点击登录
  • 欢迎访问无限星辰技术博客,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站 QQ群
  • 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏无限星辰吧
  • 无限星辰的淘宝店铺已经开张了哦,传送门:http://

centos 7 建议安全配置

LINUX服务器 crx349 1021次浏览 0个评论 扫描二维码

sysctl :

sysctl -w net.ipv4.conf.all.send_redirects=0,
sysctl -w net.ipv4.conf.default.send_redirects=0
sysctl -w net.ipv4.conf.all.accept_redirects=0
sysctl -w net.ipv4.conf.default.accept_redirects=0
sysctl -w net.ipv4.conf.all.secure_redirects=0
sysctl -w net.ipv4.conf.default.secure_redirects=0
sysctl -w net.ipv4.conf.all.rp_filter=1
sysctl -w net.ipv4.conf.default.rp_filter=1
sysctl -w net.ipv6.conf.all.accept_ra=0
sysctl -w net.ipv6.conf.default.accept_ra=0
sysctl -w net.ipv6.conf.all.accept_redirects=0
sysctl -w net.ipv6.conf.default.accept_redirects=0

SSHD强制使用V2安全协议
建议:在/etc/ssh/sshd_config中取消注释符号#
SSHD仅记录ssh用户登录活动
建议:在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#
SSHD仅记录ssh用户登录活动
建议:在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数
清理主机远程登录历史主机记录
建议:在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#
禁止主机认证登录
建议:在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#
禁止root直接登录
建议:在/etc/ssh/sshd_config中PermitRootLogin 值设置为no
禁止空密码用户登录
建议:在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
禁止用户修改环境变量
建议:在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
设置输入密码间隔时间
建议:在/etc/ssh/sshd_config中取消LoginGraceTime前注释符,同时设置输入密码时间间隔秒数
设置用户密码最小长度
建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上
设置用户密码数字位数
建议:在/etc/security/pwquality.conf中取消minlen注释符号#,同时设置为负数建议-1最少包含1位数字
设置用户密码大写字母位数
建议:在/etc/security/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母
设置用户密码小写字母位数
建议:在/etc/security/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母
设置用户密码特殊字符位数
建议:在/etc/security/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符
新密码与老密码不能重复
建议:在/etc/pam.d/password-auth中添加:password sufficient pam_unix.so remember=3这一行,remember的值表示此次设置密码与过去3次不同
新密码与老密码不能重复
建议:在/etc/pam.d/system-auth中添加:password sufficient pam_unix.so remember=3这一行,remember的值表示此次设置密码与过去3次不同
检查空密码账户
建议:使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 90,建议值90
rsyslog日志文件权限配置
建议:在/etc/rsyslog.conf中添加:$FileCreateMode 0640
强制密码失效时间
建议:在/etc/login.defs 设置强制密码失效时间,建议值365
密码修改最小间隔时间
建议:在/etc/login.defs 设置密码修改最小间隔时间,建议值7
设置有密码账户不活动最大时间
建议:使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 90,建议值90
检查/boot/grub2/grub.cfg文件ACL属性
建议:执行:chmod og-rwx /boot/grub2/grub.cfg
检查/etc/crontab文件ACL属性
建议:执行:chmod og-rwx /etc/crontab
检查/etc/cron.hourly文件ACL属性
建议:执行:chmod og-rwx /etc/cron.hourly
检查/etc/cron.daily文件ACL属性
建议:执行:chmod og-rwx /etc/cron.daily
检查/etc/cron.weekly 文件ACL属性
建议:执行:chmod og-rwx /etc/cron.weekly
检查/etc/cron.monthly 文件ACL属性
建议:执行:chmod og-rwx /etc/cron.monthly
检查/etc/cron.d 文件ACL属性
建议:执行:chmod og-rwx /etc/cron.d


无限星辰 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明centos 7 建议安全配置
喜欢 (0)
[]
分享 (0)

您必须 登录 才能发表评论!