服务器安全设置学习

1.系统安全记录文件  
    通过cat /var/log/secure | grep refused 检查系统所受到的攻击。  
2.启动和登录安全性
    1）BIOS安全：设置bios密码且修改引导次序禁止从软盘启动系统；  
    2）用户口令：通过login.defs文件修改PASS_MIN_LEN值来更改修改口令长度；  
    3）注释掉不需要的用户和用户组：/etc/passwd;/etc/shadow文件修改； 
    4）口令文件：chattr命令给下面的文件加上不可更改属性；
        chattr +i /etc/passwd  
        chattr +i /etc/shadow  
        chattr +i /etc/group  
        chattr +i /etc/gshadow  
    5)禁止Ctrl alt delete重新启动机器命令  
        修改/etc/inittab文件，将"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"注释。并将/etc/rc.d/init.d/目录下所有文件的许可权限。  
    6）限制su命令：编辑/etc/pam.d/su  
        代码如下:

        auth sufficient /lib/security/pam_rootok.so debug
        auth required /lib/security/pam_wheel.so group=isd

        这时，仅isd组的用户可以su作为root。此后，如果您希望用户admin能够su作为root，可以运行如下命令：
        # usermod -G10 admin #注isd组的id号不一定是10，所以请谨慎执行。centos 6里没有自带isd的组！

    7)删减登录信息  
        默认情况下，登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。
    8）更改ssh端口  
        不允许使用低版本的SSH协议
        vi /etc/ssh/sshd_config
        将#protocol 2,1改为
        protocol 2
        (注：centos 6下已默认取消了低版本协议)
        
        将PORT改为1000以上端口
        vi /etc/ssh/sshd_config
        Port 10000
        
        同时，创建一个普通登录用户，并取消直接root登录
        useradd 'username'
        passwd 'username'
        
        vi /etc/ssh/sshd_config
        PermitRootLogin no #取消root直接远程登录
        X11Forwarding no #(服务器一般不会开X，所以X转发就不要开了吧) 取消X11转发
    9）关闭不必要的服务  
    10）启用iptables防火墙，设置好防火墙规则。  
        vi /etc/sysconf/iptalbes