CentOS7系统安全加固实施方案.doc
《CentOS7系统安全加固实施方案.doc》由会员分享,可在线阅读,更多相关《CentOS7系统安全加固实施方案.doc(12页珍藏版)》请在咨信网上搜索。
1、CentOS7.0系统安全加固手册目录一、用户帐号和环境2二、系统访问认证和授权3三、核心调整4四、需要关闭的一些服务5五、SSH安全配置5六、封堵openssl的Heartbleed漏洞6七、开启防火墙策略6八、启用系统审计服务8九、部署完整性检查工具软件10十、部署系统监控环境11以下安全设置均是在CentOS7.0_x64环境下minimal安装进行的验证。一、用户帐号和环境检查项注释:1清除了operator、lp、shutdown、halt、games、gopher 帐号删除的用户组有: lp、uucp、games、dip其它系统伪帐号均处于锁定SHELL登录的状态2验证是否有账号存
2、在空口令的情况:awk -F: ($2 = ) print $1 /etc/shadow3检查除了root以外是否还有其它账号的UID为0:awk -F: ($3 = 0) print $1 /etc/passwd任何UID为0的账号在系统上都具有超级用户权限.4检查root用户的$PATH中是否有.或者所有用户/组用户可写的目录超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马5用户的home目录许可权限设置为700用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限6是否有用户的点文件是所有用户可读写的:fo
3、r dir in awk -F: ($3 = 500) print $6 /etc/passwddofor file in $dir/.A-Za-z0-9*doif -f $file ; thenchmod o-w $filefidonedoneUnix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限7为用户设置合适的缺省umask值:cd /etcfor file in profile csh.login csh.cshrc bashrcdoif grep -c umask $file -e
4、q 0 ;thenecho umask 022 $filefichown root:root $filechmod 444 $filedone为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.8设备系统口令策略:修改/etc/login.defs文件将PASS_MIN_LEN最小密码长度设置为12位。10限制能够su为root 的用户:#vi /etc/pam.d/su 在文件头部添加下面这样的一行auth required pam_wheel.so use_uid这样,只有wheel组的用户可以su到root操作样例: #usermod -G10 test 将
5、test用户加入到wheel组11修改别名文件/etc/aliases:#vi /etc/aliases 注释掉不要的 #games: root #ingres: root #system: root #toor: root #uucp: root #manager: root #dumper: root #operator: root #decode: root #root: marc 修改后执行/usr/bin/newaliases13修改帐户TMOUT值,设置自动注销时间vi /etc/profile增加TMOUT=600 无操作600秒后自动退出14设置Bash保留历史命令的条数#vi
6、 /etc/profile修改HISTSIZE=5即只保留最新执行的5条命令16防止IP SPOOF:#vi /etc/host.conf 添加:nospoof on不允许服务器对IP地址进行欺骗17使用日志服务器:#vi /etc/rsyslog.conf 照以下样式修改*.info;mail.none;authpriv.none;cron.none 192.168.10.199这里只是作为参考,需要根据实际决定怎么配置参数二、系统访问认证和授权检查项注释:1限制 at/cron给授权的用户:cd /etc/rm -f cron.deny at.denyecho root cron.allo
7、wecho root at.allowchown root:root cron.allow at.allowchmod 400 cron.allow at.allowCron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单, 在多数系统上通常只有系统管理员才需要运行这些命令5Crontab文件限制访问权限:chown root:root /etc/crontabchmod 400 /etc/crontabchown -R root:root /var/spool/cronchmod -R go-rwx /var/spool/cronchown -R root:
8、root /etc/cron.*chmod -R go-rwx /etc/cron.*系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序6建立恰当的警告banner:echo Authorized uses only. All activity may be monitored and reported. /etc/motdchown root:root /etc/motdchmod 644 /etc/motdecho Authorized uses only. All activity
9、 may be monitored and reported. /etc/issueecho Authorized uses only. All activity may be monitored and reported. /etc/改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用.7限制root登录到系统控制台:cat /etc/securettytty1tty2tty3tty4tty5tty6END_FILEchown root:root /etc/securettychmod 400 /etc/securetty通常应该以普通用户身份访问系统,
10、然后通过其它授权机制(比如su命令和sudo)来获得更高权限,这样做至少可以对登录事件进行跟踪8设置守护进程掩码vi /etc/rc.d/init.d/functions设置为 umask 022系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件三、核心调整设置项注释:1禁止core dump:cat /etc/security/limits.conf* soft core 0* hard core 0END_ENTRIES允许core dump会耗费大量的磁盘空间.2chown root:root /etc/sysctl.confchmod 600 /etc/sys
11、ctl.conflog_martians将进行ip假冒的ip包记录到/var/log/messages其它核心参数使用CentOS默认值。四、需要关闭的一些服务设置项注释:1关闭Mail Serverchkconfig postfix off多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务五、SSH安全配置设置项注释:1配置空闲登出的超时间隔:ClientAliveInterval 300 ClientAliveCountMax 0Vi /etc/ssh/sshd_config2禁用 .rhosts 文件IgnoreRho
12、sts yesVi /etc/ssh/sshd_config3禁用基于主机的认证HostbasedAuthentication noVi /etc/ssh/sshd_config4禁止 root 帐号通过 SSH 登录PermitRootLogin noVi /etc/ssh/sshd_config5用警告的 BannerBanner /etc/issueVi /etc/ssh/sshd_config6iptables防火墙处理 SSH 端口 # 64906-A INPUT -s 192.168.1.0/24 -m state -state NEW -p tcp -dport 64906 -j
13、 ACCEPT-A INPUT -s 202.54.1.5/29 -m state -state NEW -p tcp -dport 64906 -j ACCEPT这里仅作为参考,需根据实际需要调整参数7修改 SSH 端口和限制 IP 绑定:Port 64906安装selinux管理命令yum -y install policycoreutils-python修改 port contexts(关键),需要对context进行修改semanage port -a -t ssh_port_t -p tcp 64906semanage port -l | grep ssh -查看当前SElinux
14、允许的ssh端口Vi /etc/ssh/sshd_config仅作为参考,需根据实际需要调整参数。8禁用空密码:PermitEmptyPasswords no禁止帐号使用空密码进行远程登录SSH9记录日志:LogLevel INFO确保在 sshd_config 中将日志级别 LogLevel 设置为 INFO 或者 DEBUG,可通过logwatchorlogcheck来阅读日志。10重启SSHsystemctl restart sshd.service重启ssh六、封堵openssl的Heartbleed漏洞检测方法:在服务器上运行以下命令确认openssl版本# openssl vers
15、ionOpenSSL 1.0.1e-fips 11 Feb 2013以上版本的openssl存在Heartbleed bug,需要有针对性的打补丁。升及补丁:#yum -y install openssl验证:# openssl version -aOpenSSL 1.0.1e-fips 11 Feb 2013built on: Thu Jun 5 12:49:27 UTC 2014以上built on 的时间是2014.6.5号,说明已经修复了该漏洞。注:如果能够临时联网安装以上补丁,在操作上会比较简单一些。如果无法联网,则有两种处理办法:首选从安装光盘拷贝独立的rpm安装文件并更新;另一个
16、办法是提前下载最新版本的openssl源码,编译并安装。七、开启防火墙策略在CentOS7.0中默认使用firewall代替了iptables service。虽然继续保留了iptables命令,但已经仅是名称相同而已。除非手动删除firewall,再安装iptables,否则不能继续使用以前的iptables配置方法。以下介绍的是firewall配置方法:#cd /usr/lib/firewalld/services /该目录中存放的是定义好的网络服务和端口参数,只用于参考,不能修改。这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务,也不必再增加相关xml定义,后续通过管理
17、命令可以直接增加。#cd /etc/firewalld/services/从上面目录中将需要使用的服务的xml文件拷至这个目录中,如果端口有变化则可以修改文件中的数值。# Check firewall state.firewall-cmd -state# Check active zones.firewall-cmd -get-active-zones# Check current active services.firewall-cmd -get-service# Check services that will be active after next reload.firewall-cm
18、d -get-service -permanent查看firewall当前的配置信息,最后一个命令是查看写入配置文件的信息。# # Set permanent and reload the runtime config.# firewall-cmd -permanent -zone=public -add-service=http# firewall-cmd -reload# firewall-cmd -permanent -zone=public -list-services打开HTTP服务端口并写入配置文件从配置文件中重载至运行环境中。# firewall-cmd -permanent -
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- CentOS7 系统安全 加固 实施方案
1、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
2、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
3、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
4、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
5、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
6、文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。