找回密码
 立即注册

QQ登录

只需一步,快速开始

centos 7 系统安全加固命令

阿里云上建议加固命令,分享下吧
适用centos7 其他系统慎用哦
  1. rm -f /etc/cron.deny
  2. rm -f /etc/at.deny
  3. touch /etc/cron.allow
  4. touch /etc/at.allow
  5. chmod 0600 /etc/cron.allow
  6. chmod 0600 /etc/at.allow
  7. sysctl -w net.ipv4.conf.all.send_redirects=0
  8. sysctl -w net.ipv4.conf.default.send_redirects=0
  9. sysctl -w net.ipv4.conf.all.accept_redirects=0
  10. sysctl -w net.ipv4.conf.default.accept_redirects=0
  11. sysctl -w net.ipv4.conf.all.secure_redirects=0
  12. sysctl -w net.ipv4.conf.default.secure_redirects=0
  13. sysctl -w net.ipv4.conf.all.rp_filter=1
  14. sysctl -w net.ipv4.conf.default.rp_filter=1
  15. sysctl -w net.ipv6.conf.all.accept_ra=0
  16. sysctl -w net.ipv6.conf.default.accept_ra=0
  17. sysctl -w net.ipv6.conf.all.accept_redirects=0
  18. sysctl -w net.ipv6.conf.default.accept_redirects=0
复制代码



本教程由无限星辰工作室CRX349独家整理和提供,转载请注明地址,谢谢。本文地址:https://www.xmspace.net/thread-564-1-1.html
无限星辰工作室  好集导航 Discuz全集下载  星辰站长网  集热爱361  一品文学  手机小游戏合集   海外空间网 星辰api  星辰支付二维码管理平台 阿里云服务器 腾讯云服务器
服务Discuz!建站|DiscuzQ配置|二开|小程序|APP|搬家|挂马清理|防护|Win/Linux环境搭建|优化|运维|
服务理念:专业 诚信 友好QQ842062626 服务项目 Q群315524225

发表于 2017-12-3 15:52:05 | 显示全部楼层 |阅读模式

回复 | 使用道具 举报

该帖共收到 3 条回复!
系统crontab权限设置
加固建议:
依次执行:rm -f /etc/cron.deny rm -f /etc/at.deny touch /etc/cron.allow touch /etc/at.allow chmod 0600 /etc/cron.allow chmod 0600 /etc/at.allow
检查项:
禁止转发ICMP重定向报文
加固建议:
执行sysctl -w net.ipv4.conf.all.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.send_redirects=0,不存在则添加
检查项:
禁止转发ICMP重定向报文
加固建议:
执行sysctl -w net.ipv4.conf.default.send_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.send_redirects=0,不存在则添加
检查项:
禁止包含源路由的ip包
加固建议:
执行sysctl -w net.ipv4.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.accept_redirects=0,不存在则添加
检查项:
禁止包含源路由的ip包
加固建议:
执行sysctl -w net.ipv4.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.accept_redirects=0,不存在则添加
检查项:
禁止转发安全ICMP重定向报文
加固建议:
执行sysctl -w net.ipv4.conf.all.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.secure_redirects=0,不存在则添加
检查项:
禁止转发安全ICMP重定向报文
加固建议:
执行sysctl -w net.ipv4.conf.default.secure_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.secure_redirects=0,不存在则添加
检查项:
启用反转地址路径过滤
加固建议:
执行sysctl -w net.ipv4.conf.all.rp_filter=1,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.all.rp_filter=1,不存在则添加
检查项:
启用反转地址路径过滤
加固建议:
执行sysctl -w net.ipv4.conf.default.rp_filter=1,再查看/etc/sysctl.conf中是否存在net.ipv4.conf.default.rp_filter=1,不存在则添加
检查项:
禁止ipv6路由广播
加固建议:
执行sysctl -w net.ipv6.conf.all.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_ra=0,不存在则添加
检查项:
禁止ipv6路由广播
加固建议:
执行sysctl -w net.ipv6.conf.default.accept_ra=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_ra=0,不存在则添加
检查项:
禁止ipv6路由重定向
加固建议:
执行sysctl -w net.ipv6.conf.all.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.all.accept_redirects=0,不存在则添加
检查项:
禁止ipv6路由重定向
加固建议:
执行sysctl -w net.ipv6.conf.default.accept_redirects=0,再查看/etc/sysctl.conf中是否存在net.ipv6.conf.default.accept_redirects=0,不存在则添加
检查项:
SSHD强制使用V2安全协议
加固建议:
在/etc/ssh/sshd_config中取消Protocol注释符号#
检查项:
SSHD仅记录ssh用户登录活动
加固建议:
在/etc/ssh/sshd_config中取消LogLevel INFO注释符号#
检查项:
SSHD仅记录ssh用户登录活动
加固建议:
在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置自定义最大密码尝试失败次数
检查项:
清理主机远程登录历史主机记录
加固建议:
在/etc/ssh/sshd_config中取消IgnoreRhosts yes注释符号#
检查项:
禁止主机认证登录
加固建议:
在/etc/ssh/sshd_config中取消HostbasedAuthentication no注释符号#
检查项:
禁止root直接登录
加固建议:
在/etc/ssh/sshd_config中PermitRootLogin 值设置为no
检查项:
禁止空密码用户登录
加固建议:
在/etc/ssh/sshd_config中取消PermitEmptyPasswords no注释符号#
检查项:
禁止用户修改环境变量
加固建议:
在/etc/ssh/sshd_config中取消PermitUserEnvironment no注释符号#
检查项:
设置输入密码间隔时间
加固建议:
在/etc/ssh/sshd_config中取消LoginGraceTime前注释符,同时设置输入密码时间间隔秒数
检查项:
设置用户密码最小长度
加固建议:
在/etccurity/pwquality.conf中取消minlen注释符号#,同时设置最小密码长度建议10位以上
检查项:
设置用户密码数字位数
加固建议:
在/etccurity/pwquality.conf中取消dcredit注释符号#,同时设置为负数建议-1最少包含1位数字
检查项:
设置用户密码大写字母位数
加固建议:
在/etccurity/pwquality.conf中取消ucredit注释符号#,同时设置为负数建议-1最少包含1位大写字母
检查项:
设置用户密码小写字母位数
加固建议:
在/etccurity/pwquality.conf中取消lcredit注释符号#,同时设置为负数建议-1最少包含1位小写字母
检查项:
设置用户密码特殊字符位数
加固建议:
在/etccurity/pwquality.conf中取消ocredit注释符号#,同时设置为负数建议-1最少包含1位特殊字符
检查项:
密码授权新密码与老密码不能重复
加固建议:
在/etc/pam.d/password-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同
检查项:
系统授权新密码与老密码不能重复
加固建议:
在/etc/pam.d/system-auth中添加:password sufficient pam_unix.so remember=3 ,remember的值表示此次设置密码与过去3次不同
检查项:
rsyslog日志文件权限配置
加固建议:
在/etc/rsyslog.conf中添加:$FileCreateMode 0640
检查项:
强制密码失效时间
加固建议:
在/etc/login.defs 设置强制密码失效时间,建议值365
检查项:
密码修改最小间隔时间
加固建议:
在/etc/login.defs 设置密码修改最小间隔时间,建议值7
检查项:
设置有密码账户不活动最大时间
加固建议:
使用如下命令设置有密码账户不活动最大时间值:useradd -D -f 90,建议值90
检查项:
检查/boot/grub2/grub.cfg文件ACL属性
加固建议:
执行:chmod 0600 /boot/grub2/grub.cfg
检查项:
检查/etc/crontab文件ACL属性
加固建议:
执行:chmod 0600 /etc/crontab
检查项:
检查/etc/cron.hourly文件ACL属性
加固建议:
执行:chmod 0600 /etc/cron.hourly
检查项:
检查/etc/cron.daily文件ACL属性
加固建议:
执行:chmod 0600 /etc/cron.daily
检查项:
检查/etc/cron.weekly 文件ACL属性
加固建议:
执行:chmod 0600 /etc/cron.weekly
检查项:
检查/etc/cron.monthly 文件ACL属性
加固建议:
执行:chmod 0600 /etc/cron.monthly
检查项:
检查/etc/cron.d 文件ACL属性
加固建议:
执行:chmod 0600 /etc/cron.d
无限星辰工作室  好集导航 Discuz全集下载  星辰站长网  集热爱361  一品文学  手机小游戏合集   海外空间网 星辰api  星辰支付二维码管理平台 阿里云服务器 腾讯云服务器
服务Discuz!建站|DiscuzQ配置|二开|小程序|APP|搬家|挂马清理|防护|Win/Linux环境搭建|优化|运维|
服务理念:专业 诚信 友好QQ842062626 服务项目 Q群315524225

发表于 2017-12-3 16:04:56 | 显示全部楼层

回复 | 支持 | 反对 使用道具 举报


风险名称
确保SSH MaxAuthTries 设置为3-6之间
加固建议
加固建议 在/etc/ssh/sshd_config 中取消MaxAuthTries注释符号#, 设置最大密码尝试失败次数3-6 建议为4
  1. MaxAuthTries 4
复制代码


风险名称
SSHD 强制使用V2安全协议
加固建议
加固建议 在/etc/ssh/sshd_config 文件按如相下设置参数
  1. Protocol 2
复制代码


风险名称
设置SSH空闲超时退出时间
加固建议
加固建议 在/etc/ssh/sshd_config 将ClientAliveInterval设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3
  1. ClientAliveInterval 600
  2. ClientAliveCountMax 2
复制代码


风险名称
确保SSH LogLevel 设置为INFO
加固建议
加固建议 在/etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释)
  1. LogLevel INFO
复制代码



风险名称
禁止SSH空密码用户登陆
加固建议
加固建议 在/etc/ssh/sshd_config 将PermitEmptyPasswords配置为no
  1. PermitEmptyPasswords no
复制代码
无限星辰工作室  好集导航 Discuz全集下载  星辰站长网  集热爱361  一品文学  手机小游戏合集   海外空间网 星辰api  星辰支付二维码管理平台 阿里云服务器 腾讯云服务器
服务Discuz!建站|DiscuzQ配置|二开|小程序|APP|搬家|挂马清理|防护|Win/Linux环境搭建|优化|运维|
服务理念:专业 诚信 友好QQ842062626 服务项目 Q群315524225

发表于 2021-10-13 15:18:16 | 显示全部楼层

回复 | 支持 | 反对 使用道具 举报

vi /etc/ssh/sshd_config
  1. MaxAuthTries 3
  2. PermitEmptyPasswords no
复制代码


service sshd restart
无限星辰工作室  好集导航 Discuz全集下载  星辰站长网  集热爱361  一品文学  手机小游戏合集   海外空间网 星辰api  星辰支付二维码管理平台 阿里云服务器 腾讯云服务器
服务Discuz!建站|DiscuzQ配置|二开|小程序|APP|搬家|挂马清理|防护|Win/Linux环境搭建|优化|运维|
服务理念:专业 诚信 友好QQ842062626 服务项目 Q群315524225

发表于 2021-10-13 15:45:50 | 显示全部楼层

回复 | 支持 | 反对 使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

美图秀

    • fastadmin 后台界面使用字段数组类型
    • Discuz!x3.5 修改标题高亮颜色
    • Discuz!x3.5 应用中心 下载应用一直下载中
    • 帖子定时显示
    • 论坛辅助审核
拖动客服框
Online Service
点击这里给我发消息
点击这里联系我们
微信扫一扫
在线客服
快速回复 返回顶部 返回列表