudoers

18.晋级openssh登录步伐；
cd/workspace
wgethttp://mirror.internode.on.net/p...penssh-5.8p2.tar.gz
tar-xvfopenssh-5.8p2.tar.gz
cdopenssh-5.8p2
#yuminstallpam-devel
./configure--prefix=/usr--sysconfdir=/etc/ssh--with-pam--with-zlib--with-ssl-
dir=/usr/include/openssl--mandir=/usr/share/man
make
mkdir-p/etc/sshbak
mv/etc/ssh/*/etc/sshbak/
makeinstall
chkconfig--addsshd
chkconfigsshdon
/etc/init.d/sshdrestart
cd/workspace/

19.装置denyhost暴力破解软件；
wgethttp://sourceforge.net/projects/...enyHosts-2.6.tar.gz
tar-zxvfDenyHosts-2.6.tar.gz
mvDenyHosts-2.6denyhost
cddenyhost/
yuminstallpython-y
pythonsetup.pyinstall
cd/usr/share/denyhosts/
cpdaemon-control-distdaemon-control
cpdenyhosts.cfg-distdenyhosts.cfg

chownrootdaemon-control
chmod700daemon-control

ln-s/usr/share/denyhosts/daemon-control/etc/init.d/denyhosts

chkconfig--adddenyhosts
chkconfigdenyhostson
mvdenyhosts.cfgdenyhosts.cfg.bak

cat>/usr/share/denyhosts/denyhost.cfg<EOF
SECURE_LOG=/var/log/secure
#ssh日记文件
HOSTS_DENY=/etc/hosts.deny
#将制止IP写进到hosts.deny
PURGE_DENY=1d
#过量久后扫除已克制的，个中w代表周，d代表天，h代表小时，s代表秒，m代表分钟
BLOCK_SERVICE=ALL
#制止办事名
DENY_THRESHOLD_INVALID=5
#同意有效用户（在/etc/passwd未列出）登录失利次数,同意有效用户登录失利的次数.
DENY_THRESHOLD_VALID=5
#同意一般用户登录失利的次数
DENY_THRESHOLD_ROOT=5
#同意root登录失利的次数
DENY_THRESHOLD_RESTRICTED=1
#设定denyhost写进到该材料夹
WORK_DIR=/usr/share/denyhosts/data
#将deny的host或ip记录到Work_dir中
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
#是不是做域名反解
LOCK_FILE=/var/lock/subsys/denyhosts
#将DenyHOts启动的pid记录到LOCK_FILE中，已确保办事准确启动，避免同时启动多个办事。
ADMIN_EMAIL=michaelkang@ptmind.com
#设置***邮件地点
SMTP_HOST=localhost
SMTP_PORT=25
SMTP_FROM=DenyHosts<nobody@localhost>
SMTP_SUBJECT=DenyHostsReport
AGE_RESET_VALID=1d
#无效用户登录失利计数回零的工夫
AGE_RESET_ROOT=1d
#root用户登录失利计数回零的工夫
AGE_RESET_RESTRICTED=5d
#用户的失利登录计数重置为0的工夫(/usr/share/denyhosts/data/restricted-usernames)
AGE_RESET_INVALID=10d
#有效用户登录失利计数回零的工夫
DAEMON_LOG=/var/log/denyhosts
#本人的日记文件
DAEMON_SLEEP=30s
DAEMON_PURGE=1d
#该项与PURGE_DENY设置成一样，也是扫除hosts.deniedssh用户的工夫
EOF
cd/workspace/
/etc/init.d/denyhostsstart
20.装置DDOS防护防火墙；
wgethttp://www.inetbase.com/scripts/ddos/install.sh
chmod0700install.sh
./install.sh

21.加强体系宁静，修正体系,设置经由过程history检察汗青下令只显现10条；;
sed-i"s/HISTSIZE=1000/HISTSIZE=10/"/etc/profile

22.安排用户举动审计；
mkdir-p/etc/share/
cat/dev/null>/usr/share/um.log
chownnobody:nobody/usr/share/um.log
chmod002/usr/share/um.log
chattr+a/usr/share/um.log

将上面的内容增加到/etc/profile
exportHISTORY_FILE=/etc/share/um/um.log
exportPROMPT_COMMAND={date"+%y-%m-%d%T#####$(whoami|awk"{print$1""$2""$5}")####
$(id|awk"{print$1}")####$(history1|{readxcmd;echo"$cmd";})";}>>$HISTORY_FILE

然后实行：source/etc/profile

23.给/tmp和/var/tmp设置了粘滞位;
chmod+t/var/
chmod+t/tmp/
18.修正用户ssh登录限定；
cat>>/etc/hosts.allow<<EOF
sshd:192.168.16.0/255.255.255.0
EOF
echosshd:all>>/etc/hosts.deny

24.ssh宁静加固;
#ssh宁静加固，修正/etc/ssh/sshd_config文件
#只同意SSH2体例的连
sed-i"s/#Protocol2,1/Protocol2/"/etc/ssh/sshd_config
#指定每一个毗连最年夜同意的认证次数。默许值是6
sed-i"s/#MaxAuthTries6/MaxAuthTries6/"/etc/ssh/sshd_config
#不利用DNS剖析
sed-i"s/#UseDNSyes/UseDNSno/"/etc/ssh/sshd_config
#不同意root用户间接登录，但root用户可使用证书间接登录
sed-i"s/#PermitRootLoginyes/PermitRootLoginwithout-password/"/etc/ssh/sshd_config
#SERVER_KEY的长度
sed-i"s/#ServerKeyBits768/#ServerKeyBits1024/"/etc/ssh/sshd_config
sed-i"s/#UseLoginno/UseLoginyes/"/etc/ssh/sshd_config
#PermitEmptyPasswordsno#不同意空暗码用户login（仅仅是明文暗码体例，非证书体例）。
sed-i"s/#PermitEmptyPasswordsno/PermitEmptyPasswordsno/"/etc/ssh/sshd_config
#RSAAuthenticationyes#启用RSA认证。
sed-i"s/#RSAAuthenticationyes/RSAAuthenticationyes/"/etc/ssh/sshd_config
#PubkeyAuthenticationyes#启用公钥认证。
sed-i"s/#PubkeyAuthenticationyes/PubkeyAuthenticationyes/"/etc/ssh/sshd_config
#增补：修正vi/etc/ssh/ssh_config文件（全局设置文件）
#同意RSA私钥体例认证。
sed-i"s/#RSAAuthenticationyes/RSAAuthenticationyes/"/etc/ssh/sshd_config
#克制利用空暗码登录
sed-i"s/#PermitEmptyPasswordsno/PermitEmptyPasswordsno/"/etc/ssh/sshd_config
#PasswordAuthenticationno#，克制明文暗码上岸。
#sed-i"s/#PasswordAuthenticationyes/PasswordAuthenticationno/"/etc/ssh/sshd_config

25.修正用户暗码利用最长工夫90天，修正暗码最小长度8位；
/etc/login.defs
PASS_MAX_DAYS90
PASS_MIN_LEN8

26.导进办理证书

欢迎大家来到仓酷云论坛！

这种补充有助于他人在邮件列表/新闻组/论坛中搜索对你有过帮助的完整解决方案，这可能对他们也很有用。

甚至目前许多应用软件都是基于它的。可是没有哪一个系统是十分完美的。

在学习的过程中，我们用的是VM虚拟机，开始时真的不真的该怎么去做，特别是我的是命令窗口界面，别人的是图形界面，我都不知道怎么调过来。

直到学习Linux这门课以后，我才知道，原来我错了。?

就这样，我们一边上OS理论课，一边上这个实验，这样挺互补的，老师讲课，一步一步地布置任务

Linux操作系统这个名词记得在很早以前就听过，但当时并不知道具体是什么样的操作系统，只知道是一个与嵌入式密切相关的操作系统。

任何一个叫做操作系统的东西都是这样子构成的：内核+用户界面+一般应用程序。