目录
前言
之前的三年工作中没有对新系统的安全和优化这两方面的总结,只是单单的记住了几个方面,没有做过多的整理,导致在面试中被问到,虽然也简单的说了几个。于是趁着今天把这方面的技术整理一下。
从以下几个方面设置
1)禁止root用户远程登录
[root@hya ~]# vim /etc/ssh/sshd_config
#PermitRootLogin yes 改为 PermitRootLogin no
[root@hya ~]# systemctl restart sshd.service #重启sshd服务
2)修改ssh端口
[root@hya ~]# vim /etc/ssh/sshd_config
Port 66 #更改端口
[root@hya ~]# systemctl restart sshd.service
3)禁止ping扫描
[root@hya ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
1代表关闭 0代表开启
[root@hya ~]# iptables -I INPUT -p icmp -j DROP
4)设置密码修改最小间隔时间,限制密码更改过于频繁
[root@hya ~]# vim /etc/login.defs
PASS_MIN_DAYS 7 #参数设置7-14之间,建议为7
# 须同时执行命令为root用户设置
[root@hya ~]# chage --mindays 7 root
5)设置ssh空闲超时退出时间
#设置SSH空闲超时退出时间,可降低未授权用户访问其他用户ssh会话的风险
[root@hya ~]# vim /etc/ssh/sshd_config
#将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间
ClientAliveInterval 600
ClientAliveCountMax 2
6)密码复杂度检查
#检查密码长度和密码是否使用多种字符类型
[root@hya ~]# vim /etc/security/pwquality.conf 把minlen(密码最小长度)设置为9-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为3或4。
minlen = 10
minclass = 3
7)检查密码重用是否受限制(身份鉴别)
#强制用户不重用最近使用的密码,降低密码猜测攻击风险
[root@hya ~]# vim /etc/pam.d/password-auth
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
[root@hya ~]# vim /etc/pam.d/system-auth
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
## 只是在password sufficient pam_unix.so
这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5
8)检查系统空密码账户(身份鉴别)
[root@hya ~]# passwd -l root
锁定用户 root 的密码 。
passwd: 操作成功
#设置非空密码
9)禁止ssh空密码用户登录
[root@hya ~]# vim /etc/ssh/sshd_config
PermitEmptyPasswords no 取消注释
10)设置密码失效时间(身份鉴别不建议)
#设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项
[root@hya ~]# vim /etc/login.defs
PASS_MAX_DAYS 90 #将 PASS_MAX_DAYS 参数设置为 60-180之间
[root@hya ~]# chage --maxdays 90 root #需同时执行命令设置root密码失效时间。
11)确保密码到期警告天数为7或更多(身份鉴别)
[root@hya ~]# vim /etc/login.defs # 确保密码到期警告天数为7或更多
PASS_WARN_AGE 7
[root@hya ~]# chage --warndays 7 root #同时执行命令使root用户设置生效
12)确保SSH MaxAuthTries设置为3到6之间 (SSH服务配置)
#设置较低的Max AuthTrimes参数将降低SSH服务器被暴力攻击成功的风险。
[root@hya ~]# vim /etc/ssh/sshd_config #设置最大密码尝试失败次数3-6,建议为4
MaxAuthTries 4
13)确保rsyslog服务已启用 |(安全审计)
#确保rsyslog服务已启用,记录日志用于审计
[root@hya ~]# systemctl enable rsyslog
[root@hya ~]# systemctl start rsyslog
[root@hya ~]#
14)确保SSH LogLevel设置为INFO (服务配置)
#确保SSH LogLevel设置为INFO,记录登录和注销活动
[root@hya ~]# vim /etc/ssh/sshd_config
LogLevel INFO
15)访问控制配置文件的权限设置 |(文件权限)
#访问控制配置文件的权限设置
[root@hya ~]# chown root:root /etc/hosts.allow
[root@hya ~]# chown root:root /etc/hosts.deny
[root@hya ~]# chmod 644 /etc/hosts.deny
[root@hya ~]# chmod 644 /etc/hosts.allow
16)开启地址空间布局随机化(入侵防范)
#它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险
[root@hya ~]# vim /etc/sysctl.conf
kernel.randomize_va_space = 2
[root@hya ~]# sysctl -w kernel.randomize_va_space=2
kernel.randomize_va_space = 2
17)确保root是唯一的UID为0的账户(身份鉴别)
#除root以外其他UID为0的用户都应该删除,或者为其分配新的UID
[root@hya ~]# cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$'
[root@hya ~]#
总结
至于说系统安全优化还有很多很多,在这里我只是简单的写了这么几条,我们也可以借助第三方工具来进行防范暴力破解、攻击等问题。