CentOS安装之后的系统安全配置

单于326

原文出处: CentOS安装之后的系统安全配置
作者: Jet Mah from Java堂
声明: 可以非商业性任意转载, 转载时请务必以超链接形式标明文章原始出处、作者信息及此声明！


本文以CentOS 5.4为例进行说明，对于5.x版本应该都是适用的，其他版本的话主要是命令的路径不同，思路是一致的。
 
第一步、账户安全管理
1. 修改密码长度

• #vi /etc/login.defs
  
• PASS_MIN_LEN 18
  

2. 创建一个普通用户账号并设置密码，这样所有的操作都使用该普通账号进行

• #useradd ru
  
• #passwd ru
  

3. Linux默认提供了很多账号，账号越多，系统就越容易受到攻击，所以应该禁止所有默认的被操作系统本身启动的并且不必要的账号。
可以使用 vi /etc/passwd 查看系统账号，使用 vi /etc/group 查看系统的用户组。

• #userdel adm
  
• #userdel lp
  
• #userdel sync
  
• #userdel shutdown
  
• #userdel halt
  
• #userdel news
  
• #userdel uucp
  
• #userdel operator
  
• #userdel games
  
• #userdel gopher
  
• #userdel ftp
  
•  
  
• #groupdel adm
  
• #groupdel lp
  
• #groupdel news
  
• #groupdel uucp
  
• #groupdel games
  
• #groupdel dip
  
• #groupdel pppusers
  

4. 使用chattr命令将下面的文件加上不可更改属性，从而防止非授权用户获得权限。

• #chattr +i /etc/passwd
  
• #chattr +i /etc/shadow
  
• #chattr +i /etc/group
  
• #chattr +i /etc/gshadow
  

这样操作之后也无法创建账号和修改密码，后面可以使用chattr -i命令恢复之后再进行操作。
5. 禁止Ctrl+Alt+Delete重启命令
修改 /etc/inittab 文件，将下面一行注释掉

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

然后重新设置 /etc/rc.d/init.d/ 目录下所有文件的许可权限，仅root账号可以读、写和执行其中的所有脚本文件：

• #chmod -R 700 /etc/rc.d/init.d/*
  

6. 限制su命令
限制只有特定用户组的用户才能使用su命令作为root权限，可以编辑 /etc/pam.d/su 文件，修改或增加下面的内容

# 这一行默认是有的
auth sufficient pam_rootok.so
# 确认wheel用户组是存在的
auth required pam_wheel.so group=wheel

这样设置之后只有wheel用户组的用户可以使用su切换为root。如果系统用户ru能够su切换为root，可以运行如下命令：

• #usermod -G10 ru
  

这里注意，使用 su - 命令可以切换为root用户并将root的环境变量信息进行切换，而 su 命令仅仅是切换角色但还是原来用户的环境变量。
 
第二步、SSH安全配置
SSH作为系统登录的入口，其安全性好比城楼的城门，重要性不言而喻。
首先查看系统中是否安装了SSH：

• #chkconfig --list |grep sshd
  

如果出现内容则说明安装了sshd服务，否则使用 yum install ssh 命令进行安装。
接下来先备份原来的配置文件

• #cp /etc/ssh/sshd_config /etc/ssh/sshd_config.bak
  

然后修改 /etc/ssh/sshd_config 文件：

# 修改SSH的端口，默认为22
Port 5028
# 将#protocol 2,1改为
protocol 2
# 不允许root用户直接登录
PermitRootLogin no
# 不允许空密码登录
PermitEmptyPasswords no
# 不适用DNS
UseDns no

最后使用 service sshd restart 重启SSH服务
 
第三步、关闭系统中不需要的服务和端口
1. 系统中少开一个服务就少一个危险，以下仅列出需要启动的服务，未列出的服务一律关闭，如果没有下面的服务则直接忽略：

• #setup
  
• acpid
  
• anacron
  
• cpuspeed
  
• crond
  
• iptables
  
• irqbalance \\仅当服务器CPU为S.M.P架构或支持双核心、HT技术时，才需开启，否则关闭。
  
• microcode_ctl
  
• network
  
• random
  
• sendmail
  
• sshd
  
• syslog
  
• yum-updatesd
  

2. 使用iptables防火墙只打开指定的端口
首先创建如下的sh文件：
下载: closeports.sh

• #!/bin/bash
  
• iptables -F INPUT
  
• iptables -P INPUT DROP
  
• # 打开80端口
  
• /sbin/iptables -A INPUT -p tcp --dport 80 -j ACCEPT
  
• # 打开SSH端口，这一点很重要，否则无法使用SSH了，注意将5028修改为你的SSH端口
  
• /sbin/iptables -A INPUT -p tcp --dport 5028 -j ACCEPT
  

然后保存为closeports.sh文件，使用下面的命令执行该文件：

• #chmod +x closeports.sh
  
• #./closeports.sh
  

详细的iptables配置信息存放在 /etc/sysconfig/iptables 文件中。
 
第四步、防止攻击
1. 阻止ping
将 /proc/sys/net/ipv4/icmp_echo_ignore_all 文件的内容修改为1，不过这样的话如果服务器重启之后就会恢复为0了。
可以将下面的内容加入到 /etc/rc.d/rc.local 文件中：

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2. 防止IP欺骗攻击
编辑 /etc/host.conf 文件，在下面增加如下几行：

• #vi /etc/host.conf
  
• order bind，hosts
  
• multi off
  
• nospoof on
  

3. 防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。对 /etc/security/limits.conf 文件添加如下内容：

• # 禁止调试文件
  
• * hard core 0
  
• # 限制内存使用为5MB
  
• * hard rss 5000
  
• # 限制进程数为20
  
• * hard nproc 20
  

接下来必须编辑 /etc/pam.d/login 文件确认下面一行是否存在，如果不存在的话添加上：

• session required /lib/security/pam_limits.so
  

对于DDos攻击可以使用DDoS deflate脚本，详细介绍见下面的参考资料。
 
第五步、系统配置及性能调优
1. 修改系统默认字符集
如果使用英文安装系统之后，如果系统中有中文会显示乱码，这个时候需要修改系统默认的字符集：

• #vi /etc/sysconfig/i18n
  
• LANG="zh_CN.UTF-8"
  
•  
  
• #source /etc/sysconfig/i18n
  

将系统的编码修改为zh_CN.UTF-8，后面一句命令是让修改立即生效。
2. 使用ntp服务更新服务器时间
首先检查系统中是否安装了ntp服务：

• #chkconfig --list |grep ntp
  

如果没有安装的话使用yum进行安装并更新时间

• #yum install ntp
  
• #ntpdate time.windows.com
  

也可以将更新命令加入到cron中进行自动更新时间：

• #crontab -e
  
• * */12 * * * ntpdate time.windows.com
  
•  
  
• #service crond restart
  

以上操作是每隔12小时自动更新一次时间，可以通过 crontab -l 命令进行查看。
3. 加大服务器文件描述符
当系统服务开启后，访问量变大，会使用到更多的文件描述符。使用 ulimit –n 命令显示当前的文件描述符数(需要使用 su – 命令切换到root账号)。可以使用如下方法加大文件描述符数：

• #vi /etc/security/limits.conf
  
• *   -   nofile  65536   #在文本的最后一行添加
  

重新登录之后，可以使用 ulimit –n 命令再次查看文件描述符会看的已经发生了变化。
4. 调整内核参数

• #cp /etc/sysctl.conf /etc/sysctl.conf.bak
  
• #vi /etc/sysctl.conf
  
•  
  
• net.ipv4.tcp_fin_timeout = 2
  
• net.ipv4.tcp_tw_reuse = 1
  
• net.ipv4.tcp_tw_recycle = 1
  
• net.ipv4.tcp_syncookies = 1
  
• net.ipv4.tcp_keepalive_time = 600
  
• net.ipv4.ip_local_port_range = 4000    65000
  
• net.ipv4.tcp_max_syn_backlog = 16384
  
• net.ipv4.tcp_max_tw_buckets = 36000
  
• net.ipv4.route.gc_timeout = 100
  
• net.ipv4.tcp_syn_retries = 1
  
• net.ipv4.tcp_synack_retries = 1
  
• net.ipv4.ip_conntrack_max = 25000000
  
• net.ipv4.netfilter.ip_conntrack_max=25000000
  
• net.ipv4.netfilter.ip_conntrack_tcp_timeout_established=180
  
• net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_wait=120
  
• net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_wait=60
  
• net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wait=120
  

最后，使用 sysctl –p 命令让上述设置立即生效。
 
参考资料：
centos 安全配置
centos最小化安装系统后的基本调优及安全设置
简单的防火墙设置，只要求开放80端口！
利用iptables来配置linux禁止所有端口登陆和开放指定端口
linux 禁ping和开启ping方法
DDoS deflate – Linux下防御/减轻DDOS攻击
Linux的cron和crontab
linux 内核参数调整说明