CentOS安全配置

禁止ping服务器

1 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

防火墙规则


1 -A INPUT -p tcp --dport 80 -j ACCEPT #开放80端口(Web服务)  

2 -A INPUT -p tcp --dport 9000 -j ACCEPT #开放9000端口(FastCGI服务)  

3 -A INPUT -p tcp -m multiport -s 192.168.56.0/24 --dports 10880,3306 -j ACCEPT #为192.168.56.*网段开放10880和3306端口(自定义的SSH端口和MySQL端口)  

4 -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT  

5 -A INPUT -p icmp -j DROP #丢弃所有的ICMP包  

6 -A INPUT -p tcp --syn -j DROP #禁用所有其他端口

用户账户
编辑配置文件/etc/login.defs,根据需要设置以下属性:


1 PASS_MAX_DAYS 30 #密码存活最长天数,大于该天数会要求重置密码  

2 PASS_MIN_DAYS 0 #密码存活最小天数,小于该天数不允许修改密码  

3 PASS_MIN_LEN 8 #最短密码长度  

4 PASS_WARN_AGE 7 #提前几天给出密码修改警告

Linux提供了很多默认账户,而账户越多,越容易受到攻击,所以需要删除不需要的用户和用户组:


01 userdel adm  

02 userdel lp  

03 userdel sync

04 userdel shutdown

05 userdel halt  

06 userdel news  

07 userdel uucp  

08 userdel operator  

09 userdel games  

10 userdel gopher  

11 userdel ftp

12    

13 groupdel adm  

14 groupdel lp  

15 groupdel news  

16 groupdel uucp  

17 groupdel dip

给下面的文件加上不可更改属性,从而防止非授权用户获得权限:


1 chattr +i /etc/passwd

2 chattr +i /etc/shadow  

3 chattr +i /etc/group  

4 chattr +i /etc/gshadow

其他安全配置
禁止使用Ctrl+Alt+Del快捷键重启服务器,编辑/etc/inittab文件,注释以下命令,使其不生效:


1 # ca::ctrlaltdel:/sbin/shutdown -t3 -r now

禁止非root用户执行/etc/rc.d/init.d/下的系统命令:


1 chmod -R 700 /etc/rc.d/init.d/*

你可能感兴趣的:(centos)