CentOS 6.8安全加固

一、基本优化

01：安装常用工具包

yum install tree telnet nmap wget curl lrzsz dos2unix sysstat -y

  

02：更改yum源

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-6.repo

 

03：清空系统登录显示版本信息

>/etc/issue
>/etc/issue.net

  

04：关闭selinux

sed -i 's#SELINUX=enforcing#SELINUX=disabled#g' /etc/selinux/config
setenforce 0

  

05：关闭iptables服务

cp -a /etc/sysconfig/iptables{,.bak}
> /etc/sysconfig/iptables
iptables -t filter -F
iptables -t filter -X
iptables -t filter -Z
iptables -t filter -P INPUT ACCEPT
iptables -t filter -P OUTPUT ACCEPT
iptables -t filter -P FORWARD ACCEPT
/etc/init.d/iptables stop

  

06：精简开机自启动服务

chkconfig|grep -Ev "sshd|network|crond|rsyslog|sysstat"|awk -F " " '{print "chkconfig",$1,"off"}'|bash

  

07：为rm命令和grep命令设置别名

echo "alias rm='echo "Do not rm command"'" >>/etc/bashrc
echo "alias grep='grep --color=auto'" >>/etc/bashrc
source /etc/bashrc

  

08：设置连接超时时间、命令行历史记录保留个数、命令行历史文件记录中保留多少条记录以及不记录以空格开头的操作记录

echo "export TMOUT=300" >>/etc/bashrc
echo "export HISTSIZE=10" >>/etc/bashrc
echo "export HISTFILESIZE=5" >>/etc/bashrc
echo "HISTCONTROL=ignorespace" >>/etc/bashrc
source /etc/bashrc

 

09：设置英文字符集为英文字符集

echo "LANG="en_US.UTF-8"" >/etc/sysconfig/i18n
echo "export LC_ALL=C" >>/etc/bashrc 
source /etc/bashrc

 

10：让用户的密码不过期

cat >>/etc/login.defs< 
    

说明：
PASS_MAX_DAYS  #密码有效最大天数
PASS_MIN_DAYS  #为零时代表任何时候都可以更改密码
PASS_MIN_LEN   #密码最小长度
PASS_WARN_AGE  #密码过期前提前多少天发出警告
 
   

  

11：修改资源限制符

cat >>/etc/security/limits.conf<
echo "*  -  proc  65535" >/etc/security/limits.d/90-nproc.conf

 

12：SSH连接优化（不让其连接里进行主机名析）

echo "UseDNS no" >>/etc/ssh/sshd_config
/etc/init.d/sshd restart

  

13：创建用户

useradd chenliang -G wheel                        #创建chenliang用户并让其加入到wheel组里面
echo "chenliang123456"|passwd --stdin chenliang   #为chenliang用户设置密码chenliang123456

  

14：禁止root用户登录，更改ssh端口

  

15：对相关重要文件进行加锁

chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow /etc/fstab /etc/inittab  /boot/grub/grub.conf  /etc/login.defs

  

二、内核优化

cat >>/etc/sysctl.conf<
sysctl -p

 

转载于:https://www.cnblogs.com/chenliangc/articles/11340078.html