centos7安全加固方案全套.docx

《centos7安全加固方案全套.docx》由会员分享，可在线阅读，更多相关《centos7安全加固方案全套.docx（21页珍藏版）》请在第壹文秘上搜索。

1、centos7安全加固方案一、用户帐号和环境检查项：1 .清除了operator1.p%shutdown,ha1.t,games、gopher帐号删除的用户组有：Ip、uucp.games.dip其它系统伪帐号均处于锁定SHE1.1.登录的状态2 .览证是否有账号存在空口令的情况:awk-F:（$2=）（print$1,etcshadow3 .检查除了root以外是否还有其它账号的UID为0:awk-F:（$3=0）print$1etcpasswd（任何UID为0的账号在系统上都具有超级用户权限.）4 .检直root用户的$PATH中是否有或者所有用户/组用户可写的目录（超级用户的$PATH设

2、置中如果存在这些目录可能会导致超级用户误执行洛伊木马）5 .用户的home目录许可权限设置为700（用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限）6 .是否有用户的点文件是所有用户可读写的:fordirinawk-F:($3=500)print$6,etcpasswddoforfi1.einSdir.A-Za-zO-9*doif(-fSfi1.e;thenchmodo-w$fi1.efidonedone(Uni1.inux下通常以”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取

3、得其它用户的系统权限)7 .为用户设置合适的缺省UmaSk值：cd/etcforfi1.einprofi1.ecsh.1.ogincsh.cshrcbashrcdoif(grep-cumask$fi1.e-eq0;thenechoumask022$fi1.efichownrootoot$fi1.echmod444Sfi1.edone（为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据）.8 .设备系统口令策略：修改etc1.ogin.defs文件将PASS_MIN_1.EN最小密码长度设置为12位。10.限制能够Su为root的用户：#vietcpam.dsu在文

4、件头部添加下面这样的一行authrequiredpam_whee1.souse_uid（这样，只有whee1.组的用户可能su到root操作样例：#usermod-G1.Otest将test用户加入到whee1.组）I1.修改别名文件etca1.iases:#vietca1.iases注释掉不要的#games:root#ingres:root#system:root#toor:root#uucp:root#manager:root#dumper:root#operatocroot#decode:root#root:marc修改后执行usrbinnewa1.iases13 .修改账户TMOUT值

5、，设置自动注销时间Vietcprofi1.e增力口TMoUT=600（无操作600秒后自动退出）14 .设置Bash保留历史命令的条数#vietcprofi1.e修改Histsize=51 即只保留最新执行的5条命令）16 .防止IPSPOOF:#vietchost.conf添力口：nospoofon（不允许服务器对IP地址进行欺骗）17 .使用日志服务器：#vietcrsys1.og.conf照以下样式修改*.info;mai1.none;authpriv.none;cron.none192.168.10.199（这里只是作为参考，需要根据实际决定怎么配置参数）二、系统访问认证和授权检查项1

6、 .限制at/cron被授权的用户：cd/etc/rm-fcron.denyat.deny（Cron.a1.1.ow和at.a1.1.ow文件列出了允许允许crontab和at命令的用户名单，在多数系统上通常只有系统管理员）2 .Crontab文件限制访问权限：chownrootootetccrontabchmod400etccrontabchown-Rrootootvarspoo1.cronchmod-Rgo-rwvarspoo1.cronchown-Rroot:rootetccron.*chmod-Rgo-rwetccron.*（系统的crontab文件应该只能被cron守护进程（它以超级

7、用户身份运行）来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序）3 .建立恰当的警告banner:echoAuthorizeduseson1.y.A1.1.activitymaybemonitoredandreported.etcmotdchownrootootetcmotdchmod644etcmotdechoAuthorizeduseson1.y.A1.1.activitymaybemonitoredandreported.etcissueechoAuthorizeduseson1.y.A1.1.activitymaybemonitoredandrepo

8、rted.etc（改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用.）4 .限制root登录到系统控制台：catENDJI1.Echownrootootetcsecurettychmod400etcsecuretty（通常应该以普通用户身份访问系统,然后通过其它授权机制（比如SU命令和SUdO）来获得更高权限,这样做至少可以对登录事件进行跟踪）5 .设置守护进程掩码Vietcrc.dinit.dfunctions设置为umask022（系统缺省的umask值应该设定为022以避免守护进程创建所有用户可写的文件）三、核心调整检查项1 .禁止coredum

9、p:catetcsecurity1.imits.conf* softcore0* hardcore0END-ENTRIES（允许coredump会耗费大量的磁盘空间.）2 .chownroot:rootetcsysct1.confchmod600etcsysct1.conf（1.og_martians将进行ip假冒的ip包记录至var/1.og/messages其它核心参数使用CentOS默认值。）四、需要关闭的一些服务设置项1.关闭Mai1.Serverchkconfigpostfixoff侈数Uni1.inux系统运行Sendmai1.作为邮件服务器，而该软件历史上出现过较多安全漏洞,如无

10、必要,禁止该服务)五、SSH安全配置设置项1 .配置空闲登出的超时间隔:CIientAIiveIntervaI300C1.ientAIiveCountMax0(Vietcsshsshd-config)2 .禁用.rhosts文件IgnoreRhostsyes(VietcsshSShd_Config)3 .禁用基于主机的认证HostbasedAuthenticationno(Vietcsshsshd-config)4 .禁止root帐号通过SSH登录PermitRoot1.oginno(Vietcsshsshd-config)5 .用警告的BannerBanneretcissue(Vietcss

11、hsshd,config)6 .iptab1.es防火墙处理SSH端口#64906-AINPUT-s192.168.1.0/24-mstate-stateNEW-ptcpdport64906-jACCEPT-AINPUT-s202.54.1.5/29-mstate-stateNEW-ptcpdport64906-jACCEPT(这里仅作为参考，需根据实际需要调整参数)7 .修改SSH端口和限制IP绑定：Port64906安装se1.inux管理命令yum-yinsta1.1.po1.icycoreuti1.s-python修改portCOmeXtS（关键），需要对context进行修改sema

12、nageport-a-tssh_port_t-ptcp64906semanageport-Igrepssh查看当前SEIinux允许的ssh端口（Vi/etc/ssh/sshd_config仅作为参考，需根据实际需要调整参数）8 .禁用空密码：PermitEmptyPasswordsno（禁止帐号使用空密码进行远程登录SSH）9 .记录日志：1.og1.eveIINFO（确保在sshd.config中将日志级别1.og1.eveI设置为INFO或者DEBUGf可通过Iogwatchor1.ogcheck来阅读日志。）10 .SSHSystemct1.restartsshd.service（重启

13、ssh）六、封堵。PenSS1.的Heartb1.eed漏洞检测方法：在服务器上运行以下命令确认OPenSS1.版本#openss1.versionOpenSS1.1.0.1e-fips11Feb2013以上版本的OPenSS1.存在Heartb1.eedbug,需要有针对性的打补T1,升级补丁：#yum-yinsta1.1.openss1.:#openss1.version-aOpenSS1.1.0.1e-fips11Feb2013bui1.ton:ThuJun512:49:27UTC2014以上bui1.ton的时间是2014.6.5号，说明已经修复了该漏洞。注：如果能够临时联网安装以上补

14、丁，在操作上会比较简单一些.如果无法联网，则有两种处理办法：首选从安装光盘拷贝独立的rpm安装文件并更新;另一个办法是提前下载最新版本的OPenSS1.源码,编译并安装。 七、开启防火墙策略在CentOS7.0中默认使用firewa1.1.代替了iptab1.esservice,虽然继续保留了iptab1.es命令，但已经仅是名称相同而已。除非手动删除firewa1.1.,再安装iptab1.esr否则不能继续使用以前的iptab1.es配置方法。以下介绍的是firewa1.1.配置方法：#cdusr1.ibfirewa1.1.dservices该目录中存放的是定义好的网络服务和端口参数，只用于参考，不能修改.这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务也不必再增加相关m1.定义，后续通过管理命令可以直接增加.#Cdetcfirewa1.1.dservices/从上面目录中将需要使用的服务的Xm1.文件拷至这个目录中，如果端口有变化则可以修改文件中的数值。 八、启用系统审计服务审计内容包括：系统调用、文件访问、用户登录等。编辑etcauditaudit.ru1.es,在文中添力口如下内容:- Wvar1.ogaudit-k1.OG_audit- wetcaudit-pwa-kCFG_audit- wetcs