仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 385|回复: 7
打印 上一主题 下一主题

[CentOS(社区)] 来一发Centos体系宁静防护事情

[复制链接]
若天明 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:32:09 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!1.装置体系centos6.264X
2.定制体系分区,
2.1/分区100G;
2.2.swap2048M;
2.3./data分区,利用残剩全体可用空间。
2.4.别的需求依据办事特性举行定制;
2.体系瘦身,卸载无用体系软件;(此步调在线体系跳过)
yum-ygroupremove"FTPServer""Text-basedInternet""WindowsFileServer""PostgreSQLDatabase"
"NewsServer""DNSNameServer""WebServer""DialupNetworkingSupport""MailServer"
"Office/Productivity""Ruby""Office/Productivity""SoundandVideo""XWindowSystem""XSoftware
Development""PrintingSupport""OpenFabricsEnterpriseDistribution"

3.装置需要体系形态检察下令;
yum-yinstallgccgcc-c++autoconflibjpeglibjpeg-devellibpnglibpng-develfreetypefreetype-devel
libxml2libxml2-develzlibzlib-develglibcglibc-develglib2glib2-develbzip2bzip2-develzipunzip
ncursesncurses-develcurlcurl-devele2fsprogse2fsprogs-develkrb5-devellibidnlibidn-developenssl
opensshopenssl-develnss_ldapopenldapopenldap-developenldap-clientsopenldap-serverslibxslt-devel
libevent-develntplibtool-ltdlbisonlibtoolvim-enhancedpythonwgetlsofiptrafstracelrzsz
kernel-develkernel-headerspam-develTcl/Tkcmakencurses-develbisonsetuptool

4.锁定无用账户;
passwd-lxfs
passwd-lnews
passwd-lnscd
passwd-ldbus
passwd-lvcsa
passwd-lgames
passwd-lnobody
passwd-lavahi
passwd-lhaldaemon
passwd-lgopher
passwd-lftp
passwd-lmailnull
passwd-lpcap
passwd-lmail
passwd-lshutdown
passwd-lhalt
passwd-luucp
passwd-loperator
passwd-lsync
passwd-ladm
passwd-llp
5.限定关头下令,研发职员利用root暗码大概将某用户提拔至root级别,可使用,现不合用ptmind;
#chmod700/bin/ping
#chmod700/usr/bin/finger
#chmod700/usr/bin/who
#chmod700/usr/bin/w
#chmod700/usr/bin/locate
#chmod700/usr/bin/whereis
#chmod700/sbin/ifconfig
#chmod700/usr/bin/pico
#chmod700/bin/vi
#chmod700/usr/bin/which
#chmod700/usr/bin/gcc
#chmod700/usr/bin/make
#chmod700/bin/rpm

6.修正暗码输出失利3次,锁定5分钟;
sed-is#authrequiredpam_env.so#authrequiredpam_env.soauth
requiredpam_tally.soonerr=faildeny=3unlock_time=300authrequired
/lib/security/$ISA/pam_tally.soonerr=faildeny=3unlock_time=300#/etc/pam.d/system-auth

7.修正30分钟无举动,主动加入;
echo"TMOUT=1800">>/etc/profile

8.修正体系翻开最年夜文件数;
echo"*softnofile66666">>/etc/security/limits.conf
echo"*hardnofile66666">>/etc/security/limits.conf

9.封闭ipv6;
echo"aliasnet-pf-10off">>/etc/modprobe.conf
echo"aliasipv6off">>/etc/modprobe.conf
/sbin/chkconfig--level35ip6tablesoff

10.变动体系默许字体为UTF8;
sed-is@LANG=.*$@LANG="en_US.UTF-8"@g/etc/sysconfig/i18n

11.修正启动形式到3;
sed-is/id:.*$/id:3:initdefault:/g/etc/inittab

12.内核参数调剂;
cat>>/etc/sysctl.conf<<EOF
#michaelkangadd120724
net.ipv4.tcp_abort_on_overflow=1
net.ipv4.tcp_syncookies=1
net.ipv4.tcp_tw_reuse=1
net.ipv4.tcp_tw_recycle=1
net.ipv4.tcp_fin_timeout=20
net.ipv4.tcp_retries1=2
net.ipv4.tcp_retries2=5
net.ipv4.tcp_max_orphans=2000
net.ipv4.tcp_keepalive_time=1200
net.ipv4.tcp_keepalive_intvl=15
net.ipv4.tcp_keepalive_probes=5
net.ipv4.tcp_syn_retries=2
net.ipv4.tcp_synack_retries=3
net.ipv4.tcp_max_syn_backlog=8192
net.ipv4.tcp_max_tw_buckets=5000
EOF
sysctl-p
13.清算无用办事;
#!/bin/sh
foriin`ls/etc/rc3.d/S*`
do
CURSRV=`echo$i|cut-c15-`
echo$CURSRV
case$CURSRVin
cpuspeed|crond|irqbalance|microcode_ctl|xinetd|network|mon|partmon|messagebus|udev-
post|sshd|rsyslog|syslog)
#这个启动的体系办事依据详细的使用情形设置,个中network、sshd、syslog是三项必需要启动的体系办事!
echo"Baseservices,Skip!"
;;
*)
echo"change$CURSRVtooff"
chkconfig--level235$CURSRVoff
service$CURSRVstop
;;
esac
done
14.增加需要的用户和组

mkdir/workspace
cp/etc/shadow/workspace/
cp/etc/passwd/workspace/
groupaddpublic
useraddabc-gpublic
echoabc:$1$V5X9cldh$skn2.IclKEc.HFVLW/|chpasswd-e
history-c
15.关头文件增加特别权限;
chattr+i/etc/passwd
chattr+i/etc/shadow
chattr+i/etc/group
chattr+i/etc/gshadow
#historysecurity
chattr+a/root/.bash_history
chattr+i/root/.bash_history

16.修正/data下目次权限
chownuser:group/data/

17.付与user初级权限
echo"userALL=(ALL)NOPASSWD:ALL">>/etc/sudoers

18.晋级openssh登录步伐;
cd/workspace
wgethttp://mirror.internode.on.net/p...penssh-5.8p2.tar.gz
tar-xvfopenssh-5.8p2.tar.gz
cdopenssh-5.8p2
#yuminstallpam-devel
./configure--prefix=/usr--sysconfdir=/etc/ssh--with-pam--with-zlib--with-ssl-
dir=/usr/include/openssl--mandir=/usr/share/man
make
mkdir-p/etc/sshbak
mv/etc/ssh/*/etc/sshbak/
makeinstall
chkconfig--addsshd
chkconfigsshdon
/etc/init.d/sshdrestart
cd/workspace/

19.装置denyhost暴力破解软件;
wgethttp://sourceforge.net/projects/...enyHosts-2.6.tar.gz
tar-zxvfDenyHosts-2.6.tar.gz
mvDenyHosts-2.6denyhost
cddenyhost/
yuminstallpython-y
pythonsetup.pyinstall
cd/usr/share/denyhosts/
cpdaemon-control-distdaemon-control
cpdenyhosts.cfg-distdenyhosts.cfg

chownrootdaemon-control
chmod700daemon-control

ln-s/usr/share/denyhosts/daemon-control/etc/init.d/denyhosts

chkconfig--adddenyhosts
chkconfigdenyhostson
mvdenyhosts.cfgdenyhosts.cfg.bak

cat>/usr/share/denyhosts/denyhost.cfg<EOF
SECURE_LOG=/var/log/secure
#ssh日记文件
HOSTS_DENY=/etc/hosts.deny
#将制止IP写进到hosts.deny
PURGE_DENY=1d
#过量久后扫除已克制的,个中w代表周,d代表天,h代表小时,s代表秒,m代表分钟
BLOCK_SERVICE=ALL
#制止办事名
DENY_THRESHOLD_INVALID=5
#同意有效用户(在/etc/passwd未列出)登录失利次数,同意有效用户登录失利的次数.
DENY_THRESHOLD_VALID=5
#同意一般用户登录失利的次数
DENY_THRESHOLD_ROOT=5
#同意root登录失利的次数
DENY_THRESHOLD_RESTRICTED=1
#设定denyhost写进到该材料夹
WORK_DIR=/usr/share/denyhosts/data
#将deny的host或ip记录到Work_dir中
SUSPICIOUS_LOGIN_REPORT_ALLOWED_HOSTS=YES
HOSTNAME_LOOKUP=YES
#是不是做域名反解
LOCK_FILE=/var/lock/subsys/denyhosts
#将DenyHOts启动的pid记录到LOCK_FILE中,已确保办事准确启动,避免同时启动多个办事。
ADMIN_EMAIL=michaelkang@ptmind.com
#设置***邮件地点
SMTP_HOST=localhost
SMTP_PORT=25
SMTP_FROM=DenyHosts<nobody@localhost>
SMTP_SUBJECT=DenyHostsReport
AGE_RESET_VALID=1d
#无效用户登录失利计数回零的工夫
AGE_RESET_ROOT=1d
#root用户登录失利计数回零的工夫
AGE_RESET_RESTRICTED=5d
#用户的失利登录计数重置为0的工夫(/usr/share/denyhosts/data/restricted-usernames)
AGE_RESET_INVALID=10d
#有效用户登录失利计数回零的工夫
DAEMON_LOG=/var/log/denyhosts
#本人的日记文件
DAEMON_SLEEP=30s
DAEMON_PURGE=1d
#该项与PURGE_DENY设置成一样,也是扫除hosts.deniedssh用户的工夫
EOF
cd/workspace/
/etc/init.d/denyhostsstart
20.装置DDOS防护防火墙;
wgethttp://www.inetbase.com/scripts/ddos/install.sh
chmod0700install.sh
./install.sh

21.加强体系宁静,修正体系,设置经由过程history检察汗青下令只显现10条;;
sed-i"s/HISTSIZE=1000/HISTSIZE=10/"/etc/profile

22.安排用户举动审计;
mkdir-p/etc/share/
cat/dev/null>/usr/share/um.log
chownnobody:nobody/usr/share/um.log
chmod002/usr/share/um.log
chattr+a/usr/share/um.log

将上面的内容增加到/etc/profile
exportHISTORY_FILE=/etc/share/um/um.log
exportPROMPT_COMMAND={date"+%y-%m-%d%T#####$(whoami|awk"{print$1""$2""$5}")####
$(id|awk"{print$1}")####$(history1|{readxcmd;echo"$cmd";})";}>>$HISTORY_FILE

然后实行:source/etc/profile

23.给/tmp和/var/tmp设置了粘滞位;
chmod+t/var/
chmod+t/tmp/
18.修正用户ssh登录限定;
cat>>/etc/hosts.allow<<EOF
sshd:192.168.16.0/255.255.255.0
EOF
echosshd:all>>/etc/hosts.deny

24.ssh宁静加固;
#ssh宁静加固,修正/etc/ssh/sshd_config文件
#只同意SSH2体例的连
sed-i"s/#Protocol2,1/Protocol2/"/etc/ssh/sshd_config
#指定每一个毗连最年夜同意的认证次数。默许值是6
sed-i"s/#MaxAuthTries6/MaxAuthTries6/"/etc/ssh/sshd_config
#不利用DNS剖析
sed-i"s/#UseDNSyes/UseDNSno/"/etc/ssh/sshd_config
#不同意root用户间接登录,但root用户可使用证书间接登录
sed-i"s/#PermitRootLoginyes/PermitRootLoginwithout-password/"/etc/ssh/sshd_config
#SERVER_KEY的长度
sed-i"s/#ServerKeyBits768/#ServerKeyBits1024/"/etc/ssh/sshd_config
sed-i"s/#UseLoginno/UseLoginyes/"/etc/ssh/sshd_config
#PermitEmptyPasswordsno#不同意空暗码用户login(仅仅是明文暗码体例,非证书体例)。
sed-i"s/#PermitEmptyPasswordsno/PermitEmptyPasswordsno/"/etc/ssh/sshd_config
#RSAAuthenticationyes#启用RSA认证。
sed-i"s/#RSAAuthenticationyes/RSAAuthenticationyes/"/etc/ssh/sshd_config
#PubkeyAuthenticationyes#启用公钥认证。
sed-i"s/#PubkeyAuthenticationyes/PubkeyAuthenticationyes/"/etc/ssh/sshd_config
#增补:修正vi/etc/ssh/ssh_config文件(全局设置文件)
#同意RSA私钥体例认证。
sed-i"s/#RSAAuthenticationyes/RSAAuthenticationyes/"/etc/ssh/sshd_config
#克制利用空暗码登录
sed-i"s/#PermitEmptyPasswordsno/PermitEmptyPasswordsno/"/etc/ssh/sshd_config
#PasswordAuthenticationno#,克制明文暗码上岸。
#sed-i"s/#PasswordAuthenticationyes/PasswordAuthenticationno/"/etc/ssh/sshd_config

25.修正用户暗码利用最长工夫90天,修正暗码最小长度8位;
/etc/login.defs
PASS_MAX_DAYS90
PASS_MIN_LEN8

26.导进办理证书

欢迎大家来到仓酷云论坛!
蒙在股里 该用户已被删除
沙发
发表于 2015-1-24 12:53:26 | 只看该作者
这种补充有助于他人在邮件列表/新闻组/论坛中搜索对你有过帮助的完整解决方案,这可能对他们也很有用。
飘飘悠悠 该用户已被删除
板凳
发表于 2015-2-1 16:44:10 | 只看该作者
甚至目前许多应用软件都是基于它的。可是没有哪一个系统是十分完美的。
爱飞 该用户已被删除
地板
发表于 2015-2-7 12:53:38 | 只看该作者
在学习的过程中,我们用的是VM虚拟机,开始时真的不真的该怎么去做,特别是我的是命令窗口界面,别人的是图形界面,我都不知道怎么调过来。
精灵巫婆 该用户已被删除
5#
发表于 2015-2-22 15:53:05 | 只看该作者
直到学习Linux这门课以后,我才知道,原来我错了。?
兰色精灵 该用户已被删除
6#
发表于 2015-3-7 03:24:40 | 只看该作者
就这样,我们一边上OS理论课,一边上这个实验,这样挺互补的,老师讲课,一步一步地布置任务
分手快乐 该用户已被删除
7#
发表于 2015-3-14 11:53:21 | 只看该作者
Linux操作系统这个名词记得在很早以前就听过,但当时并不知道具体是什么样的操作系统,只知道是一个与嵌入式密切相关的操作系统。
山那边是海 该用户已被删除
8#
发表于 2015-3-21 09:12:35 | 只看该作者
任何一个叫做操作系统的东西都是这样子构成的:内核+用户界面+一般应用程序。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-11-16 13:57

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表