Linux安全加固学习

摘要

1、修改主机名方法一 # hostname 主机名    ##临时修改主机名方法二 #vim /etc/hostname   ##修改hostname文件重启系统生效

1、修改主机名

方法一# hostname 主机名    ##临时修改主机名

方法二#vim /etc/hostname   ##修改hostname文件重启系统生效

      将localhost.localdomain改为自定的主机名

2、设置sudo给用户

# vim /etc/sudoers    ##编辑sudoers文件

可以添加单个用户或者也可以添加组( wheel前面的% 表示wheel是组, 如果没有%则表示wheel是普通用户 )

用户名 ALL=(ALL) NOPASSWD: ALL  ##设置添加的用户使用sudo命令不用密码

注意：该文件是只读文件，修改后需要wq!保存退出

3、用户密码策略设置（定期修改密码、密码复杂度设置）

一、设置口令生存期

#vim   /etc/login.defs      ##修改login.defs文件

PASS_MAX_DAYS  用户密码不过期最多的天数

PASS_MIN_DAYS  密码修改之间最小的天数

PASS_MIN_LEN   

PASS_WARN_AGE   口令失效前多少天通知用户修改密码

二、密码复杂度设置

#vim /etc/pam.d/system-auth   ##修改文件

password requisite  pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1

参数含义如下所示：

difok：本次密码与上次密码至少不同字符数

minlen：密码最小长度，此配置优先于login.defs中的PASS_MAX_DAYS

ucredit：最少大写字母

lcredit：最少小写字母

dcredit：最少数字

retry：重试多少次后返回密码修改错误

注意：修改ssh相关配置文件前，记得做好备份。

4、设置双网卡绑定

可以参考下一章

5、系统版本信息

#cat /etc/issue    ##查看系统版本信息

# cat /etc/redhat-release   ##查看系统版本信息

# uname -a         ##查看内核信息

6、关闭selinux,firewalld设置

##修改selinux

#getenforce   ##可以查看到selinux是否开启

#setenforce  (0|1)  ##0临时关闭，1临时打开

# vim /etc/selinux/config    ##修改config文件永久生效

SELINUX=disabled

##修改firewalld

#systemctl status firewalld    ##查看状态

#systemctl stop|start firewalld    ##停止或关闭

#systemctl disable firewalld    ##设置开机关闭

 

7、设置limit打开文件数大小

#vim /etc/security/limits.conf

* soft nproc 11000 #限制最多打开的软件数

* hard nproc 11000 #限制打开软件的最多进程数

* soft nofile 655350#限制最多打开的文件数

* hard nofile 655350#限制最多运行的进程数，一般设置为65535

 

8、远程连接控制（关闭一些用户的远程访问）

一、禁止root用户远程登录

#vim /etc/ssh/ssh_config   ##修改ssh_config文件

修改 PermitRootLogin yes 改为no

二、限制终端ip远程登录

#vim /etc/ssh/sshd_config  ##修改sshd_config文件

Allowusers root@终端ip     ##添加内容（root用来登入服务器的用户名）

#systemctl restart sshd     ##重启sshd服务

 

9、设置sysctl

#优化TCP

vi /etc/sysctl.conf

#禁用包过滤功能

net.ipv4.ip_forward = 0  

#启用源路由核查功能

net.ipv4.conf.default.rp_filter = 1  

#禁用所有IP源路由

net.ipv4.conf.default.accept_source_route = 0  

#使用sysrq组合键是了解系统目前运行情况，为安全起见设为0关闭

kernel.sysrq = 0  

#控制core文件的文件名是否添加pid作为扩展

kernel.core_uses_pid = 1  

#开启SYN Cookies，当出现SYN等待队列溢出时，启用cookies来处理

net.ipv4.tcp_syncookies = 1  

#每个消息队列的大小（单位：字节）限制 重要

kernel.msgmnb = 65536  

#整个系统最大消息队列数量限制 重要

kernel.msgmax = 65536  

#单个共享内存段的大小（单位：字节）限制，计算公式64G*1024*1024*1024(字节)

kernel.shmmax = 68719476736  

#所有内存大小（单位：页，1页 = 4Kb），计算公式16G*1024*1024*1024/4KB(页)

kernel.shmall = 4294967296  

#timewait的数量，默认是180000

net.ipv4.tcp_max_tw_buckets = 6000  

#开启有选择的应答

net.ipv4.tcp_sack = 1  

#支持更大的TCP窗口. 如果TCP窗口最大超过65535(64K), 必须设置该数值为1

net.ipv4.tcp_window_scaling = 1  

#TCP读buffer

net.ipv4.tcp_rmem = 4096 131072 1048576

#TCP写buffer

net.ipv4.tcp_wmem = 4096 131072 1048576   

#为TCP socket预留用于发送缓冲的内存默认值（单位：字节）

net.core.wmem_default = 8388608

#为TCP socket预留用于发送缓冲的内存最大值（单位：字节）

net.core.wmem_max = 16777216  

#为TCP socket预留用于接收缓冲的内存默认值（单位：字节）  

net.core.rmem_default = 8388608

#为TCP socket预留用于接收缓冲的内存最大值（单位：字节）

net.core.rmem_max = 16777216

#每个网络接口接收数据包的速率比内核处理这些包的速率快时，允许送到队列的数据包的最大数目 重要

net.core.netdev_max_backlog = 262144  

#web应用中listen函数的backlog默认会给我们内核参数的net.core.somaxconn限制到128，而nginx定义的                        

NGX_LISTEN_BACKLOG默认为511，所以有必要调整这个值

net.core.somaxconn = 262144  

#系统中最多有多少个TCP套接字不被关联到任何一个用户文件句柄上。这个限制仅仅是为了防止简单的DoS攻        

击，不能过分依靠它或者人为地减小这个值，更应该增加这个值(如果增加了内存之后)

 net.ipv4.tcp_max_orphans = 3276800  

#记录的那些尚未收到客户端确认信息的连接请求的最大值。对于有128M内存的系统而言，缺省值是1024，小内存

的系统则是128

net.ipv4.tcp_max_syn_backlog = 262144  

#时间戳可以避免序列号的卷绕。一个1Gbps的链路肯定会遇到以前用过的序列号。时间戳能够让内核接受这种“异

常”的数据包。这里需要将其关掉

net.ipv4.tcp_timestamps = 0  

#为了打开对端的连接，内核需要发送一个SYN并附带一个回应前面一个SYN的ACK。也就是所谓三次握手中的第

二次握手。这个设置决定了内核放弃连接之前发送SYN+ACK包的数量

et.ipv4.tcp_synack_retries = 1  

在内核放弃建立连接之前发送SYN包的数量

net.ipv4.tcp_syn_retries = 1  

#开启TCP连接中time_wait sockets的快速回收

net.ipv4.tcp_tw_recycle = 1  

#开启TCP连接复用功能，允许将time_wait sockets重新用于新的TCP连接（主要针对time_wait连接）重要

net.ipv4.tcp_tw_reuse = 1  

net.ipv4.tcp_fin_timeout = 15  

#表示当keepalive起用的时候，TCP发送keepalive消息的频度（单位：秒） 重要

net.ipv4.tcp_keepalive_time = 30  

#对外连接端口范围

net.ipv4.ip_local_port_range = 2048 65000

#表示文件句柄的最大数量

fs.file-max = 102400

 

10、时间同步

#ntpdata ntp1.aliyun.com     ##同步阿里云的服务器时间

11、历史记录

#vim /etc/profile    ##修改历史命令保存记录，默认值是1000，可以自定义修改

HISTSIZE=1000  

# history -cw     ## 清除所有历史

# echo > .bash_history   ## 清除保存的用户操作历史记录该文件记录了用户所使用的命令和历史信息

 

12、系统日志存放日志服务器

#vim /etc/rsyslog.conf    ##编辑rsyslog.conf文件

*.*         @日志服务器ip     ##添加内容，将系统日志发送到日志服务器上

#systemctl restart rsyslog     ##重启syslog服务

 

13、修改ssh

 一、ssh远程登录失败处理（限制登录次数）

#vim /etc/pam.d/sshd     ##修改sshd文件

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=600         ##表示登录次数限制，3次锁定5分钟

 

 二、修改ssh远程端口号

#vim /etc/ssh/ssh_config    ##修改ssh_config文件

  Port 22              ##修改自定义端口，默认端口22

#iptable -I INPUT -p tcp --dport 端口 -j ACCEPT   ##防火墙开放端口

#systemctl restart sshd        ##重启sshd服务修改生效

注意：修改ssh相关配置文件前，记得做好备份。

三、设置ssh超时时间

#vim /etc/profile或者#vim /etc/bashrc    ##修改这两个文件都可以

Export TMOUT=60（以秒为单位）     ##添加内容