给大家带来CentOS宁静加固

如果您觉得本篇CentOSLinux教程讲得好，请记得点击右边漂浮的分享程序，把好文章分享给你的小伙伴们！

Redhat是今朝企业顶用的最多的一类Linux，而今朝针对Redhat打击的黑客也愈来愈多了。我们要怎样为这类办事器做好宁静加固事情呢?

　　一.账户宁静

　　1.1锁定体系中过剩的自建帐号

　　反省***:

　　实行下令

　　#cat/etc/passwd

　　#cat/etc/shadow

　　检察账户、口令文件，与体系***确认不用要的账号。关于一些保存的体系伪帐户如：bin,sys，adm，uucp，lp,nuucp，hpdb,www,daemon等可依据必要锁定上岸。

　　备份***：

　　#cp-p/etc/passwd/etc/passwd_bak

　　#cp-p/etc/shadow/etc/shadow_bak

　　加固***:

　　利用下令passwd-l<用户名>锁定不用要的账号。

　　利用下令passwd-u<用户名>解锁必要规复的账号。

　　风险:

　　必要与***确认此项操纵不会影响到营业体系的登录

　　1.2设置体系口令战略

　　反省***：

　　利用下令

　　#cat/etc/login.defs|grepPASS检察暗码战略设置

　　备份***：

　　cp-p/etc/login.defs/etc/login.defs_bak

　　加固***：

　　#vi/etc/login.defs修正设置文件

　　PASS_MAX_DAYS90#新建用户的暗码最长利用天数

　　PASS_MIN_DAYS0#新建用户的暗码最短利用天数

　　PASS_WARN_AGE7#新建用户的暗码到期提早提示天数

　　PASS_MIN_LEN9#最小暗码长度9

　　风险：无可见风险

　　1.3禁用root以外的超等用户

　　反省***：

　　#cat/etc/passwd检察口令文件，口令文件格局以下：

　　login_name：password：user_ID：group_ID：comment：home_dir：command

　　login_name：用户名

　　password：加密后的用户暗码

　　user_ID：用户ID，(1~6000)若用户ID=0，则该用户具有超等用户的权限。检察此处是不是有多个ID=0。

　　group_ID：用户组ID

　　comment：用户全名或别的正文信息

　　home_dir：用户根目次

　　command：用户登录后的实行下令

　　备份***：

　　#cp-p/etc/passwd/etc/passwd_bak

　　加固***：

　　利用下令passwd-l<用户名>锁定不用要的超等账户。

　　利用下令passwd-u<用户名>解锁必要规复的超等账户。

　　风险：必要与***确认此超等用户的用处。

　　1.4限定可以su为root的用户

　　反省***：

　　#cat/etc/pam.d/su,检察是不是有authrequired/lib/security/pam_wheel.so如许的设置条目

　　备份***：#cp-p/etc/pam.d/etc/pam.d_bak

　　加固***：

　　#vi/etc/pam.d/su

　　在头部增加：

　　authrequired/lib/security/pam_wheel.sogroup=wheel

　　如许，只要wheel组的用户能够su到root

　　#usermod-G10test将test用户到场到wheel组

　　风险：必要PAM包的撑持;对pam文件的修正应细心反省，一旦呈现毛病会招致没法上岸;和***确认哪些用户必要su。

　　当体系考证呈现成绩时，起首应该反省/var/log/messages大概/var/log/secure中的输入信息，依据这些信息判别用户账号的无效

　　性。假如是由于PAM考证妨碍，而引发root也没法登录，只能利用singleuser大概rescue形式举行排错。

　　1.5反省shadow中空口令帐号

　　反省***：

　　#awk-F:(==""){print}/etc/shadow

　　备份***：cp-p/etc/shadow/etc/shadow_bak

　　加固***：对空口令账号举行锁定，或请求增添暗码

　　风险：要确认空口令账户是不是和使用联系关系，增添暗码是不是会引发使用没法毗连。

　　2、最小化办事

　　2.1中断或禁用与承载营业有关的办事

　　反省***：

　　#who&ndash;r或runlevel检察以后init级别

　　#chkconfig--list检察一切办事的形态

　　备份***：纪录必要封闭办事的称号

　　加固***：

　　#chkconfig--level<办事名>on|off|reset设置办事在个init级别下开机是不是启动

　　风险：某些使用必要特定办事，必要与***确认。

　　3、数据会见把持

　　3.1设置公道的初始文件权限

　　反省***：

　　#cat/etc/profile检察umask的值

　　备份***：

　　#cp-p/etc/profile/etc/profile_bak

　　加固***：

　　#vi/etc/profile

　　umask=027

　　风险：会修正新建文件的默许权限，假如该办事器是WEB使用，则此项审慎修正。

　　4、收集会见把持

　　4.1利用SSH举行办理

　　反省***：

　　#ps&ndash;aef|grepsshd检察有没有此办事

　　备份***：

　　加固***：

　　利用下令开启ssh办事

　　#servicesshdstart

　　风险：改动***的利用习气

　　4.2设置会见把持战略限定可以办理本机的IP地点

　　反省***：

　　#cat/etc/ssh/sshd_config检察有没有AllowUsers的语句

　　备份***：

　　#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak

　　加固***：

　　#vi/etc/ssh/sshd_config，增加以下语句

　　AllowUsers*@10.138.*.*此句意为：仅同意10.138.0.0/16网段一切用户经由过程ssh会见

　　保留后重启ssh办事

　　#servicesshdrestart

　　风险：必要和***确认可以办理的IP段

　　4.3克制root用户近程上岸

　　反省***：

　　#cat/etc/ssh/sshd_config检察PermitRootLogin是不是为no

　　备份***：

　　#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak

　　加固***：

　　#vi/etc/ssh/sshd_config

　　PermitRootLoginno

　　保留后重启ssh办事

　　servicesshdrestart

　　风险：root用户没法间接近程登录，必要用一般账号上岸后su

　　4.4限制信托主机

　　反省***：

　　#cat/etc/hosts.equiv检察个中的主机

　　#cat/$HOME/.rhosts检察个中的主机

　　备份***：

　　#cp-p/etc/hosts.equiv/etc/hosts.equiv_bak

　　#cp-p/$HOME/.rhosts/$HOME/.rhosts_bak

　　加固***：

　　#vi/etc/hosts.equiv删除个中不用要的主机

　　#vi/$HOME/.rhosts删除个中不用要的主机

　　风险：在多机互备的情况中，必要保存其他主机的IP可托任。

　　4.5屏障登录banner信息

　　反省***：

　　#cat/etc/ssh/sshd_config检察文件中是不是存在Banner字段，或banner字段为NONE

　　#cat/etc/motd检察文件内容，该处内容将作为banner信息显现给登任命户。

　　备份***：

　　#cp-p/etc/ssh/sshd_config/etc/ssh/sshd_config_bak

　　#cp-p/etc/motd/etc/motd_bak

　　加固***：

　　#vi/etc/ssh/sshd_config

　　bannerNONE

　　#vi/etc/motd

　　删除全体内容或更新成本人想要增加的内容

　　风险：无可见风险

　　4.6避免误利用Ctrl+Alt+Del重启体系

　　反省***：

　　#cat/etc/inittab|grepctrlaltdel检察输出行是不是被正文

　　备份***：

　　#cp-p/etc/inittab/etc/inittab_bak

　　加固***：

　　#vi/etc/inittab

　　外行开首增加正文标记“#”

　　#ca::ctrlaltdel:/sbin/shutdown-t3-rnow

　风险：无可见风险

　　5、用户判别

　　5.1设置帐户锁定登录失利锁定次数、锁准时间

　　反省***：

　　#cat/etc/pam.d/system-auth检察有没有authrequiredpam_tally.so条目标设置

　　备份***：

　　#cp-p/etc/pam.d/system-auth/etc/pam.d/system-auth_bak

　　加固***：

　　#vi/etc/pam.d/system-auth

　　authrequiredpam_tally.soonerr=faildeny=6unlock_time=300设置为暗码一连毛病6次锁定，锁准时间300秒

　　解锁用户faillog-u<用户名>-r

　　风险：必要PAM包的撑持;对pam文件的修正应细心反省，一旦呈现毛病会招致没法上岸;

　　当体系考证呈现成绩时，起首应该反省/var/log/messages大概/var/log/secure中的输入信息，依据这些信息判别用户账号的无效

　　性。

　　5.2修正帐户TMOUT值，设置主动刊出工夫

　　反省***：

　　#cat/etc/profile检察有没有TMOUT的设置

　　备份***：

　　#cp-p/etc/profile/etc/profile_bak

　　加固***：

　　#vi/etc/profile

　　增添

　　TMOUT=600无操纵600秒后主动加入

　　风险：无可见风险

　　5.3Grub/Lilo暗码

　　反省***：

　　#cat/etc/grub.conf|greppassword检察grub是不是设置暗码

　　#cat/etc/lilo.conf|greppassword检察lilo是不是设置暗码

　　备份***：

　　#cp-p/etc/grub.conf/etc/grub.conf_bak

　　#cp-p/etc/lilo.conf/etc/lilo.conf_bak

　　加固***：为grub或lilo设置暗码

　　风险：etc/grub.conf一般会链接到/boot/grub/grub.conf

　　5.4限定FTP登录

　　反省***：

　　#cat/etc/ftpusers确认是不是包括用户名，这些用户名不同意登录FTP办事

　　备份***：

　　#cp-p/etc/ftpusers/etc/ftpusers_bak

　　加固***：

　　#vi/etc/ftpusers增加行，每行包括一个用户名，增加的用户将被克制登录FTP办事

　　风险：无可见风险

　　5.5设置Bash保存汗青下令的条数

　　反省***：

　　#cat/etc/profile|grepHISTSIZE=

　　#cat/etc/profile|grepHISTFILESIZE=检察保存汗青下令的条数

　　备份***：

　　#cp-p/etc/profile/etc/profile_bak

　　加固***：

　　#vi/etc/profile

　　修正HISTSIZE=5和HISTFILESIZE=5即保存最新实行的5条下令

　　风险：无可见风险

　　6、审计谋略

　　6.1设置体系日记战略设置文件

　　反省***：

　　#ps&ndash;aef|grepsyslog确认syslog是不是启用

　　#cat/etc/syslog.conf检察syslogd的设置，并确认日记文件是不是存在

　　体系日记(默许)/var/log/messages

　　cron日记(默许)/var/log/cron

　　宁静日记(默许)/var/log/secure

　　备份***：

　　#cp-p/etc/syslog.conf

　　6.2为审计发生的数据分派公道的存储空间和存储工夫

　　反省***：

　　#cat/etc/logrotate.conf检察体系轮询设置，有没有

　　#rotatelogfilesweekly

　　weekly

　　#keep4weeksworthofbacklogs

　　rotate4的设置

　　备份***：

　　#cp-p/etc/logrotate.conf/etc/logrotate.conf_bak

学习Linux应具备的。[书籍+网络资源]

感谢老师和同学们在学习上对我的帮助。

在系统检测不到与Linux兼容的显卡，那么此次安装就可能不支持图形化界面安装，而只能用文本模式安装等等。

查阅经典工具书和Howto，特别是Howto是全球数以万计的Linux、Unix的经验总结非常有参考价值通常40％的问题同样可以解决。

下面看看一个让人无法回答的问题：“救命各位高手，向你们请教一些问题：如何在Linux下配制HTTP、FTP、Samba、DNS、DHCP、Sendmail服务器，谢谢”这样的问题。

对我们学习操作系统有很大的帮助，加深我们对OS的理解。?

对于英语不是很好的读者红旗 Linux、中标Linux这些中文版本比较适合。现在一些Linux网站有一些Linux版本的免费下载，这里要说的是并不适合Linux初学者。

一定要学好命令，shell是命令语言，命令解释程序及程序设计语言的统称，shell也负责用户和操作系统之间的沟通。