服务器安全加固

环境: CentOS 7.2

背景

帮客户托管在机房的服务器系统做安全加固,加固好后会有第三方机构进行安全扫描。

步骤

  1. 禁止root用户直接登陆
1) 编辑配置文件/etc/ssh/sshd_config 修改PermitRootLogin 后面的yes 为 no ,并且去掉前面的注释符
2)编辑 /etc/pam.d/login文件,配置auth required pam_securetty.so
 3)编辑/etc/passwd,账户信息的shell为/sbin/nologin的为禁止远程登陆,如要允许,则改成可以登陆的shell即可,如/sbin/bash。
4)然后重启sshd服务 service sshd restart
  1. 设置用户密码复杂度和过期时间
是在/etc/login.defs文件,里面几个选项
PASS_MAX_DAYS   90  #密码最长过期天数
PASS_MIN_DAYS   80  #密码最小过期天数
PASS_MIN_LEN    10  #密码最小长度
PASS_WARN_AGE   7   #密码过期警告天数
  1. 登陆超时设置
/etc/profile最后一行加入TMOUT=300

4.系统关键文件权限设置

通过chmod命令对目录的权限进行实际设置
/etc/passwd 必须所有用户都可读,root用户可写 –rw-r—r— 
/etc/shadow 只有root可读 –r-------- 
/etc/group  须所有用户都可读,root用户可写 –rw-r—r—
使用如下命令设置:
chmod 644 /etc/passwd
chmod 600 /etc/shadow
chmod 644 /etc/group

5.设置文件与目录缺省权限

在文件/etc/profile中设置umask 027或UMASK 027
设置默认权限: 
vi /etc/login.defs, 
在末尾增加umask 027或UMASK 027,将缺省访问权限设置为750

6.设置ssh登录前警告Banner

1.  执行如下命令创建ssh banner信息文件: 
#touch /etc/ssh_banner 
#chown bin:bin /etc/ssh_banner 
#chmod 644 /etc/ssh_banner 
#echo " Authorized only. All activity will be monitored and reported "> /etc/ssh_banner 
可根据实际需要修改该文件的内容。 
2.  修改/etc/ssh/sshd_config文件,添加如下行: 
Banner /etc/ssh_banner 
3.  重启sshd服务: 
#/etc/init.d/sshd restart 

7.设置文件与目录缺省权限

在文件/etc/profile中设置umask 027或UMASK 027
设置默认权限: 
vi /etc/login.defs, 
在末尾增加umask 027或UMASK 027,将缺省访问权限设置为750
如果服务器类型为采集服务器或应用中需要使用ftp的,需要设置umask为007,并把ftp用户组和启动应用的用户设置为同一用户组下

8.修改ssh默认端口

# vi /etc/ssh/sshd_config 修改
Port 17382
#service sshd restart

9.限制用户su到root

编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: 
auth sufficient pam_rootok.so 和 
auth required pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。 
你可以把用户添加到wheel组,以使它可以使用su命令成为root用户。 
添加方法为:usermod –G wheel username
备注:双方共同运维服务器,且root密码为我方知晓时设置

10.检查拥有suid和sgid权限的文件

执行命令: 
find /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /usr/sbin/traceroute /bin/mount /bin/umount /bin/ping /sbin/netreport -type f -perm -04000 -o -perm -02000 -type f -xdev 2>/dev/null 
如果存在输出结果,则使用chmod 755 文件名 命令修改文件的权限。 
例如:chmod a-s /usr/bin/chage

注:所有软件最好用最新版本.
还对ftp端口进行了修改,防火墙注释掉对21 22端口的放行。vsp使用的是被动模式,开放出了高端位端口,目前还未进行安全扫描,后续根据扫描结果会继续修改本文。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 211,290评论 6 491
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,107评论 2 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 156,872评论 0 347
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,415评论 1 283
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,453评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,784评论 1 290
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,927评论 3 406
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,691评论 0 266
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,137评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,472评论 2 326
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,622评论 1 340
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,289评论 4 329
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,887评论 3 312
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,741评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,977评论 1 265
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,316评论 2 360
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,490评论 2 348

推荐阅读更多精彩内容

  • Ubuntu的发音 Ubuntu,源于非洲祖鲁人和科萨人的语言,发作 oo-boon-too 的音。了解发音是有意...
    萤火虫de梦阅读 99,201评论 9 467
  • 一、用户帐号和环境……………………………………………………………. 2 二、系统访问认证和授权…………………………...
    大福技术阅读 5,946评论 0 5
  • Spring Cloud为开发人员提供了快速构建分布式系统中一些常见模式的工具(例如配置管理,服务发现,断路器,智...
    卡卡罗2017阅读 134,629评论 18 139
  • 1、远程连接服务器 远程连接服务器对于管理员来说,是一个很有用的操作。它使得对服务器的管理更为方便。不过方便归方便...
    Zhang21阅读 39,487评论 0 20
  • linux资料总章2.1 1.0写的不好抱歉 但是2.0已经改了很多 但是错误还是无法避免 以后资料会慢慢更新 大...
    数据革命阅读 12,146评论 2 34