CentOS 5.5 系統安全配置

1、注釋掉不需要的使用者和使用者組

1. vi /etc/passwd

1. #adm
2. #lp
3. #sync
4. #shutdown
5. #halt
6. #news
7. #uucp
8. #operator
9. #games
10. #gopher
11. #ftp

1. vi /etc/group

1. #adm
2. #lp
3. #news
4. #uucp
5. #games
6. #dip

2、給下面的檔案加上不可更改屬性，從而防止非授權使用者獲得許可權

1. #chattr +i /etc/passwd
2. #chattr +i /etc/shadow
3. #chattr +i /etc/group
4. #chattr +i /etc/gshadow

許可權修改之後，就無法添加刪除使用者了。要取消之前的修改，

1. #lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow

lsattr 只是顯示檔案的屬性

1. #chattr -i /etc/passwd
2. #chattr -i /etc/shadow
3. #chattr -i /etc/group
4. #chattr -i /etc/gshadow

再次查看
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
————- /etc/passwd
————- /etc/shadow
————- /etc/group
————- /etc/gshadow
修改完之後，再執行

1. chattr +i /etc/passwd
2. chattr +i/etc/shadow
3. chattr +i /etc/group
4. chattr +i/etc/gshadow

禁止Ctrl+Alt+Delete重新啟動機器命令

3、修改/etc/inittab檔案，將”ca::ctrlaltdel:/sbin/shutdown-t3-rnow”一行注釋掉。

然後重新設定/etc/rc.d/init.d/目錄下所有檔案的許可許可權，運行如下命令：

1. # chmod -R 700 /etc/rc.d/init.d/*

這樣便僅有root可以讀、寫或執行上述所有指令檔。

4、限制su命令

當不想任何人能夠su作為root，可以編輯/etc/pam.d/su檔案，增加如下兩行：

1. auth sufficient /lib/security/pam_rootok.sodebug
2. auth required /lib/security/pam_wheel.sogroup=isd

這時，僅isd組的使用者可以su作為root。此後，如果希望使用者admin能夠su作為root，可以運行如下命令：

1. #usermod -G 10 admin

5、防止攻擊

1）阻止ping, 抵禦SYN:
如果沒人能ping通系統，安全性自然增加了，為此，我們可以在/etc/rc.d/rc.local檔案中增加如下一行

1. echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all

SYN攻擊是利用TCP/IP協議3次握手的原理，發送大量的建立串連的網路包，但不實際建立串連，最終導致被攻擊伺服器的網路隊列被佔滿，無法被正常使用者訪問。
Linux核心提供了若干SYN相關的配置，用命令：

1. sysctl -a | grep syn

看到：
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN隊列的長度，tcp_syncookies是一個開關，是否開啟SYN Cookie功能，該功能可以防止部分SYN攻擊。tcp_synack_retries和tcp_syn_retries定義SYN的重試次數。
加大SYN隊列長度可以容納更多等待串連的網路連接數，開啟SYN Cookie功能可以阻止部分SYN攻擊，降低重試次數也有一定效果。
調整上述設定的方法是：
vi /etc/rc.d/rc.local ,將下面的命令法添加進去

1. sysctl -w net.ipv4.tcp_max_syn_backlog=2048 #增加SYN隊列長度到2048
2. sysctl -w net.ipv4.tcp_syncookies=1 #開啟SYN COOKIE功能
3. sysctl -w net.ipv4.tcp_synack_retries=3 #降低重試次數
4. sysctl -w net.ipv4.tcp_syn_retries=3

2）防止IP欺騙
編輯host.conf檔案並增加如下幾行來防止IP欺騙攻擊。

1. order hosts,bind #名稱解釋順序
2. multi on #允許主機擁有多個IP地址
3. nospoof on #禁止IP地址欺騙

3）防止DoS攻擊
對系統所有的使用者佈建資源限制可以防止DoS類型攻擊，如最大進程數和記憶體使用量數量等。
例如，可以在/etc/security/limits.conf中添加如下幾行：

1. * hard core 0
2. * hard rss 5000
3. * hard nproc 20

然後必須編輯/etc/pam.d/login檔案檢查下面一行是否存在。
session required /lib/security/pam_limits.so
4）修改sshd_config檔案
首先修改設定檔 vi /etc/ssh/sshd_config
a 修改SSH連接埠
找到#Port 22一段，這裡是標識預設使用22連接埠，修改為如下：

1. Port 22
2. Port 50000

然後儲存退出
執行/etc/init.d/sshd restart
這樣SSH連接埠將同時工作與22和50000上。
現在編輯防火牆配置：vi /etc/sysconfig/iptables
啟用50000連接埠。
執行/etc/init.d/iptables restart
現在請使用ssh工具串連50000連接埠，來測試是否成功。
如果串連成功了，則再次編輯sshd_config的設定，將裡邊的Port22刪除，即可。
b 只使用SSH v2
將#Protocol 2,1改為 Protocol 2
c 限制使用者的SSH訪問
假設我們只要root，vivek和jerry使用者能通過SSH使用系統，向sshd_config設定檔中添加：

1. AllowUsers root vivek jerry

d 配置空閑逾時退出時間間隔
使用者可以通過ssh登入到伺服器，你可以設定一個空閑逾時時間間隔避免出現孤兒ssh會話，開啟sshd_config設定檔，確保有如下的配置項：

1. ClientAliveInterval 300
2. ClientAliveCountMax 0

上面的例子設定的空閑逾時時間間隔是300秒，即5分鐘，過了這個時間後，空閑使用者將被自動踢出出去（可以理解為退出登入/登出）。
e 禁用.rhosts檔案
不要讀取使用者的~/.rhosts和~/.shosts檔案，使用下面的設定更新sshd_config設定檔：
IgnoreRhosts yes
SSH可以類比過時的rsh命令的行為，rsh被公認為是不安全的遠端存取協議，因此必須得禁用掉。

6、限制不同檔案的許可權

1. [root@localhost ~]# chmod 700 /usr/bin/
2. [root@localhost ~]# chmod 750 /usr/bin/*++*
3. [root@localhost ~]# chmod 750 /usr/bin/c++*
4. [root@localhost ~]# chmod 750 /usr/bin/ld
5. [root@localhost ~]# chmod 750 /usr/bin/as
6. [root@localhost ~]# locate sqlaccess
7. /opt/lampp/bin/mysqlaccess
8. [root@localhost ~]# chmod 755 /opt/lampp/bin/mysqlaccess
9. [root@localhost ~]# chattr +a .bash_history
10. [root@localhost ~]# chattr +i .bash_history
11. [root@localhost ~]# chmod 700 /bin/ping
12. [root@localhost ~]# chmod 700 /usr/bin/finger
13. [root@localhost ~]# chmod 700 /usr/bin/who
14. [root@localhost ~]# chmod 700 /usr/bin/w
15. [root@localhost ~]# chmod 700 /usr/bin/locate
16. [root@localhost ~]# chmod 700 /usr/bin/whereis
17. [root@localhost ~]# chmod 700 /usr/bin/vim
18. [root@localhost ~]# chmod 700 /usr/bin/make
19. [root@localhost ~]# chmod 700 /bin/netstat
20. [root@localhost ~]# chmod 700 /usr/bin/tail
21. [root@localhost ~]# chmod 700 /usr/bin/less
22. [root@localhost ~]# chmod 700 /usr/bin/head
23. [root@localhost ~]# chmod 700 /bin/cat
24. [root@localhost ~]# chmod 700 /bin/uname
25. [root@localhost ~]# chmod 500 /bin/ps
26. [root@localhost ~]# chmod 500 /usr/sbin/lsof