2. 程式人生 > >centos7 系統安全加固方案

centos7 系統安全加固方案

阿新 發佈:2018-11-19
防止 默認 class one crack 遠程登錄 數字 mef alt

一.密碼長度與有效期

默認配置:

[root@i-1y3we23j ~]# cat /etc/login.defs |grep PASS_ |grep -v #
PASS_MAX_DAYS    99999
PASS_MIN_DAYS    0
PASS_MIN_LEN    5
PASS_WARN_AGE    7

加固方案:



1.備份配置文件:


# cp -a /etc/login.defs /etc/login.defs.default


2.編輯配置文件並將相關參數改成如下


# vi /etc/login.defs
PASS_MAX_DAYS 90
PASS_MIN_DAYS 6
PASS_MIN_LEN 
 
8
PASS_WARN_AGE 30



備註:


/etc/login.defs文件的pass_min_len 參數並不具備強制性,測試仍然可以設置7位密碼。最終需要cracklib來實現。


參數說明:


PASS_MAX_DAYS 密碼有效期


PASS_MIN_DAYS 修改密碼的最短期限


PASS_MIN_LEN 密碼最短長度


PASS_WARN_AGE 密碼過期提醒


二.密碼復雜度


默認配置:



[root@i-1y3we23j ~]# cat /etc/pam.d/system-auth | grep  "pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
 
"
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=



加固方案:



1.備份配置文件:
# cp -a /etc/pam.d/system-auth /etc/pam.d/system-auth.default
2.編輯配置文件
# vi /etc/pam.d/system-auth
將password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
 


 註釋並在其下面新增1行 password requisite pam_cracklib.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ocredit=-1 retry=1 type= 
3.保存配置文件



備註:


try_first_pass而當pam_unix驗證模塊與password驗證類型一起使用時,該選項主要用來防止用戶新設定的密碼與以前的舊密碼相同。


minlen=8:最小長度8位


difok=5:新、舊密碼最少5個字符不同


dcredit=-1:最少1個數字


lcredit=-1:最少1個小寫字符,(ucredit=-1:最少1個大寫字符)


ocredit=-1:最少1個特殊字符


retry=1:1次錯誤後返回錯誤信息


type=xxx:此選項用來修改缺省的密碼提示文本


三.新口令不能與4個最近使用的相同


默認配置:



[root@i-1y3we23j ~]# cat /etc/pam.d/system-auth |grep use_authtok
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok



加固方案:



1.備份配置文件
2.編輯配置文件:
# vi /etc/pam.d/system-auth
在password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok 所在行的後面添加
remember=5
3.保存配置文件



備註:


記住5個歷史密碼


四.設置會話超時(5分鐘)


默認配置:




加固方案:



1.備份配置文件:
# cp -a /etc/profile /etc/profile.default
2.編輯配置文件:
vi /etc/profile
在文件的末尾添加參數 
export TMOUT=300
3.保存配置文件



 


備註:


5分鐘無操作中斷登錄會話


五.設置history命令時間戳


默認配置:




加固方案:



1.備份配置文件:
略
2.編輯配置文件:
vi /etc/profile
在文件的末尾添加參數
export HISTTIMEFORMAT="%F %T `whoami` "
3.保存配置文件



 


 六.設置登陸失敗鎖定(終端登錄)


默認配置:




加固方案:



1.備份配置文件
2.編輯配置文件:
# vi /etc/pam.d/system-auth
在# User changes will be destroyed the next time authconfig is run.行的下面,添加
auth       required     pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800
3.保存配置文件



 


備註:


通過終端登錄,5次登錄失敗後鎖定賬號30分鐘,鎖定期間此賬號無法再次登錄。


七.禁止root通過ssh遠程登錄


默認配置:



# cat /etc/ssh/sshd_config |grep PermitRootLogin
#PermitRootLogin yes



 


加固方案:



1.備份配置文件
# cp -a /etc/ssh/sshd_config /etc/ssh/sshd_config.default
2.編輯配置文件
vi /etc/ssh/sshd_config
將配置參數#PermitRootLogin yes改成PermitRootLogin no
3.保存配置文件
4.重啟ssh服務
# /etc/init.d/sshd restart



 


八.SSH 配置參數增強



1.備份配置文件
2.編輯配置文件
#vi /etc/ssh/sshd_config

(1)禁止空密碼登錄
將#PermitEmptyPasswords no參數的註釋符號去掉,改成
PermitEmptyPasswords no

(2)關閉ssh的tcp轉發
將#AllowTcpForwarding yes參數改成
AllowTcpForwarding no

(3)關閉S/KEY(質疑-應答)認證方式
將#ChallengeResponseAuthentication yes參數,改成
ChallengeResponseAuthentication no


(4)關閉基於GSSAPI 的用戶認證
將GSSAPIAuthentication yes參數,改成
GSSAPIAuthentication no

3.保存配置文件
4.重啟ssh服務



 


九.設置SSH登錄警告語


默認配置:




加固方案:



1.備份配置文件
# 略
2.編輯配置文件
#vi /etc/ssh/sshd_config
找到#Banner none參數,在其下一行,增加
Banner /etc/ssh/alert
3.保存配置文件
4新增告警信息文件.
 #vi /etc/ssh/alert
文件內容,設置成
*******************************************************
這裏的內容自己定義,可以提示一下登錄的用戶引起運維人員重視
Warning!!!Any Access Without Permission Is Forbidden!!!
*******************************************************
5.保存後重啟ssh服



 


十.設置umask值


默認配置:



# umask
0022



 加固方案:



1.備份配置文件
# cp -a /etc/bashrc /etc/bashrc.default
2.編輯配置文件
# vi /etc/bashrc
在文件末尾增加參數
umask 027
3.保存配置文件
4. 備份配置文件
# cp -a /etc/profile /etc/pr ofile.default
5.編輯配置文件
# vi /etc/profile
在文件末尾增加參數
umask 027
6.保存配置文件



備註:


umask值設置成0027,用於拿掉新增目錄與文件的非所有者和所有者所屬組的訪問權限


默認:


新增目錄權限755,即rxwr-xr-x


新增文件權限644,即


rw-r--r—


加固後:


新增目錄權限750,即rxwr-x---


新增文件權限640,即


rw-r-----


 十一.禁止Control-Alt-Delete 鍵盤重啟系統命令


 
centos7  系統安全加固方案
   
 
 
 
 

            
  

           

              
              

            

            
相關推薦

			   
            
            
            
 

    


    
    
centos7  系統安全加固方案

     
 防止   默認   class   one   crack   遠程登錄   數字   mef   alt   一.密碼長度與有效期
默認配置:

[root@i-1y3we23j ~]# cat /etc/login.defs |grep PASS_ |grep -v ‘#‘
PASS_MAX_DAYS   



  
 

    


    
    
Centos7 系統安全事故處理案例

     
 linux   gcc.sh   最近公司申請了華為雲的資源做測試。在丟了一個小項目上去測試之後,發現系統CPU異常繁忙,系統重啟之後情況依舊,連接服務器異常緩慢。這時也接到華為雲的客服電話說測試服務器同黑客服務器之間有通信,讓我們確認是不是正常的情況。由於是測試環境,所以沒有加入到系統監控中,在問題時刻通過 



  
 

    


    
    
1 操作系統安全加固

     
 補丁   重新   等等   huawei   lin   nologin   提醒   設備   ali   1 操作系統安全加固... vi1.1 Linux安全加固... vi1.1.1 對系統賬號進行登錄限制... vi1.1.2 設置登錄超時時間... vii1.1.3 設置關鍵目錄的權限... v 



  
 

    


    
    
Linux系統安全加固設定詳細教程

     
  
 
 1、如果是新安裝系統, 
  一、對磁碟分割槽應考慮安全性: 1)根目錄(/)、使用者目錄(/home)、臨時目錄(/tmp)和/var目錄應分開到不同的磁碟分割槽; 
 2)以上各目錄所在分割槽的磁碟空間大小應充分考慮,避免因某些原因造成分割槽空間用完而導致系統崩潰; 
 2、對於/tmp和/va 



  
 

    


    
    
六招輕鬆搞定你的CentOS系統安全加固

     
 
六招輕鬆搞定你的CentOS系統安全加固 
  
Redhat是目前企業中用的最多的一類Linux,而目前針對Redhat攻擊的黑客也越來越多了。我們要如何為這類伺服器做好安全加固工作呢? 
一.  賬戶安全 
1.1 鎖定系統中多餘的自建帳號 
檢查方法: 
執行命令 
#cat /e 



  
 

    


    
    
校園郵件系統安全解決方案

     
 
							
							
							高校需求
隨著網際網路的飛速發展, E-mail(電子郵件)已成為Internet應用最為廣泛的一項服務,也是個人日常工作、學習生活中的必備通訊工具。對於高校而言, 電子郵件更是學校與師生、教師與學生進行互動的重要途徑。目前大部分高校都有屬於自己高校的、自主建設 



  
 

    


    
    
Linux系統安全加固淺談

     
 
								
								            
						
                

對於企業來說,安全加固是一門必做的安全措施。主要分為:賬號安全、認證授權、協議安全、審計安全。總的來說,就是4A(統一安全管理平臺解決方案),賬號管理、認證管理、授權管理、審計管理。用漏洞掃描工具掃 



  
 

    


    
    
容器安全加固方案

     
 
                                        
                                                 
  
   
   Gartner將容器安全列為其本年度十大安全顧慮之一,或許是時候進一步審視並找出切實的容器安全實現方案了。 



  
 

    


    
    
Windows 服務器系統安全防禦加固方法

     
 windows  加固方法Windows 服務器系統安全防禦加固方法更新:2017-06-01 19:24windows服務器安全加固方案,該方案主要針對windows server 2008 r2,當然對於2012等其他系統也是適用的。1刪除無用賬戶:使用Win+R鍵調出運行,輸入compmgmt.msc- 



  
 

    


    
    
Linux系統Web應用安全加固

     
  
 
 Linux系統由於其出色的效能和穩定性、開放原始碼的靈活性和可擴充套件性,以及較低廉的成本,而受到計算機工業界的廣泛關注和應用。其系統的安全性就必須要加強。如果我們已經把Web應用架構在一套基於Linux系統的環境中,應該怎麼進行哪些有效的安全配置,來減少安全風險呢?我們應該在什麼地方和如何進行操作 



  
 

    


    
    
Windows系統Web應用安全加固

     
  
 
 如果我們已經把Web應用架構在一套基於Windows系統的環境中,應該怎麼進行哪些有效的安全配置,來減少安全風險呢?我們應該在什麼地方和如何進行操作呢? 
 本認證旨在幫助學員掌握架構在Windows環境中Web應用涉及的作業系統、資料庫、中介軟體應用等的常見安全加固方法,通過正確的安全配置並及時更 



  
 

    


    
    
使用滴滴雲DC2,在CentOS7安裝Redis並進行安全加固

     
  
  
  
 簡介 
 Redis是開源的記憶體資料庫,並以其良好的靈活性、效能、可擴充套件性與相容性著稱。 
 Redis本身被設計成客戶端授信的環境下進行訪問,服務本身並沒有強大的安全功能。但是也具有一些關於安全的基本功能,包括訪問密碼、命令的重新命名與遮蔽等能力。本教程提供瞭如何配置這些安全功能的說 



  
 

    


    
    
Windows server 2008 R2 伺服器系統安全防禦加固方法

     
 
                

一.更改終端預設埠號

步驟:

1.執行regedit 2.[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds \rdpwd\Tds \tcp],看見PortNamber值了嗎 



  
 

    


    
    
Linux系統下對NFS服務安全加固的方法

     
  
 
 NFS(Network File System)是 FreeBSD 支援的一種檔案系統,它允許網路中的計算機之間通過 TCP/IP 網路共享資源。不正確的配置和使用 NFS,會帶來安全問題。 
 概述 
 NFS 的不安全性,主要體現於以下 4 個方面: 
 
  缺少訪問控制機制 
  沒有真正的 



  
 

    


    
    
淺談linux系統安全加固

     
 
                 
1.刪除所有特殊帳號:
userdel PL      等等刪除使用者
groupdel PL  等等 刪除使用者組
2.加密口令,使用"/usr/sbin/authconfig"工具,分別使用pwconv和grpconv開啟密碼的shadow功能.
3.禁止任何使用者訪 



  
 

    


    
    
centos7下ssh登陸加固方案

     
 
                
     因為網路安全問題,需要對centos7下的ssh服務進行安全加固,下面會給出詳細操作步驟及思路。
     由於centos7系統預設安裝啟用了系統高階防火牆,ssh服務預設開啟是22埠,如果直接在ssh的配置檔案中對監聽埠進行更改,重啟sshd服務後不會成功,提 



  
 

    


    
    
Apache-Shiro+Zookeeper系統叢集安全解決方案之會話管理

     
 
如今的系統多不是孤軍奮戰,在多結點會話共享管理方面有著各自的解決辦法,比如Session粘連,基於Web容器的各種處理等或者類似本文說的完全接管Web容器的Session管理,只是做法不盡相同。
而本文說的是Apache-Shiro+Zookeeper來解決多結點會話管理,Shiro一個優秀的許可權框架,有 



  
 

    


    
    
智慧校園信息安全系統校園安全監控管理系統建設解決方案

     
 防止   現實   人員管理   終端   互聯網技術   視頻監控系統   監控系統   上網行為   健康   數字化的普及,已經進入校園。數字化不僅僅使用在教學,學生管理方面。近年來,頻頻發生的校園傷害事件,凸顯出校園安全防範的重要性,光設置人員管理遠遠不夠,更需要結合互聯網技術預警防範。
傳統的視頻監 



  
 

    


    
    
U盤安裝CentOS7的最終解決方案

     
 u盤安裝   發現   clas   usb   設置   電腦   安裝   軟件   哪裏   
U盤安裝CentOS7的最終解決方案

 

終於將CentOS7裝上筆記本了,過程無比艱辛,因為我發現網上大家提到的所有U盤安裝CentOS7時碰到的問題幾乎都被我碰到了,像什麽: 1.刻錄鏡像的時候只能刻 



  
 

    


    
    
centos7系統安裝配置

     
 重連   centos7系統   -1   get   font   sea   http   logs   vncviewer   下載centos7 iso鏡像
電腦裏面本來有ubuntu系統,直接在u盤做好啟動盤安裝即可,選擇手動分區(忘了),將原本ubuntu系統分區壓縮200G。系統不要選擇最小化,