作为一个生信人,不管是日常的数据分析还是其他工具应用的开发,服务器的安全始终是一个无法避免的话题。尤其是当我们拿到一台新的服务器,我们需要怎样才能确保它是安全可靠,并最小限度降低它被攻击的可能性?

下面我们就来分享一份关于 CentOS Linux 7 安全的基线设置指南,希望对服务器管理的童鞋有所帮助。

  1. 设置用户权限配置文件的权限。

$ chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
$ chmod 0644 /etc/group
$ chmod 0644 /etc/passwd
$ chmod 0400 /etc/shadow
$ chmod 0400 /etc/gshadow

  1. 确保 SSH LogLevel 设置为 INFO,记录登录和注销活动。

# 编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO

  1. 设置 SSH 空闲超时退出时间,可降低未授权用户访问其他用户 ssh 会话的风险。

# 编辑 /etc/ssh/sshd_config,将 ClientAliveInterval 设置为 300 到 900,即 5-15 分钟,将 ClientAliveCountMax 设置为 0。 
ClientAliveInterval 900 ClientAliveCountMax 0

  1. SSHD 强制使用 V2 安全协议。

# 编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数: 
Protocol 2

  1. 确保 SSH MaxAuthTries 设置为 3 到 6 之间。设置较低的 Max AuthTrimes 参数将降低 SSH 服务器被暴力攻击成功的风险。

# 在 /etc/ssh/sshd_config 中取消 MaxAuthTries 注释符号 #,设置最大密码尝试失败次数 3-6,建议为 4: 
MaxAuthTries 4

  1. 设置密码修改最小间隔时间,限制密码更改过于频繁。

# 在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7: 
PASS_MIN_DAYS 7 

# 需同时执行命令为 root 用户设置: 
chage --mindays 7 root

  1. 设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登陆方式(如密钥对)请忽略此项。

# 使用非密码登陆方式如密钥对,请忽略此项。

# 在 /etc/login.defs 中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
PASS_MAX_DAYS 90

# 需同时执行命令设置 root 密码失效时间: 
chage --maxdays 90 root

  1. 禁止 SSH 空密码用户登录。

# 编辑文件 /etc/ssh/sshd_config ,将 PermitEmptyPasswords 配置为 no: 
PermitEmptyPasswords no 

  1. 密码复杂度检查,检查密码长度和密码是否使用多种字符类型。

# 编辑 /etc/security/pwquality.conf,把 minlen(密码最小长度)设置为 9-32 位。
# 把 minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类)设置为 3 或 4。
minlen=10 minclass=3

  1. 确保密码到期警告天数为 7 或更多。

# 在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7: 
PASS_WARN_AGE 7 

# 同时执行命令使 root 用户设置生效: 
chage --warndays 7 root

  1. 确保 root 是唯一的 UID 为 0 的帐户,除 root 以外其他 UID 为 0 的用户都应该删除,或者为其分配新的 UID。

# 除 root 以外其他 UID 为 0 的用户(查看命令如下)都应该删除,或者为其分配新的 UID。
cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$' 

  1. 开启地址空间布局随机化,它将进程的内存空间地址随机化来增大入侵者预测目的地址难度,从而降低进程被成功入侵的风险。

# 执行命令:
sysctl -w kernel.randomize_va_space=2

  1. 检查系统空密码账户

# 为用户设置一个非空密码

  1. 访问控制配置文件的权限设置。

# 运行以下4条命令: 
$ chown root:root /etc/hosts.allow 
$ chown root:root /etc/hosts.deny 
$ chmod 644 /etc/hosts.deny 
$ chmod 644 /etc/hosts.allow

  1. 确保 rsyslog 服务已启用,记录日志用于审计。

# 运行以下命令启用rsyslog服务:
systemctl enable rsyslog

  1. 检查密码重用是否受限制,强制用户不重用最近使用的密码,降低密码猜测攻击风险。

# 在 /etc/pam.d/password-auth 和 /etc/pam.d/system-auth 中 password sufficient pam_unix.so 这行的末尾配置 remember 参数为5-24之间,原来的内容不用更改。
# 如下面只在末尾加了 remember=5,即可限制不能重用最近5个密码。 
password sufficient pam_unix.so sha512 try_first_pass remember=5

以上就是关于 CentOS Linux 7 安全的一些基本设置总结,服务器的安全与管理是一个庞大的工程,如果你有更好的建议,欢迎留言交流。

——The  End——

本文分享自微信公众号 - 生信科技爱好者(bioitee)。
如有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一起分享。

CentOS Linux 7 安全基线设置的更多相关文章

  1. CentOS Linux服务器安全设置

    转自:http://www.osyunwei.com/archives/754.html 引言: 我们必须明白:最小的权限+最少的服务=最大的安全 所以,无论是配置任何服务器,我们都必须把不用的服务关 ...

  2. CentOS/Linux下设置IP地址

    CentOS/Linux下设置IP地址 1:临时修改:1.1:修改IP地址# ifconfig eth0 192.168.100.100 1.2:修改网关地址# route add default g ...

  3. CentOS/Linux 网卡设置 IP地址配置

    CentOS/Linux下设置IP地址 1:临时修改:1.1:修改IP地址# ifconfig eth0 192.168.100.100 1.2:修改网关地址# route add default g ...

  4. CentOS/Linux 网卡设置 IP地址配置永久生效

    CentOS/Linux下设置IP地址 1.临时生效设置 1.1修改IP地址 #ifconfig eth0 192.168.100.100 1.2修改网关地址 #route add default g ...

  5. CentOS Linux上搭建PPPoE服务器及拨号设置

    CentOS Linux上搭建PPPoE服务器及拨号设置 搭建PPPoE,成功了的话,就觉得超级简单,在CentOS Linux更是5步左右就能搞定. 1.安装pppoe,安装完成后,会有pppoe- ...

  6. CentOS linux下安装和配置Apache+SVN(用浏览器http方式访问SVN目录)

    在CentOS linux下安装SVN,我们可以进行以下步骤: 第一步:安装CentOS Linux操作系统,并在CentOS安装进行的同时,自定义安装这一步,一定要勾选Subversion(在“开发 ...

  7. CentOS Linux VPS安装IPSec+L2TP VPN

    CentOS Linux VPS安装IPSec+L2TP VPN 时间 -- :: 天使羊波波闪耀光芒 相似文章 () 原文 http://www.live-in.org/archives/818.h ...

  8. centos linux安全和调优 第四十一节课

    centos  linux安全和调优    第四十一节课 上半节课 Linux安全 下半节课 Linux调优 2015-07-01linux安全和调优 [复制链接]--http://www.apele ...

  9. Linux自动登陆的设置方法

    前些天为了实现Linux自动登陆的方法,在网上查了很多资料,发现有不少方法,但网上有些方法的讲解不是特别清楚,或者已经过时.因此,特意整理了一下Linux自动登陆的设置方法.本文的测试环境为Cento ...

  10. CentOS Linux 系统 安装oracle 11g

    CentOS Linux 系统 安装oracle 11g 在Linux系统上安装oracle是比较麻烦,需要配置各种变量啥的,o(︶︿︶)o ,但是没办法,有些东西你总的去接触,而且接触理解的越早越深 ...

随机推荐

  1. Leetcode Practice -- 字符串

    目录 14. 最长公共前缀 思路解析 151. 反转字符串中的单词 思路解析 125. 验证回文串 思路解析 415. 字符串相加 思路解析 3. 无重复字符的最长子串 思路解析 8. 字符串转换整数 ...

  2. python3各数据类型的常用方法

    python3数据类型包括: 数字.字符串str.列表list.元组tuple.字典dict.集合set.布尔bool 1.字符串(str)-可变-用"".''定义 (1)uppe ...

  3. 图与网络分析—R实现(三)

    最小生成树 (Minimum Spanning Tree) 应该大家都不陌生,Spanning 有跨越的意思,生成树一般来说每个节点都能访问到别的节点,是一个连通树.所以,一般考虑无向图里去造生成树. ...

  4. Oracle宕机之PMON (ospid: 248987): terminating the instance due to error 484(另附hugepage配置方法)

    数据库版本:11.2.0.4 RAC环境 操作系统版本:Asianux Server release 7.3 数据库报错分析 接到业务消息,应用无法访问,开发人员查看日志后发现无法连接数据库. 查看数 ...

  5. 【Note】倍增

    真的不会.QAQ 目录 简介 大家都见过的应用:倍增求 \(\text{LCA}\) 倍增求 \(\text{LCA}\) ,但是动态加点,但是不会 \(lct\) 例题:[ZJOI2012]灾难(D ...

  6. Semantic Kernel 入门系列:💾Native Function

    语义的归语义,语法的归语法. 基础定义 最基本的Native Function定义只需要在方法上添加 SKFunction 的特性即可. using Microsoft.SemanticKernel. ...

  7. Nuxtjs实现服务端渲染和静态化站点

    本文将介绍如何使用Nuxtjs对vue项目进行ssr和静态化处理. Nuxtjs简单介绍 首先,我们简单了解下Nuxtjs框架,Nuxt.js是一个基于Vue的通用框架,主要用于解决Vue项目的服务端 ...

  8. mongoDB操作指南

    目录 1. docker安装mongoDB 2. 库-database 3. 集合-collection 3.1 命名规范 3.2 增-createCollection 3.3 删-drop 4. 文 ...

  9. TS(一)环境搭建与基本类型

    1 TypeScript 环境搭建 1 准备NodeJs环境 2 npm全局安装typeScript npm i -g typescript 3 编写一个ts文件 4 使用tsc命令编译ts文件为js ...

  10. CentOS7---Nginx安装并配置虚拟主机

    1.源码安装nginx,并提供服务脚本 源码包的获取:官网下载 实验环境:和企业环境类似,关闭防火墙,禁用selinux,使用静态IP地址 安装步骤: 步骤一:安装Nginx所需的pcre库 [roo ...