CentOS 伺服器安全設定
導讀 | 我們必須明白:最小的許可權+最少的服務=最大的安全。所以無論是配置任何伺服器,我們都必須把不用的服務關閉、把系統許可權設定到最小化,這樣才能保證伺服器最大的安全。 |
一、註釋掉系統不需要的使用者和使用者組
注意:不建議直接刪除,當你需要某個使用者時,自己重新新增會很麻煩。
cp /etc/passwd /etc/passwdbak #修改之前先備份 vi /etc/passwd #編輯使用者,在前面加上#註釋掉此行 #adm:x:3:4:adm:/var/adm:/sbin/nologin #lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin #sync:x:5:0:sync:/sbin:/bin/sync #shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown #halt:x:7:0:halt:/sbin:/sbin/halt #uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin #operator:x:11:0:operator:/root:/sbin/nologin #games:x:12:100:games:/usr/games:/sbin/nologin #gopher:x:13:30:gopher:/var/gopher:/sbin/nologin #ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin #註釋掉ftp匿名賬號 cp /etc/group /etc/groupbak #修改之前先備份 vi /etc/group #編輯使用者組,在前面加上#註釋掉此行 #adm:x:4:root,adm,daemon #lp:x:7:daemon,lp #uucp:x:14:uucp #games:x:20: #dip:x:40:
二、關閉系統不需要的服務
service acpid stop chkconfig acpid off #停止服務,取消開機啟動 #電源進階設定,常用在 Laptop 上 service autofs stop chkconfig autofs off #停用自動掛載檔桉系統與週邊裝置 service bluetooth stop chkconfig bluetooth off #停用Bluetooth藍芽 service cpuspeed stop chkconfig cpuspeed off #停用控制CPU速度主要用來省電 service cups stop chkconfig cups off #停用 Common UNIX Printing System 使系統支援印表機 service ip6tables stop chkconfig ip6tables off #停用IPv6防火牆 ################################################################################################# 如果要恢復某一個服務,可以執行下面操作 service acpid start chkconfig acpid on
三、禁止非root使用者執行/etc/rc.d/init.d/下的系統
chmod -R 700 /etc/rc.d/init.d/* chmod -R 777 /etc/rc.d/init.d/* #恢復預設設定
四、給下面的檔案加上不可更改屬性,從而防止非授權使用者獲得許可權
chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow chattr +i /etc/services #給系統服務埠列表檔案加鎖,防止未經許可的刪除或新增服務 lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/services #顯示檔案的屬性 注意:執行以上許可權修改之後,就無法新增刪除使用者了。 如果再要新增刪除使用者,需要先取消上面的設定,等使用者新增刪除完成之後,再執行上面的操作 chattr -i /etc/passwd #取消許可權鎖定設定 chattr -i /etc/shadow chattr -i /etc/group chattr -i /etc/gshadow chattr -i /etc/services #取消系統服務埠列表檔案加鎖 現在可以進行新增刪除使用者了,操作完之後再鎖定目錄檔案
五、限制不同檔案的許可權
chattr +a .bash_history #避免刪除.bash_history或者重定向到/dev/null chattr +i .bash_history chmod 700 /usr/bin 恢復 chmod 555 /usr/bin chmod 700 /bin/ping 恢復 chmod 4755 /bin/ping chmod 700 /usr/bin/vim 恢復 chmod 755 /usr/bin/vim chmod 700 /bin/netstat 恢復 chmod 755 /bin/netstat chmod 700 /usr/bin/tail 恢復 chmod 755 /usr/bin/tail chmod 700 /usr/bin/less 恢復 chmod 755 /usr/bin/less chmod 700 /usr/bin/head 恢復 chmod 755 /usr/bin/head chmod 700 /bin/cat 恢復 chmod 755 /bin/cat chmod 700 /bin/uname 恢復 chmod 755 /bin/uname chmod 500 /bin/ps 恢復 chmod 755 /bin/ps
六、禁止使用Ctrl+Alt+Del快捷鍵重啟伺服器
cp /etc/inittab /etc/inittabbak vi /etc/inittab #註釋掉下面這一行 #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
七、使用yum update更新系統時不升級核心,只更新軟體包
由於系統與硬體的相容性問題,有可能升級核心後導致伺服器不能正常啟動,這是非常可怕的,沒有特別的需要,建議不要隨意升級核心。
cp /etc/yum.conf /etc/yum.confbak 1、修改yum的配置檔案 vi /etc/yum.conf 在[main]的最後新增 exclude=kernel* 2、直接在yum的命令後面加上如下的引數: yum --exclude=kernel* update 檢視系統版本 cat /etc/issue 檢視核心版本 uname -a
八、關閉
自動更新
chkconfig --list yum-updatesd #顯示當前系統狀態 yum-updatesd 0:關閉 1:關閉 2:啟用 3:啟用 4:啟用 5:啟用 6:關閉 service yum-updatesd stop #關閉 開啟引數為start 停止 yum-updatesd: [確定] service yum-updatesd status #檢視是否關閉 yum-updatesd 已停 chkconfig --level 35 yum-updatesd off #禁止開啟啟動(系統模式為3、5) chkconfig yum-updatesd off #禁止開啟啟動(所有啟動模式全部禁止) chkconfig --list yum-updatesd #顯示當前系統狀態 yum-updatesd 0:關閉 1:關閉 2:啟用 3:關閉 4:啟用 5:關閉 6:關閉
九、關閉多餘的虛擬控制檯
我們知道從控制檯切換到 X 視窗,一般採用 Alt-F7 ,為什麼呢?因為系統預設定義了 6 個虛擬控制檯,
所以 X 就成了第7個。實際上,很多人一般不會需要這麼多虛擬控制檯的,修改/etc/inittab ,註釋掉那些你不需要的。
所以 X 就成了第7個。實際上,很多人一般不會需要這麼多虛擬控制檯的,修改/etc/inittab ,註釋掉那些你不需要的。
cp /etc/inittab /etc/inittabbak vi /etc/inittab # Run gettys in standard runlevels 1:2345:respawn:/sbin/mingetty tty1 #2:2345:respawn:/sbin/mingetty tty2 #3:2345:respawn:/sbin/mingetty tty3 #4:2345:respawn:/sbin/mingetty tty4 #5:2345:respawn:/sbin/mingetty tty5 #6:2345:respawn:/sbin/mingetty tty6
十、最佳化
核心引數
cp /etc/sysctl.conf /etc/sysctl.confbak vi /etc/sysctl.conf #在檔案末尾新增以下內容 net.ipv4.ip_forward = 1 #修改為1 net.core.somaxconn = 262144 net.core.netdev_max_backlog = 262144 net.core.wmem_default = 8388608 net.core.rmem_default = 8388608 net.core.rmem_max = 16777216 net.core.wmem_max = 16777216 net.ipv4.netfilter.ip_conntrack_max = 131072 net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 180 net.ipv4.route.gc_timeout = 20 net.ipv4.ip_conntrack_max = 819200 net.ipv4.ip_local_port_range = 10024 65535 net.ipv4.tcp_retries2 = 5 net.ipv4.tcp_fin_timeout = 30 net.ipv4.tcp_syn_retries = 1 net.ipv4.tcp_synack_retries = 1 net.ipv4.tcp_timestamps = 0 net.ipv4.tcp_tw_recycle = 1 net.ipv4.tcp_tw_len = 1 net.ipv4.tcp_tw_reuse = 1 net.ipv4.tcp_keepalive_time = 120 net.ipv4.tcp_keepalive_probes = 3 net.ipv4.tcp_keepalive_intvl = 15 net.ipv4.tcp_max_tw_buckets = 36000 net.ipv4.tcp_max_orphans = 3276800 net.ipv4.tcp_max_syn_backlog = 262144 net.ipv4.tcp_wmem = 8192 131072 16777216 net.ipv4.tcp_rmem = 32768 131072 16777216 net.ipv4.tcp_mem = 94500000 915000000 927000000 /sbin/sysctl -p #使配置立即生效
十一、CentOS 系統最佳化
cp /etc/profile /etc/profilebak2 vi /etc/profile #在檔案末尾新增以下內容 ulimit -c unlimited ulimit -s unlimited ulimit -SHn 65535 ulimit -S -c 0 export LC_ALL=C source /etc/profile #使配置立即生效 ulimit -a #顯示當前的各種使用者程式限制
十二、伺服器禁止ping
cp /etc/rc.d/rc.local /etc/rc.d/rc.localbak vi /etc/rc.d/rc.local #在檔案末尾增加下面這一行 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 引數0表示允許 1表示禁止
至此,CentOS Linux伺服器安全設定基本完成,以上設定經過筆者實戰測試(CentOS-5.5-x86_64)完全可用,更多的安全設定以及伺服器最佳化,還請大家自行測試。
原文來自: https://www.linuxprobe.com/centos-server-security-settings.html
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/69955379/viewspace-2909659/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 伺服器安全設定Centos7 防火牆firewall與iptables伺服器CentOS防火牆
- 伺服器安全必備:設定VPS安全伺服器
- 伺服器的安全設定方法伺服器
- windows伺服器詳細安全設定Windows伺服器
- centos伺服器安全技巧CentOS伺服器
- Centos系統伺服器設定時間自動同步!CentOS伺服器
- 域伺服器基礎設施設定與安全加固伺服器
- windows伺服器安全設定之提權篇Windows伺服器
- 收藏! Linux 伺服器必備的安全設定Linux伺服器
- centos基礎設定CentOS
- CentOS防火牆設定CentOS防火牆
- windowsserver2008阿里雲ECS伺服器安全設定WindowsServer阿里伺服器
- 用 NTP 設定 CentOS 和 Ubuntu 伺服器的正確時區CentOSUbuntu伺服器
- CentOS 7 防火牆設定CentOS防火牆
- Jtti:租用國外伺服器如何做好安全設定Jtti伺服器
- 伺服器Windows Server 2008 R2的安全設定伺服器WindowsServer
- win2003伺服器的一些安全設定伺服器
- 雲伺服器簡單基礎的DEDECMS安全設定伺服器
- Centos8伺服器安全高階篇(五 apache status 安全)CentOS伺服器Apache
- Linux/Window安全設定Linux
- centos7初始網路設定CentOS
- centos6.5伺服器安裝Nginx設定服務和開機自啟CentOS伺服器Nginx
- 微信隱私安全設定教程 如何設定微信隱私安全?
- centos7 設定tomcat自啟動CentOSTomcat
- CentOS 7 named設定主從複製CentOS
- Centos7環境變數設定CentOS變數
- centos自動登入帳號設定CentOS
- 安全性偏好設定
- win10電腦 tls安全設定怎麼設定為預設設定Win10TLS
- 設定 Teredo 伺服器,預設為:伺服器
- CentOS7.0怎麼設定螢幕解析度?CentOS7.0設定螢幕解析度教程CentOS
- 雲伺服器安全設計伺服器
- Centos7密碼登入失敗鎖定設定CentOS密碼
- CentOS7預設的快捷鍵如何修改設定CentOS
- 雲伺服器Linux系統設定時間同步設定伺服器Linux
- CentOS6.5如何設定NAT網路方式CentOS
- centos 設定二十四小時制CentOS
- 在CentOS8中設定SSH金鑰CentOS