1. 禁用不使用的用戶

注意：不建議直接刪除，當你需要某個用戶時，自己重新添加會很麻煩。也可以usermod -L或passwd -l user鎖定。

• cp /etc/passwd{,.bak}修改之前先備份

• vi /etc/passwd編輯用戶，在前面加上#注釋掉此行

注釋的用戶名：

#?cat?/etc/passwd|grep?^# #adm:x:3:4:adm:/var/adm:/sbin/nologin #lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin #shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown #halt:x:7:0:halt:/sbin:/sbin/halt #uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin #operator:x:11:0:operator:/root:/sbin/nologin #games:x:12:100:games:/usr/games:/sbin/nologin #gopher:x:13:30:gopher:/var/gopher:/sbin/nologin #ftp:x:14:50:FTP?User:/var/ftp:/sbin/nologin #nfsnobody:x:65534:65534:Anonymous?NFS?User:/var/lib/nfs:/sbin/nologin #postfix:x:89:89::/var/spool/postfix:/sbin/nologin

注釋的組：

#?cat?/etc/group|grep?^# #adm:x:4:adm,daemon #lp:x:7:daemon #uucp:x:14: #games:x:20: #gopher:x:30: #video:x:39: #dip:x:40: #ftp:x:50: #audio:x:63: #floppy:x:19: #postfix:x:89:

2. 關閉不使用的服務

#?chkconfig?--list?|grep?'3:on'

郵件服務，使用公司郵件服務器：

“shell?
service postfix stop?
chkconfig postfix –level 2345 off

通用unix打印服務，對服務器無用：```shell service?cups?stop chkconfig?cups?--level?2345?off

調節cpu速度用來省電，常用在Laptop上：

service?cpuspeed?stop chkconfig?cpuspeed?--level?2345?off

藍牙無線通訊，對服務器無用：

service?bluetooth?stop chkconfig?bluetooth?--level?2345?off

系統安裝后初始設定，第一次啟動系統后就沒用了：

service?firstboot?stop chkconfig?firstboot?--level?2345?off

關閉nfs服務及客戶端：

service?netfs?stop chkconfig?netfs?--level?2345?off service?nfslock?stop chkconfig?nfslock?--level?2345?off

如果要恢復某一個服務，可以執行下面操作：

service?acpid?start?&&?chkconfig?acpid?on

也可以使用setup工具來設置

3. 禁用IPV6

IPv6是為了解決IPv4地址耗盡的問題，但我們的服務器一般用不到它，反而禁用IPv6不僅僅會加快網絡，還會有助于減少管理開銷和提高安全級別，以下幾步在CentOS上完全禁用ipv6。

禁止加載IPv6模塊

讓系統不加載ipv6相關模塊，這需要修改modprobe相關設定文件，為了管理方便，我們新建設定文件/etc/modprobe.d/ipv6off.conf，內容如下

alias?net-pf-10?off options?ipv6?disable=1

禁用基于IPv6網絡，使之不會被觸發啟動：

#?vi?/etc/sysconfig/network NETWORKING_IPV6=no

禁用網卡IPv6設置，使之僅在IPv4模式下運行：

#?vi?/etc/sysconfig/network-scripts/ifcfg-eth0 IPV6INIT=no IPV6_AUTOCONF=no

關閉ip6tables：

#?chkconfig?ip6tables?off

重啟系統，驗證是否生效：

#?lsmod?|?grep?ipv6 #?ifconfig?|?grep?-i?inet6

如果沒有任何輸出就說明IPv6模塊已被禁用，否則被啟用。

4. iptables規則

啟用linux防火墻來禁止非法程序訪問。使用iptable的規則來過濾入站、出站和轉發的包。我們可以針對來源和目的地址進行特定udp/tcp端口的準許和拒絕訪問。

關于防火墻的設置規則請參考博客文章?iptables常用設置實例。

5. SSH安全設置

如果有可能，第一件事就是修改ssh的默認端口22，改成如20002這樣的較大端口會大幅提高安全系數，降低ssh破解登錄的可能性。

創建具備辨識度的應用用戶如crm以及系統管理用戶sysmgr

#?useradd?crm?-d?/apps/crm #?passwd?crm#?useradd?sysmgr #?passwd?sysmgr

5.1 只允許wheel用戶組的用戶su切換

#?usermod?-G?wheel?sysmgr#?vi?/etc/pam.d/su #?Uncomment?the?following?line?to?require?a?user?to?be?in?the?"wheel"?group. auth????????????required????????pam_wheel.so?use_uid

其他用戶切換root，即使輸對密碼也會提示su: incorrect password

5.2 登錄超時

用戶在線5分鐘無操作則超時斷開連接，在/etc/profile中添加：

export?TMOUT=300 readonly?TMOUT

5.3 禁止root直接遠程登錄

#?vi?/etc/ssh/sshd_config PermitRootLogin?no

5.4 限制登錄失敗次數并鎖定

在/etc/pam.d/login后添加

auth?required?pam_tally2.so?deny=6?unlock_time=180?even_deny_root?root_unlock_time=180

登錄失敗5次鎖定180秒，根據需要設置是否包括root。

5.5 登錄IP限制

（由于要與某一固定IP或IP段綁定，暫未設置）?
更嚴格的限制是在sshd_config中定死允許ssh的用戶和來源ip：

##?allowed?ssh?users?sysmgr AllowUsers?sysmgr@172.29.73.*

或者使用tcpwrapper:

vi?/etc/hosts.deny sshd:all vi?/etc/hosts.allow sshd:172.29.73.23 sshd:172.29.73.

6. 配置只能使用密鑰文件登錄

使用密鑰文件代替普通的簡單密碼認證也會極大的提高安全性：

[dir@username?~]$?ssh-keygen?-t?rsa?-b?2048 Generating?public/private?rsa?key?pair. Enter?file?in?which?to?save?the?key?(/root/.ssh/id_rsa):???//默認路徑，回車 Enter?passphrase?(empty?for?no?passphrase):?????//輸入你的密鑰短語，登錄時使用 Enter?same?passphrase?again:? Your?identification?has?been?saved?in?/root/.ssh/id_rsa. Your?public?key?has?been?saved?in?/root/.ssh/id_rsa.pub. The?key?fingerprint?is: 3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64?root@ibpak.tp-link.net The?key's?randomart?image?is: +--[?RSA?2048]----+ |?????????????????| … |??????o++o..oo..o| +-----------------+

將公鑰重命名為authorized_key：

$?mv?~/.ssh/id_rsa.pub?~/.ssh/authorized_keys $?chmod?600?~/.ssh/authorized_keys

下載私鑰文件 id_rsa 到本地（為了更加容易識別，可重命名為hostname_username_id_rsa），保存到安全的地方。以后 username 用戶登錄這臺主機就必須使用這個私鑰，配合密碼短語來登錄（不再使用 username 用戶自身的密碼）

另外還要修改/etc/ssh/sshd_config文件，打開注釋

RSAAuthentication?yes PubkeyAuthentication?yes AuthorizedKeysFile??????.ssh/authorized_keys

我們要求 username 用戶（可以切換到其他用戶，特別是root）必須使用ssh密鑰文件登錄，而其他普通用戶可以直接密碼登錄。因此還需在sshd_config文件最后加入：

Match?User?itsectionPasswordAuthentication?no

重啟sshd服務service sshd restart，另外提醒一句，這對公鑰和私鑰一定要單獨保存在另外的機器上，服務器上丟失公鑰或連接端丟失私鑰（或密鑰短語），可能導致再也無法登陸服務器獲得root權限！

7. 減少history命令記錄

執行過的歷史命令記錄越多，從一定程度上講會給維護帶來簡便，但同樣會伴隨安全問題

vi?/etc/profile

找到HISTSIZE=1000改為HISTSIZE=50，或每次退出時清理history，history -c

8. 增強特殊文件權限

給下面的文件加上不可更改屬性，從而防止非授權用戶獲得權限

chattr?+i?/etc/passwd chattr?+i?/etc/shadow chattr?+i?/etc/group chattr?+i?/etc/gshadow chattr?+i?/etc/services?#給系統服務端口列表文件加鎖，防止未經許可的刪除或添加服務 chattr?+i?/etc/pam.d/su chattr?+i?/etc/ssh/sshd_config

顯示文件的屬性

lsattr?/etc/passwd?/etc/shadow?/etc/services?/etc/ssh/sshd_config

注意：執行以上 chattr 權限修改之后，就無法添加刪除用戶了。

如果再要添加刪除用戶，需要先取消上面的設置，等用戶添加刪除完成之后，再執行上面的操作，例如取消只讀權限chattr -i /etc/passwd。（記得重新設置只讀）

9. 防止一般網絡攻擊

網絡攻擊不是幾行設置就能避免的，以下都只是些簡單的將可能性降到最低，增大攻擊的難度但并不能完全阻止。

9.1 禁ping

阻止ping如果沒人能ping通您的系統，安全性自然增加了，可以有效的防止ping洪水。為此，可以在/etc/rc.d/rc.local文件中增加如下一行：

#?echo?1?>?/proc/sys/net/ipv4/icmp_echo_ignore_all

或使用iptable禁ping：

iptables?-A?INPUT?-p?icmp?--icmp-type?0?-s?0/0?-j?DROP

不允許ping其他主機：

iptables?-A?OUTPUT?-p?icmp?--icmp-type?8?-j?DROP

9.2. 防止IP欺騙

編輯/etc/host.conf文件并增加如下幾行來防止IP欺騙攻擊。

order?hosts,bind????#名稱解釋順序 multi?on???????????#允許主機擁有多個IP地址 nospoof?on?????????#禁止IP地址欺騙

9.3 防止DoS攻擊

對系統所有的用戶設置資源限制可以防止DoS類型攻擊，如最大進程數和內存使用數量等。?
可以在/etc/security/limits.conf中添加如下幾行：

*????soft????core????0 *????soft????nproc???2048 *????hard????nproc???16384 *????soft????nofile?1024 *????hard????nofile??65536

• core 0表示禁止創建core文件

• nproc 128把最多的進程數限制到20

• nofile 64表示把一個用戶同時打開的最大文件數限制為64

• *表示登錄到系統的所有用戶，不包括root

然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在。

session????required?????pam_limits.so

limits.conf參數的值需要根據具體情況調整。

10. 修復已知安全漏洞

在linux上偶爾會爆出毀滅級的漏洞，如udev、heartbleed、shellshock、ghost等，如果服務器暴露在外網，一定及時修復。

11. 定期做日志安全檢查

將日志移動到專用的日志服務器里，這可避免入侵者輕易的改動本地日志。下面是常見linux的默認日志文件及其用處：

• /var/log/message– 記錄系統日志或當前活動日志

• /var/log/auth.log– 身份認證日志

• /var/log/cron– Crond 日志 (cron 任務)

• /var/log/maillog– 郵件服務器日志

• /var/log/secure– 認證日志

• /var/log/wtmp歷史登錄、注銷、啟動、停機日志和，lastb命令可以查看登錄失敗的用戶

• /var/run/utmp當前登錄的用戶信息日志，w、who命令的信息便來源與此

• /var/log/yum.logYum 日志

參考?深度解析CentOS通過日志反查入侵。

11.1 安裝logwatch

Logwatch是使用 Perl 開發的一個日志分析工具。能夠對Linux 的日志文件進行分析，并自動發送mail給相關處理人員，可定制需求。

Logwatch的mail功能是借助宿主系統自帶的 mail server 發郵件的，所以系統需安裝mail server , 如sendmail,postfix,Qmail等。

安裝和配置方法見博文?Linux日志監控LogWatch。

總結

以上是生活随笔為你收集整理的CentOS 6服务器简单安全配置的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。