收藏
下载资源 加入VIP,免费下载

centos7安全加固方案全套.docx

上传人:王** 文档编号:1513152 上传时间:2024-08-04 格式:DOCX 页数:21 大小:28.60KB
下载 相关 举报
centos7安全加固方案全套.docx_第1页
第1页 / 共21页
centos7安全加固方案全套.docx_第2页
第2页 / 共21页
centos7安全加固方案全套.docx_第3页
第3页 / 共21页
centos7安全加固方案全套.docx_第4页
第4页 / 共21页
centos7安全加固方案全套.docx_第5页
第5页 / 共21页
centos7安全加固方案全套.docx_第6页
第6页 / 共21页
centos7安全加固方案全套.docx_第7页
第7页 / 共21页
centos7安全加固方案全套.docx_第8页
第8页 / 共21页
centos7安全加固方案全套.docx_第9页
第9页 / 共21页
centos7安全加固方案全套.docx_第10页
第10页 / 共21页
亲,该文档总共21页,到这儿已超出免费预览范围,如果喜欢就下载吧!
资源描述

《centos7安全加固方案全套.docx》由会员分享,可在线阅读,更多相关《centos7安全加固方案全套.docx(21页珍藏版)》请在优知文库上搜索。

1、centos7安全加固方案一、用户帐号和环境检查项:1 .清除了operator1.p%shutdown,ha1.t,games、gopher帐号删除的用户组有:Ip、uucp.games.dip其它系统伪帐号均处于锁定SHE1.1.登录的状态2 .览证是否有账号存在空口令的情况:awk-F:($2=)(print$1,etcshadow3 .检查除了root以外是否还有其它账号的UID为0:awk-F:($3=0)print$1etcpasswd(任何UID为0的账号在系统上都具有超级用户权限.)4 .检直root用户的$PATH中是否有或者所有用户/组用户可写的目录(超级用户的$PATH设

2、置中如果存在这些目录可能会导致超级用户误执行洛伊木马)5 .用户的home目录许可权限设置为700(用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限)6 .是否有用户的点文件是所有用户可读写的:fordirinawk-F:($3=500)print$6,etcpasswddoforfi1.einSdir.A-Za-zO-9*doif(-fSfi1.e;thenchmodo-w$fi1.efidonedone(Uni1.inux下通常以”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取

3、得其它用户的系统权限)7 .为用户设置合适的缺省UmaSk值:cd/etcforfi1.einprofi1.ecsh.1.ogincsh.cshrcbashrcdoif(grep-cumask$fi1.e-eq0;thenechoumask022$fi1.efichownrootoot$fi1.echmod444Sfi1.edone(为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据).8 .设备系统口令策略:修改etc1.ogin.defs文件将PASS_MIN_1.EN最小密码长度设置为12位。10.限制能够Su为root的用户:#vietcpam.dsu在文

4、件头部添加下面这样的一行authrequiredpam_whee1.souse_uid(这样,只有whee1.组的用户可能su到root操作样例:#usermod-G1.Otest将test用户加入到whee1.组)I1.修改别名文件etca1.iases:#vietca1.iases注释掉不要的#games:root#ingres:root#system:root#toor:root#uucp:root#manager:root#dumper:root#operatocroot#decode:root#root:marc修改后执行usrbinnewa1.iases13 .修改账户TMOUT值

5、,设置自动注销时间Vietcprofi1.e增力口TMoUT=600(无操作600秒后自动退出)14 .设置Bash保留历史命令的条数#vietcprofi1.e修改Histsize=51 即只保留最新执行的5条命令)16 .防止IPSPOOF:#vietchost.conf添力口:nospoofon(不允许服务器对IP地址进行欺骗)17 .使用日志服务器:#vietcrsys1.og.conf照以下样式修改*.info;mai1.none;authpriv.none;cron.none192.168.10.199(这里只是作为参考,需要根据实际决定怎么配置参数)二、系统访问认证和授权检查项1

6、 .限制at/cron被授权的用户:cd/etc/rm-fcron.denyat.deny(Cron.a1.1.ow和at.a1.1.ow文件列出了允许允许crontab和at命令的用户名单,在多数系统上通常只有系统管理员)2 .Crontab文件限制访问权限:chownrootootetccrontabchmod400etccrontabchown-Rrootootvarspoo1.cronchmod-Rgo-rwvarspoo1.cronchown-Rroot:rootetccron.*chmod-Rgo-rwetccron.*(系统的crontab文件应该只能被cron守护进程(它以超级

7、用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序)3 .建立恰当的警告banner:echoAuthorizeduseson1.y.A1.1.activitymaybemonitoredandreported.etcmotdchownrootootetcmotdchmod644etcmotdechoAuthorizeduseson1.y.A1.1.activitymaybemonitoredandreported.etcissueechoAuthorizeduseson1.y.A1.1.activitymaybemonitoredandrepo

8、rted.etc(改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用.)4 .限制root登录到系统控制台:catENDJI1.Echownrootootetcsecurettychmod400etcsecuretty(通常应该以普通用户身份访问系统,然后通过其它授权机制(比如SU命令和SUdO)来获得更高权限,这样做至少可以对登录事件进行跟踪)5 .设置守护进程掩码Vietcrc.dinit.dfunctions设置为umask022(系统缺省的umask值应该设定为022以避免守护进程创建所有用户可写的文件)三、核心调整检查项1 .禁止coredum

9、p:catetcsecurity1.imits.conf* softcore0* hardcore0END-ENTRIES(允许coredump会耗费大量的磁盘空间.)2 .chownroot:rootetcsysct1.confchmod600etcsysct1.conf(1.og_martians将进行ip假冒的ip包记录至var/1.og/messages其它核心参数使用CentOS默认值。)四、需要关闭的一些服务设置项1.关闭Mai1.Serverchkconfigpostfixoff侈数Uni1.inux系统运行Sendmai1.作为邮件服务器,而该软件历史上出现过较多安全漏洞,如无

10、必要,禁止该服务)五、SSH安全配置设置项1 .配置空闲登出的超时间隔:CIientAIiveIntervaI300C1.ientAIiveCountMax0(Vietcsshsshd-config)2 .禁用.rhosts文件IgnoreRhostsyes(VietcsshSShd_Config)3 .禁用基于主机的认证HostbasedAuthenticationno(Vietcsshsshd-config)4 .禁止root帐号通过SSH登录PermitRoot1.oginno(Vietcsshsshd-config)5 .用警告的BannerBanneretcissue(Vietcss

11、hsshd,config)6 .iptab1.es防火墙处理SSH端口#64906-AINPUT-s192.168.1.0/24-mstate-stateNEW-ptcpdport64906-jACCEPT-AINPUT-s202.54.1.5/29-mstate-stateNEW-ptcpdport64906-jACCEPT(这里仅作为参考,需根据实际需要调整参数)7 .修改SSH端口和限制IP绑定:Port64906安装se1.inux管理命令yum-yinsta1.1.po1.icycoreuti1.s-python修改portCOmeXtS(关键),需要对context进行修改sema

12、nageport-a-tssh_port_t-ptcp64906semanageport-Igrepssh查看当前SEIinux允许的ssh端口(Vi/etc/ssh/sshd_config仅作为参考,需根据实际需要调整参数)8 .禁用空密码:PermitEmptyPasswordsno(禁止帐号使用空密码进行远程登录SSH)9 .记录日志:1.og1.eveIINFO(确保在sshd.config中将日志级别1.og1.eveI设置为INFO或者DEBUGf可通过Iogwatchor1.ogcheck来阅读日志。)10 .SSHSystemct1.restartsshd.service(重启

13、ssh)六、封堵。PenSS1.的Heartb1.eed漏洞检测方法:在服务器上运行以下命令确认OPenSS1.版本#openss1.versionOpenSS1.1.0.1e-fips11Feb2013以上版本的OPenSS1.存在Heartb1.eedbug,需要有针对性的打补T1,升级补丁:#yum-yinsta1.1.openss1.:#openss1.version-aOpenSS1.1.0.1e-fips11Feb2013bui1.ton:ThuJun512:49:27UTC2014以上bui1.ton的时间是2014.6.5号,说明已经修复了该漏洞。注:如果能够临时联网安装以上补

14、丁,在操作上会比较简单一些.如果无法联网,则有两种处理办法:首选从安装光盘拷贝独立的rpm安装文件并更新;另一个办法是提前下载最新版本的OPenSS1.源码,编译并安装。 七、开启防火墙策略在CentOS7.0中默认使用firewa1.1.代替了iptab1.esservice,虽然继续保留了iptab1.es命令,但已经仅是名称相同而已。除非手动删除firewa1.1.,再安装iptab1.esr否则不能继续使用以前的iptab1.es配置方法。以下介绍的是firewa1.1.配置方法:#cdusr1.ibfirewa1.1.dservices该目录中存放的是定义好的网络服务和端口参数,只用于参考,不能修改.这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务也不必再增加相关m1.定义,后续通过管理命令可以直接增加.#Cdetcfirewa1.1.dservices/从上面目录中将需要使用的服务的Xm1.文件拷至这个目录中,如果端口有变化则可以修改文件中的数值。 八、启用系统审计服务审计内容包括:系统调用、文件访问、用户登录等。编辑etcauditaudit.ru1.es,在文中添力口如下内容:- Wvar1.ogaudit-k1.OG_audit- wetcaudit-pwa-kCFG_audit- wetcs

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > IT计算机 > 服务器

copyright@ 2008-2023 yzwku网站版权所有

经营许可证编号:宁ICP备2022001189号-2

本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!