基于Centos 7系统的安全加固方案

基于centos7版本测试
注意：修改任何配置文件，为保障安全请先备份，命令： cp -a +配置文件路径 +存放位置路径

1.密码长度与有效期

位置：vi /etc/login.defs

修改：

PASS_MAX_DAYS   90     注：密码有效期
PASS_MIN_DAYS   2        注：修改密码最短期限
PASS_MIN_LEN    8        注：密码最短长度
PASS_WARN_AGE   30    注：密码过期提醒

2.密码复杂度

位置：vi /etc/pam.d/system-auth

修改：

将这行注释   password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= 并在其下面新增1行 password requisite pam_pwquality.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 retry=1 authtok_type=如何要设定root也要履行该规则，需要添加enforce_for_root例如：password requisite pam_pwquality.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 retry=1 enforce_for_root authtok_type=

解释：

minlen=8 最小长度8位difok=5 新旧密码最少5个字符不同dcredit=-1 最少1个数字lcredit=-1 最少1个小写字符ucredit=-1 最少1个大写字符ocredit=-1 最少1个特殊字符retry=1  1次错误后返回错误信息type=XXX 此选项用来修改缺省的密码提示文本

3.新口令不能与近期相同

位置：vi /etc/pam.d/system-auth

修改：

在password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
所在行的后面添加remember=5

解释：

remeber=5 记住近期5个密码，改密码不能与近期5个有相同的。

4.会话超时

位置：vi /etc/profile

修改：

在文件的末尾添加 export TMOUT=600

解释：

export TMOUT=600 10分钟超时

5.登录失败锁定

位置：vi /etc/pam.d/system-auth

修改：

在# User changes will be destroyed the next time authconfig is run.
下面添加auth       required     pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=1800

解释：

deny=5 5次登录失败
unlock_time=1800 锁定30分钟

6.SSH配置加固

位置：vi /etc/ssh/sshd_config

修改：

（1）禁止空密码登录
将#PermitEmptyPasswords no参数的注释符号去掉，改成
PermitEmptyPasswords no（2）关闭ssh的tcp转发
将#AllowTcpForwarding yes参数改成
AllowTcpForwarding no（3）关闭S/KEY（质疑-应答)认证方式
将#ChallengeResponseAuthentication yes参数，改成
ChallengeResponseAuthentication no（4）关闭基于GSSAPI 的用户认证
将GSSAPIAuthentication yes参数，改成
GSSAPIAuthentication no

重启ssh服务：

systemctl restart sshd.service

7.重用名root

位置：vi /etc/passwd 把里面的root用户修改为想要设定的用户名。保存:wq
位置：vi /etc/shadow 把里面的root用户修改为想要设定的用户名。强制保存:wq！

重启：

重启服务器，使用修改过的用户名登录。
通过查询Id 当前用户 如果UID是0，就修改成功，否则就是未成功。

注意：

如果重启长时间处于运行的服务器可能会导致系统崩溃。
修改root用户名后，会导致登录系统出现10秒左右的延迟。

8.查询是否存在特权账户与空口令

awk -F: '$3==0 {print $1}' /etc/passwd 查询是否存在特权账户
awk -F: 'length($2)==0 {print $1}' /etc/shadow 查询是否存在空口令

修改：

如果存在特权账户，删除除root以外的任何账户。
如果存在空口令，为该用户设定密码。

9.删除多余用户

userdel 用户名

10.设定禁止root远程登录

位置：vi /etc/ssh/sshd_config

修改：

PermitRootLogin no

11.日志上传服务器

位置：vi /etc/rsyslog.conf

修改：

*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages  找到这行添加下面的内容
*.* @@172.16.x.xx:514
*.* @172.16.x.xx:514

注：

@@表示TCP流量，@表示UDP流量。

12.防火墙

systemctl start firewalld  开启防火墙
systemctl enable firewalld  自启动
firewall-cmd --per --add-port=80/tcp 开启80端口
firwall-cmd --reload 重载防火墙
firewall-cmd --list-all  查看防火墙端口

基于Centos 7系统的安全加固方案相关推荐

Windows server 2008r2系统基本安全加固方案
Windows server 2008r2系统基本安全加固方案一.针对用户配置 (一).账户操作禁用guest账户.删除无效和到期账户.更改管理员名称都可以直接在"计算机管理&quo ...
linux内核mptcp,安装 MPTCP 内核 -- 基于 CentOS 定制系统
安装 MPTCP 内核 -- 基于 CentOS 定制系统一, 说明本文针对定制 CentOS 系统进行安装. 原生的 Ubuntu 和 CentOS 可能有更简单的安装方式, 但本文的安装方式依 ...
centos7 系统安全加固方案
****centos7 系统安全加固方案**** 一.密码长度与有效期 1.用户的默认设置文件:/etc/login.defs 2./etc/login.defs文件说明 *设置项* *含义* MAI ...
稳定与安全并重的加固方案
很多开发者没有意识到APP的安全隐患可能会严重损害他们的利益,加固可以帮助他们规避很多风险: 很多加固厂商没有意识到APP的低稳定性可能会严重影响开发者的业务开展,强度与稳定并重的加固方案才是开发者所 ...
【安全运维】 linux 系统账户，网络，简易安全加固方案（第一部分），经测试可行...
前言讲到linux系统账户的管理以及安全,就必须涉及 /etc/passwd /etc/shadow 这2个文件这里以截图中文字说明的方式,来分析这2个文件的内容,并且给出一些实用的安全加固 ...
Linux(Centos)安全加固方案总结
Linux安全加固方案总结本人菜鸟一枚,通过CSDN文章,总结日常工作.学习到的经验,供自己日常查阅与有需要伙伴查阅. Linux系统加固主要通过以下几个方面,实现系统安全加固.本文以Centos7 ...
[起重机监测系统] 1、基于无线传输的桥式起重机的安全监测方案
基于无线传输的桥式起重机的安全监测方案内容介绍:本次主要研究文献,下面拿5个具体的文献分析,并结合自己的需求,最终确定自己的初步方案目录: 1.基于NRF905 的多机床无线通信系统设计与实现 2 ...
基于CentOS 5.3系统下面的TMAIL安装笔记
基于CentOS 5.3系统下面的TMAIL安装笔记 ([url]http://godoha.blog.51cto.com[/url] by Weihu Yen 2009-4-26) ...
10没有基于策略的qos_电力通信 | 基于智能光网络系统的配用电业务承载方案研究...
[抢先看]<浙江电力>2020年第1期目录及重点关注文章 [抢先看]<浙江电力>2020年第2期目录及重点关注文章 [抢先看]<浙江电力>2020年第3期目录及重点 ...

基于Centos 7系统的安全加固方案

1.密码长度与有效期

2.密码复杂度

3.新口令不能与近期相同

4.会话超时

5.登录失败锁定

6.SSH配置加固

7.重用名root

8.查询是否存在特权账户与空口令

9.删除多余用户

10.设定禁止root远程登录

11.日志上传服务器

12.防火墙

基于Centos 7系统的安全加固方案相关推荐

最新文章

热门文章