Centos7 安全優化指令碼

阿新 • • 發佈：2021-01-21

1、1.0版本

#!/bin/bash
#當前版本僅支援CentOS7的系統


if [ `whoami` != 'root' ]; then
    echo -e "\e[1;31m 請使用root執行... \e[1;31m"
    exit 1
fi

SYSTEM_VERSION=`lsb_release  -i|awk '{print $NF}'`
KERNEL_VERSION=`uname -r|awk -F'.' '{print $1}'`
RELEASE_VERSION=`lsb_release -r|awk -F"[ \t]+"+ '{print $2}'`
#終端超時時間
TMOUT 
=600
#密碼最小長度
PASS_MIN_LEN=8
#密碼最大有效期
PASS_MAX_DAYS=90
#修改密碼的最小間隔時間
PASS_MIN_DAYS=2


centos7_system_security_strengthening(){
    #datetime=`date +%Y%m%d%H%M`
    cp /etc/profile{,.security_default.bak}
    cp /etc/login.defs{,.security_default.bak}
    cp /etc/pam.d/system-auth{,.security_default.bak}
    cp 
 /etc/pam.d/sshd{,.security_default.bak}
    cp /etc/pam.d/login{,.security_default.bak}
    cp /etc/ssh/sshd_config{,.security_default.bak}
    cp /etc/pam.d/password-auth{,.security_default.bak}
    cp /etc/pam.d/system-auth{,.security_default.bak}
    
    sed -i "/`grep 'HISTSIZE='  /etc/profile`/a TMOUT=${TMOUT}" 
  /etc/profile
    sed -ri "s#^(PASS_MAX_DAYS)([\t ]+)([0-9]+)#\1\2${PASS_MAX_DAYS}#g" /etc/login.defs
    sed -ri "s#^(PASS_MIN_LEN)([\t ]+)([0-9]+)#\1\2${PASS_MIN_LEN}#g" /etc/login.defs
    sed -ri "s#^(PASS_MIN_DAYS)([\t ]+)([0-9]+)#\1\2${PASS_MIN_DAYS}#g" /etc/login.defs
    
    #啟用登入失敗處理功能
    echo "password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1" >> /etc/pam.d/system-auth
    echo "auth required pam_tally2.so  onerr=fail  deny=3  unlock_time=60 even_deny_root root_unlock_time=60" >> /etc/pam.d/system-auth
    echo "auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60" >> /etc/pam.d/sshd
    echo "auth required pam_tally2.so deny=3 unlock_time=60 even_deny_root root_unlock_time=60" >> /etc/pam.d/login
    
    
    #sshd
    sed -ri  "s:^(#LogLevel)([ ]+)(.*):LogLevel\2 INFO:g"  /etc/ssh/sshd_config 
    sed -ri  "s:^(#)(ClientAliveInterval)([ ]+)([0-9]+):\2\3900:g"  /etc/ssh/sshd_config 
    sed -ri  "s:^(#)(ClientAliveCountMax)([ ]+)([0-9]+):\2\30:g"  /etc/ssh/sshd_config 
    sed -ri  "s:^(#)(PermitEmptyPasswords)([ ]+)([a-z]+):\2\3\4:g"  /etc/ssh/sshd_config 
    sed -ri  "s:^(#)(MaxAuthTries)([ ]+)([0-9]+):\2\34:g"  /etc/ssh/sshd_config
    if [ `grep -i  Protocol /etc/ssh/sshd_config|wc -l` -eq 0 ]; then
        sed -i "20a Protocol 2" /etc/ssh/sshd_config
    else
        sed  -ri "s#^(Protocol)([ ]+)([0-9])#\1\22#g" /etc/ssh/sshd_config
    fi
    
    #重啟sshd
    systemctl  restart sshd
    
    
    #檔案許可權修改
    chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
    chmod 644 /etc/group 
    chmod 644 /etc/passwd 
    chmod 400 /etc/shadow 
    chmod 400 /etc/gshadow
    
    
    #開啟地址空間佈局隨機化
    sysctl -w kernel.randomize_va_space=2
    
    #強制使用者不重用最近5個使用的密碼，降低密碼猜測攻擊風險
    sed -ri "s#^(password    sufficient)(.*)#\1\2 remember=5#g" /etc/pam.d/password-auth
    sed -ri "s#^(password    sufficient)(.*)#\1\2 remember=5#g"  /etc/pam.d/system-auth
    
    #檢查密碼長度和密碼是否使用多種字元型別
    sed -ri "s:^(# )(minlen = )([0-9]):\210:g"  /etc/security/pwquality.conf
    sed -ri "s:^(# )(minclass = )([0-9]):\23:g"  /etc/security/pwquality.conf
    
    #核心優化

}

centos_reset(){
    cp -f /etc/profile.security_default.bak             /etc/profile   
    cp -f /etc/login.defs.security_default.bak          /etc/login.defs
    cp -f /etc/pam.d/system-auth.security_default.bak   /etc/pam.d/system-auth
    cp -f /etc/pam.d/sshd.security_default.bak          /etc/pam.d/sshd
    cp -f /etc/pam.d/login.security_default.bak         /etc/pam.d/login
    cp -f /etc/ssh/sshd_config.security_default.bak     /etc/ssh/sshd_config
    cp -f /etc/pam.d/password-auth.security_default.bak /etc/pam.d/password-auth
    cp -f /etc/pam.d/system-auth.security_default.bak   /etc/pam.d/system-auth
    rm -f /etc/profile.security_default.bak            
    rm -f /etc/login.defs.security_default.bak         
    rm -f /etc/pam.d/system-auth.security_default.bak  
    rm -f /etc/pam.d/sshd.security_default.bak         
    rm -f /etc/pam.d/login.security_default.bak        
    rm -f /etc/ssh/sshd_config.security_default.bak    
    rm -f /etc/pam.d/password-auth.security_default.bak
    rm -f /etc/pam.d/system-auth.security_default.bak 
    systemctl restart sshd 
}

is_system_version(){
    case $SYSTEM_VERSION in
        CentOS)
        if [ `echo $RELEASE_VERSION 7 8|xargs  -n 1|sort  -V|awk NR==2` == $RELEASE_VERSION ]; then
            centos7_system_security_strengthening
        else
            echo -e "\e[1;31m 當前指令碼僅支支援CentOS7系統... \e[1;31m"
            exit 3
        fi
        ;;
        *)
        echo -e "\e[1;31m 當前系統部署CentOS系統 \e[1;31m"
        exit 4
        ;;
    esac

}


case $1 in
    reset)
    if [ -f /etc/profile.security_default.bak -a -f /etc/login.defs.security_default.bak -a -f /etc/pam.d/system-auth.security_default.bak -a -f  /etc/pam.d/login.security_default.bak -a -f /etc/ssh/sshd_config.security_default.bak -a -f /etc/pam.d/password-auth.security_default.bak -a -f /etc/pam.d/system-auth.security_default.bak ]; then
        centos_reset
    else
        echo -e "\e[1;31m 安全優化備份檔案不存在... \e[1;31m"
        exit 2
    fi
    ;;
    '')
    is_system_version
    ;;
    *)
    echo -e "\e[1;31m 僅允許傳輸reset與空內容 \e[1;31m"
    exit 5
    ;;

esac

系統安全優化

Centos7 安全優化指令碼

1、1.0版本 #!/bin/bash #當前版本僅支援CentOS7的系統 if [ `whoami` != \'root\' ]; then echo -e \"\\e[1;31m 請使用root執行... \\e[1;31m\"

ssh安全優化免密登陸

ssh協議為什麼使用ssh協議？在進行傳輸時，會對資料進行加密，保證會話安全；telnet協議不是加密傳輸，在傳輸過程中如果被抓包，就會造成資訊洩露，telnet預設不支援root遠端。

CentOS7基礎優化與常用配置

最小化全新安裝CentOS7基礎優化配置yum源 mkdir -p /tmp/repo-bak mv /etc/yum.repos.d/* /tmp/repo-bak/

Nginx安全優化與效能調優

目錄Nginx基本安全優化隱藏Nginx軟體版本號資訊更改原始碼隱藏Nginx軟體名及版本號修改Nginx服務的預設使用者修改引數優化Nginx服務效能優化Nginx服務的worker程序數1.優化NGINX程序對應的配置2.優化Nginx程序個數的

Centos7 一鍵指令碼離線安裝 Docker-18.03.1-ce

網盤下載需要的docker包和配置檔案：連結：https://pan.baidu.com/s/1mUeTtMmIyz8huttPKHep1Q

安全小指令碼

來源處於對伺服器安全的現實考慮，檢測每個使用者在哪個時間從哪個IP登陸伺服器執行了什麼命令成為了當下處理許可權混亂的最佳路徑。

【shell案例】CentOS7安裝MySQL指令碼案例

前言此指令碼為一個學員在工作中遇到在centos7中安裝mysql的問題，於是安排一個學員花了15分鐘寫了一個指令碼，可以正常安裝使用。

centos7系統優化

echo -e \"\\033[1;41;33m########## 刪除不必要的使用者 ############\\033[0m\"userdel admuserdel lpuserdel shutdownuserdel haltuserdel operatoruserdel ftpgroupdel games

Linux系統資源及賬戶安全監測指令碼

#!/bin/bash #Createdbyliteron2014/7/11 PATH=/opt/jdk1.6.0_45/bin:/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin

centos7 nginx 啟動指令碼

[root@localhost ~]# vim /lib/systemd/system/nginx.service [Unit] Description=nginx After=network.target

Msyql的my.cnf配置檔案引數詳解及安全優化

目錄一、引數詳解二、安全優化一、引數詳解 1.禁用local_infile選項會降低攻擊者通過SQL注入漏洞器讀取敏感檔案的能力

Centos7安裝Docker指令碼

#!/bin/bash # #******************************************************************** #Author:Wuvikr #QQ:744123155

阿里雲centos7上優化mysql5.7佔用的記憶體方法

技術標籤：mysqlmysql 阿里雲centos7上優化mysql5.7佔用的記憶體方法問題描述：在阿里雲CentOS7上使用yum安裝MySQL5.7預設會佔用2G左右的記憶體（可以檢視mysql相關配置檔案），故對於低配置的伺服器而言

centos7 自啟動指令碼

環境　centos7， docker，docker postgresql， python3+， project 原因每次虛擬機器重啟之後資料庫就會宕掉，每次重啟之後，還容易忘記關閉防牆

第二章 Centos7下 Python3指令碼安裝

一、編寫Python指令碼 [root@jindada /shell/scripts]$ vim Ins-Python3.sh ##########################################################################

09系統安全優化

目錄系統安全優化selinuxfirewalld 防火牆防止系統亂碼優化系統安全優化 selinux 配置檔案路徑：/etc/selinux/config

【第八章】引數化測試引入 paramunittest(類似ddt),優化指令碼是否執行用例

引數化測試引入 paramunittest 　　引言: 　　　　上一章節我們講到的是斷言跟新增異常模組,這一章節我們講的是如何進行引數化實現

thinkphp安全優化

thinkphp安全優化 tp框架非常方便好用但是一直飽受著安全的詬病，有很多剛接觸tp框架的由於不懂得檔案許可權設定，上來直接給777許可權這是一個非常危險的錯誤

centos7安全相關設定

目錄 centos7安全相關設定初始化及軟體安裝 user&密碼 ssh安全設定防火牆設定系統安全設定

如何保證Redis效能與安全?看這篇Redis資料庫效能測試及安全優化配置指南就夠了

本章目錄 0x00 Redis 效能指標監控 (1) 效能指標 1.基本活動指標：Basic activity 2.效能指標：Performance

Centos7 安全優化指令碼

1、1.0版本

相關推薦