zoukankan      html  css  js  c++  java

  • CentOS 7的Linux系统优化加固

    1.关闭selinux

    2.关闭防火墙

    3.关闭NetworkManager

    4.为系统运维管理员创建普通用户,并配置sudo(vi  sudo)

    5.清空泄漏系统版本信息的文件

    6.基础优化sshd服务

    vim /etc/ssh/sshd_config 

    egrep -n 'GSSAPIA|UseDNS' /etc/ssh/sshd_config(查看是否修改了)

    7.    修改系统YUM源,添加系统epel源
    curl -o /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo #修改系统YUM源

    curl -o /etc/yum.repos.d/epel.repo http://mirrors.aliyun.com/repo/epel-7.repo #添加系统epel源
    yum repolist  #查看系统YUM源和epel源

    8.安装系统常用软件
    yum install -y tree vim wget bash-completion bash-completion-extras lrzsz net-tools sysstat iotop iftop htop unzip nc nmap telnet bc psmisc

    9.优化linux内核参数

     cat >>/etc/sysctl.conf<<EOF

    net.ipv4.tcp_fin_timeout = 2

    net.ipv4.tcp_tw_reuse = 1

    net.ipv4.tcp_tw_recycle = 1

    net.ipv4.tcp_syncookies = 1

    net.ipv4.tcp_keepalive_time = 600

    net.ipv4.ip_local_port_range = 4000 65000

    net.ipv4.tcp_max_syn_backlog = 16384

    net.ipv4.tcp_max_tw_buckets = 36000

    net.ipv4.route.gc_timeout = 100

    net.ipv4.tcp_syn_retries = 1

    net.ipv4.tcp_synack_retries = 1

    net.core.somaxconn = 16384

    net.core.netdev_max_backlog = 16384

    net.ipv4.tcp_max_orphans = 16384

    sysctl –p #从指定的文件加载系统参数
     
    10.密码策略修改
     cp     /etc/login.defs    etc/login.defs-bak
    vi  /etc/login.defs
    修改参数

    PASS_MAX_DAYS:90

    PASS_MIN_DAYS:0

    PASS_MIN_LENS:8

    PASS_WARN_AGE:7
     
    11.帐号锁定
    cp    /etc/pam.d/sshd  /etc/pam.d/sshd-bak
    vi  /etc/pam.d/sshd
    添加参数
    Auth required  pam_tally2.so  deny=5 unlock_time=300
     
    12.登录超时设置
    cp   /etc/profiles  /etc/profiles-bak
    vi /etc/profile
    文件最后一行添加内容export TMOUT=600
     
    13禁止root登录
    cp    /etc/ssh/sshd_config     /etc/ssh/sshd_config –bak
    vi  /etc/ssh/sshd_config
     
    创建一个普通用户

     修改内容如下:

    Permitrootlogin no
     
    14.限制远程登录

    /etc/hosts.allow中添加内容如下(允许放行地址)

    sshd:192.168.23.11:allow

    /etc/hosts.deny中添加内容如下:

    sshd:ALL

    15.防火墙添加端口

    firewall-cmd --permanent --add-port=3000/tcp

    firewall-cmd --reload   

     

    16.清空防火墙规则

    查看防火墙状态
firewall-cmd --state

停止firewall
systemctl stop firewalld.service

禁止firewall开机启动
systemctl disable firewalld.service 

    17.    清除防火墙规则
    iptables -F 
(flush 清除所有的已定规则)

iptables -X 
(delete 删除所有用户“自定义”的链(tables))

iptables -Z 
(zero 将所有的chain的计数与流量统计都归零)
     
    参考文献:
    链接:https://www.jianshu.com/p/2bc4b944181c
    链接:https://www.jianshu.com/p/c70aec2b9122

    

     
    



    


    
    
                
    
                
              
    • 
              
    
              
  • 

                相关阅读:
    
                
                  如何查找并启动 Reporting Services 工具 
                    
    数据压缩技术 
                    
    压缩算法 
                    
    新版压缩库发布 
                    
    如何处理海量数据 
                    
    安卓手机获得Root权限 
                    
    安卓项目的源码 
                    
    压缩算法1 
                    
    ODBC, OLEDB, ADO, ADO.Net的演化简史 
                    
    C# 文件压缩与解压(ZIP格式) 
                    
                        
              
    • 
              
    
              
  • 
                原文地址:https://www.cnblogs.com/wzhc/p/11394425.html
              
    • 

            

          



          
          

            

            

          

        

      

      



      

      

        

          Copyright © 2011-2022 走看看