CentOS系統安全的簡單配置

1， 迷你安裝：
在安裝centos系統的時候選擇定製安裝，不安裝圖形化介面、根據自己的情況選擇安裝的服務或者一個都不安裝，等安裝完了以後自行安裝、選擇軟體編譯安裝所需的工具和庫等。
2， 安裝系統補丁：
建議使用centos內建的yum工具來安裝
[ root@localhost ~]# rpm –import /etc/pki/rpm-gpg/RPM-GPG-KEY*
[root@localhost ~]# yum update
3， 帳號和登入安全：
Root使用者佈建強密碼；
建立一個非管理員帳號；
禁止root使用者直接ssh登入、更改ssh預設連接埠；
[root@localhost ~]# vi /etc/ssh/sshd_config
第十四行處“ # Port 22”，去掉“#”，將22改成你要設定的ssh連接埠，比如22110；
再添加一行PermitRootLogin no，禁止root使用者ssh登入。
4， 開啟Linux防火牆，只開放應用連接埠。
開啟centos防火牆，預設是開啟的，禁用selinux；
最好自行設定防火牆策略，根據自己的應用開放相應的連接埠（下面的配置是狀態檢測防火牆）。
vi iptables_rule.sh
#!/bin/bash
iptables -F
iptables -X
iptables -Z
iptables -P INPUT DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp –icmp-type any -j ACCEPT
iptables -A INPUT -p udp –dport 161 -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp -m state –state NEW –dport 22110 -j ACCEPT
iptables -A INPUT -p tcp -m state –state NEW –dport 80 -j ACCEPT
儲存推出後，設定iptables_rule.sh為可執行檔
[root@localhost ~]# ./iptable_rule.sh
[root@localhost ~]# servcie iptables save
5， 關閉一些不需要的服務，如：sendmail服務不需要的話可以關閉。

￥基本安全措施 
1.禁用系統中不用的使用者和組
    passwd -l zhangsan （鎖定賬戶）
    passwd -u zhangsan （解鎖賬戶）
  或者直接修改shadow檔案，在zhangsan使用者的密碼字串前加“!”號。
2.確認程式或服務使用者的登入Shell不可用
    usermod -s /sbin/nologin rpm
  或者直接修改passwd檔案。
3.限制使用者的密碼有效期間
    chage -M 30 zhangsan
  或者直接修改login.defs檔案。
4.指定使用者在下次登入時必須修改密碼
    chage -M 0 zhangsan
5.限制使用者密碼的最小長度
    #vi /etc/pam.d/system-auth
  password  requisite  pam_cracklib.so try_first_pass retry=3 minlen=12
6.限制記錄命令曆史的條數
    #vi /etc/profile
  HISTSIZE=100
7.設定目前使用者在登出登入後自動清空命令記錄
    #echo "history -c" >> ~/.bash_logout
8.設定閑置逾時自動登出終端
    #vi /etc/profile
  export TMOUT=600

  ￥使用su切換使用者身份
*.允許zhangsan使用者可以通過su命令切換為root身份，
*.禁止其他使用者使用su命令切換使用者身份
    #gpasswd -a zhangsan wheel
    #vi /etc/pam.d/su
  auth  required pam_wheel.so  use_uid

  ￥使用sudu提升執行許可權
1.授權root使用者Jerry可以以root使用者的許可權執行ifconfig命令
    #visudu
  Jerry       localhost=/sbin/ifconfig
2.設定使用者、主機、命令三部分的自訂別名
  User_Alias      OPERATORS=jerry,tom,tsengyia
  Host_Alias      MAILSERVERS=smtp,pop
  Cmnd_Alias      SOFTWARE=/bin/rpm,/usr/bin/yum
3.通過別名定義一組命令，並授權tom可以使用改組命令
    #visudu
  Cmnd_Alias      SYSVCTRL=/sbin/service,/bin/kill,/bin/killall
  tom    localhost=SYSVCTRL
4.授權wheel組的使用者不需驗證密碼即可執行所有命令
    #visudu
  %wheel      ALL=(ALL)        NOPASSWD:ALL
5.授權使用者mike可以通過sudu調用/sbin和/usr/bin目錄下的所有命令，但是禁止調用/sbin/ifconfig命令修改eth0參數，禁止調用/usr/bin/vim命令防止修改設定檔
    #visudu
  mike    localhost=/sbin/*,/usr/bin/*,!/sbin/ifconfig eth0,!/usr/bin/vim
6.為sudu啟用日誌
    #visudu
  Defaults  logfile = "/var/log/sudo"
    #vi /etc/syslog.conf
  local2.debug      /var/log/sudo
    #service syslog restart
*.因系統管理工作繁重，需要將使用者帳號管理工作交給專門的管理群組成員負責
*。設立組帳號"managers"，授權組內的各成員使用者可以添加、刪除、更改使用者帳號
    #groupadd managers
    #gpasswd -M zhangsan,lisi managers
    #visudu
  Cmnd_Alias USERADM = /usr/sbin/useradd,/usr/sbin/userdel,/usr/sbin/usermod
  %managers localhost=USERADM

  ￥檔案系統層次的安全最佳化
1.鎖定不希望更改的檔案
    #chattr +i /etc/service /etc/passwd /boot/grub.conf
2.解鎖鎖定的檔案
    #chattr -i /etc/passwd

  ￥系統引導和系統安全最佳化
1.調整BIOS引導設定
2.防止使用者通過CTRL+ALT+DEL熱鍵重啟系統
    #vi /etc/inittab
  #ca::/ctrlaltdel:/sbin/shutdown -t3 -r now
    #init q
3.GRUB引導菜單加密
    #vi /boot/grub/grub.conf
  password 123456
4.在grub.conf檔案中設定md5加密的密碼字串
    #grub-md5-crypt
5.即時禁止普通使用者登入
    #touch /etc/nologin
6.控制伺服器開放的tty終端
    #vi /etc/inittab
7.控制允許root使用者登入的tty終端
    #vi /etc/securetty
  #tty2
  #tty3
8.更改系統登入提示，隱藏核心版本資訊
    #vi /etc/issue
  welcome to server.
    #cp -f /etc/issue /etc/issue.net
9.使用pam_access認證控制使用者登入地點
    禁止除了root以外的使用者從tty1終端上登入系統
    #vi /etc/pam.d/login
  account required pam_access.so
    #vi /etc/security/access.conf
  - : ALL EXCEPT root : tty1
    禁止root使用者從192.168.1.0/24、172.16.0.0/8網路中遠程登入
    #vi /etc/pam.d/sshd
  account  required  pam_access.so
    #vi /etc/security/access.conf
  - : root : 192.168.1.0/24 172.16.0.0/8