Centos7系统安全加固总结

一、账户安全加固

1. 修改ssh远程连接端口号>1024
2. 进制root用户远程登录，使用命令 vi /etc/ssh/sshd_config修改配置文件将PermitRootLogin的值改成no，并保存
   除此之外，你可以通过指定那些被允许用来使用SSH的用户名，从而使得SSH服务更为安全。

[root@localhost ~]# vim /etc/ssh/sshd_config

AllowUsers lyshark admin          # 指定允许登录的用户
AllowGroup lyshark admin         # 指定允许登录的用户组

3. 修改密码周期（约等于90天）
4. 远程密码尝试输入最大6次，使用命令 vi /etc/ssh/sshd_config修改配置文件MaxAuthTries=3，并保存
5. 设置口令复杂程度vim /etc/pam.d/system-auth添加

password    required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 difok=2 ucredit=-1 ocredit=-1 minlen=10

解释：其含义是至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10，difok：本次密码与上次密码至少不同字符数

【注】用root修改其他帐号都不受密码周期及复杂度配置的影响。

6. 限制TTY尝试次数：该配置可以有效的防止，爆破登录情况的发生，其配置文件在cat /etc/pam.d/login中添加如下配置，这个方法只是限制用户从TTY终端登录，而没有限制远程登录。

[root@localhost ~]# vim /etc/pam.d/login

#%PAM-1.0
auth required  pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10

[root@localhost ~]# pam_tally2 --user lyshark    查询远程登录次数

二、服务

1. systemctl list-unit-files 或者进入setup查看开机自启服务，关闭不必要的服务
2. 新增服务端口建议在1024以上，不选择默认端口
3. 关闭蓝牙服务并关闭开机自启动

systemctl stop bluetooth

三、文件权限加固

1. 限制umask码值：umask 值用于设置文件的默认属性，

[root@centos ~]#cp /etc/bashrc /etc/bashrc.bak
[root@centos ~]# vim   /etc/bashrc
umask 027

[root@centos ~]#source /etc/bashrc

2. 限制GCC编译器：
   如果系统已经被黑客入侵，那么黑客的下一个目标应该是编译一些POC文件，用来提权，从而在几秒钟之内就成为了root用户，那么我们需要对系统中的编译器进行一定的限制
   首先，你需要检查单数据包以确定其包含有哪些二进制文件。然后将这些文件全部设置为000无权限。

[root@localhost x]# rpm -q --filesbypkg gcc | grep "bin"
gcc                       /usr/bin/c89
gcc                       /usr/bin/c99
gcc                       /usr/bin/cc
gcc                       /usr/bin/gcc
gcc                       /usr/bin/gcc-ar
gcc                       /usr/bin/gcc-nm
gcc                       /usr/bin/gcc-ranlib
gcc                       /usr/bin/gcov
gcc                       /usr/bin/x86_64-redhat-linux-gcc

然后，单独创建一个可以访问二进制文件的编译器的组，赋予他这个组相应的权限。

[root@localhost ~]# groupadd compilerGroup
[root@localhost ~]# chown root:compilerGroup /usr/bin/gcc
[root@localhost ~]# chmod 0750 /usr/bin/gcc

3.更改系统最大打开文件数

临时设置 ulimit -n 65535
永久生效：
编辑： vim /etc/security/limits.conf 添加如下
* soft nofile 655350  #任何用户可以打开的最大的文件描述符数量，默认1024，这里的数值会限制tcp连接
* hard nofile 655350
* soft nproc  655350  #任何用户可以打开的最大进程数
* hard nproc  650000

@student hard nofile 65535
@student soft nofile 4096
@student hard nproc 50  #学生组中的任何人不能拥有超过50个进程，并且会在拥有30个进程时发出警告
@student soft nproc 30

四、日志

1. 限制日志文件：
   接着我们需要对日志文件，进行一定的限制，防止被恶意删除，从而无处可寻

[root@localhost ~]# cd /var/log/
[root@localhost log]# chattr +a dmesg cron lastlog messages secure wtmp 

2. 记录所有用户的登录和操作日志
   vim /etc/profile
   在最后添加

history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null

退出用户登录即生成文件

五、时间同步服务

由于无网情况下ntp服务启动后，漏洞特别多，采用定时任务同步时间服务器

0 12 * * *  /usr/sbin/ntpdate 时间服务器IP

六、内核优化