基于centos7版本測試
注意：修改任何配置文件，為保障安全請先備份，命令： cp -a +配置文件路徑 +存放位置路徑

1.密碼長度與有效期

位置：vi /etc/login.defs

修改：

PASS_MAX_DAYS 90 注：密碼有效期 PASS_MIN_DAYS 2 注：修改密碼最短期限 PASS_MIN_LEN 8 注：密碼最短長度 PASS_WARN_AGE 30 注：密碼過期提醒

2.密碼復(fù)雜度

位置：vi /etc/pam.d/system-auth

修改：

將這行注釋 password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= 并在其下面新增1行 password requisite pam_pwquality.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 retry=1 authtok_type=如何要設(shè)定root也要履行該規(guī)則，需要添加enforce_for_root例如：password requisite pam_pwquality.so try_first_pass minlen=8 difok=5 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 retry=1 enforce_for_root authtok_type=

解釋：

minlen=8 最小長度8位difok=5 新舊密碼最少5個字符不同dcredit=-1 最少1個數(shù)字lcredit=-1 最少1個小寫字符ucredit=-1 最少1個大寫字符ocredit=-1 最少1個特殊字符retry=1 1次錯誤后返回錯誤信息type=XXX 此選項(xiàng)用來修改缺省的密碼提示文本

3.新口令不能與近期相同

位置：vi /etc/pam.d/system-auth

修改：

在password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok 所在行的后面添加remember=5

解釋：

remeber=5 記住近期5個密碼，改密碼不能與近期5個有相同的。

4.會話超時

位置：vi /etc/profile

修改：

在文件的末尾添加 export TMOUT=600

解釋：

export TMOUT=600 10分鐘超時

5.登錄失敗鎖定

位置：vi /etc/pam.d/system-auth

修改：

在# User changes will be destroyed the next time authconfig is run. 下面添加auth required pam_tally2.so deny=5 unlock_time=600 even_deny_root root_unlock_time=1800

解釋：

deny=5 5次登錄失敗 unlock_time=1800 鎖定30分鐘

6.SSH配置加固

位置：vi /etc/ssh/sshd_config

修改：

（1）禁止空密碼登錄 將#PermitEmptyPasswords no參數(shù)的注釋符號去掉，改成 PermitEmptyPasswords no（2）關(guān)閉ssh的tcp轉(zhuǎn)發(fā) 將#AllowTcpForwarding yes參數(shù)改成 AllowTcpForwarding no（3）關(guān)閉S/KEY（質(zhì)疑-應(yīng)答)認(rèn)證方式 將#ChallengeResponseAuthentication yes參數(shù)，改成 ChallengeResponseAuthentication no（4）關(guān)閉基于GSSAPI 的用戶認(rèn)證 將GSSAPIAuthentication yes參數(shù)，改成 GSSAPIAuthentication no

重啟ssh服務(wù)：

systemctl restart sshd.service

7.重用名root

位置：vi /etc/passwd 把里面的root用戶修改為想要設(shè)定的用戶名。保存:wq 位置：vi /etc/shadow 把里面的root用戶修改為想要設(shè)定的用戶名。強(qiáng)制保存:wq！

重啟：

重啟服務(wù)器，使用修改過的用戶名登錄。 通過查詢Id 當(dāng)前用戶 如果UID是0，就修改成功，否則就是未成功。

注意：

如果重啟長時間處于運(yùn)行的服務(wù)器可能會導(dǎo)致系統(tǒng)崩潰。 修改root用戶名后，會導(dǎo)致登錄系統(tǒng)出現(xiàn)10秒左右的延遲。

8.查詢是否存在特權(quán)賬戶與空口令

awk -F: '$3==0 {print $1}' /etc/passwd 查詢是否存在特權(quán)賬戶 awk -F: 'length($2)==0 {print $1}' /etc/shadow 查詢是否存在空口令

修改：

如果存在特權(quán)賬戶，刪除除root以外的任何賬戶。 如果存在空口令，為該用戶設(shè)定密碼。

9.刪除多余用戶

userdel 用戶名

10.設(shè)定禁止root遠(yuǎn)程登錄

位置：vi /etc/ssh/sshd_config

修改：

PermitRootLogin no

11.日志上傳服務(wù)器

位置：vi /etc/rsyslog.conf

修改：

*.info;mail.none;news.none;authpriv.none;cron.none /var/log/messages 找到這行添加下面的內(nèi)容 *.* @@172.16.x.xx:514 *.* @172.16.x.xx:514

注：

@@表示TCP流量，@表示UDP流量。

12.防火墻

systemctl start firewalld 開啟防火墻 systemctl enable firewalld 自啟動 firewall-cmd --per --add-port=80/tcp 開啟80端口 firwall-cmd --reload 重載防火墻 firewall-cmd --list-all 查看防火墻端口

總結(jié)

以上是生活随笔為你收集整理的基于Centos 7系统的安全加固方案的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。