系统信息
- 查看内核信息 uname -a
- 查看所有软件包 rpm -qa
- 查看主机名 hostname
- 查看网络配置 ifconfig -a
- 查看路由表 netstat -rn
- 查看开放端口 netstat -an
- 查看当前进程 ps -aux
用户帐号和环境禁用无用账号
- 如果不需要登录系统,shell应该/sbin/nologin
检查特殊账号
- 验证是否有账号存在空口令的情况:
awk -F: '($2 =="") {print $1 }' /etc/shadow
- 检查除了root以外是否还有其它账号的UID为0:
- 任何UID为0的账号在系统上都具有超级用户权限.
awk -F: '($3 ==0) {print $1 }' /etc/passwd
限制用户远程登录
- 在#%PAM-1.0的下面,即第二行,添加内容,一定要写在前面,如果写在后面,虽然用户被锁定,但是只要用户输入正确的密码,还是可以登录的!
- vim /etc/pam.d/sshd
#%PAM-1.0
auth required ddpam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=10
设置自动注销时间
- 修改帐户TMOUT值,设置自动注销时间,使用命令“vi /etc/profile”修改配置文件,添加“TMOUT=”行开头的注释,设置为“TMOUT=600”,即超时时间为10分钟。
#vi /etc/profile
#增加
TMOUT=600
设置Bash保留历史命令的条数
- 修改HISTSIZE=5,即只保留最新执行的5条命令
#vi /etc/profile
HISTSIZE=5
调整和关闭非必须的服务
- 关闭postfix服务。如无必要,禁止该服务。
systemctl disable postfix
调整SSH服务
- 调整配置文件:/etc/ssh/sshd_config
- 修改SSH端口
Port 6622
- 不允许root直接登陆,在ssh的配置文件中进行修改,查找“#PermitRootLogin yes”,将前面的“#”去掉,短尾“Yes”改为“No”,并保存文件。
systemctl restart sshd.service
- 添加别的用户
useradd jkl
passwd jkl
111111
- 下次登陆,先用 jkl的普通用户登陆服务器,注意自己修改的ssh远程连接的端口。
- 若要获得ROOT权限,在SSH中执行以下命令
su root1 回车
输入root密码(一定要回车之后输入密码,linux会有历史记录的保存,要不就是清除历史记录:history -c)执行以上命令并输入root密码后即可获得root权限。
- 日志级别LogLevel设置为INFO或者DEBUG
LogLevel INFO
- 对应调整防火墙和SElinux策略
yum -y install policycoreutils-python
semanage port -a -t ssh_port_t -p tcp 6622
- 调整防火墙策略,限制SSH服务访问IP
firewall-cmd --state (检查firewalld是否运行)
firewall-cmd --permanent --list-port(查看端口列表)
firewall-cmd --permanent --zone=public --add-port=6622/tcp(添加端口)
firewall-cmd --permanent --remove-port=48489/tcp(删除端口)
firewall-cmd --permanent --zone=public --remove-service=ssh
firewall-cmd --permanent --zone=public --add-rich-rule="rule family="ipv4" source address="10.0.10.0/22" service name="ssh" accept"
## IP根据实际配置
firewall-cmd --reload
# Centos7设置ssh安全策略 ----->> 指定IP登陆。
vim /etc/ssh/sshd_config
- 修改默认的ssh端口
Port 2222 (自定义端口,这里暂定为2222)
- 禁止root账户通过SSH直接登录
PermitRootLogin no
- 添加普通用户并给一个密码
useradd jkl
passwd jkl
111111
- 新设置的端口,需要打开端口号。
firewall-cmd –add-port=2222/tcp –permanent
firewall-cmd –reload
- 限制SSH登录的IP
# 设置禁止所有IP连接服务器的SSH
vim /etc/hosts.deny
sshd:all:deny
# 设置允许指定IP连接服务器的SSH(这边建议设置一个备用允许连接的IP)
vim /etc/hosts.allow
sshd:192.168.1.106:allow
- 重启ssh服务,并通过登陆进行验证
systemctl restart sshd.service
systemctl status sshd.service
WinSCP下su切换到root的技巧(禁止root远程ssh登录时)
# 限制了root用户的远程登录,但是重要的数据文件都是700。更可悲的是,WinSCP完全失去了用武之地。因为root账户无法登陆,而像是FTP,SFTP,SCP这些协议都不支持在登录以后切换用户。 SCP协议在登录的时候可以指定shell,一般默认的也就是推荐的是/bin/bash,但是我们可以修改它来玩花样,比如改成sudo su - 但是新问题又来了,sudo需要输入密码,但是WinSCP在登录的时候并没有交互过程。但是天无绝人只要在root权限之路,只要在root权限下visudo,添加如下一行即可取消sudu时的密码:
yourusername ALL=NOPASSWD: ALL
# 为了可以在非putty的环境下sudo,我们还需要注释掉下面一行:
Defaults requiretty
# 然后保存,即可在登录到WinSCP的时候享受root的快感啦!
系统和网络参数调整
- vi /etc/security/limits.conf
* soft core 0
* hard core 0
系统文件加锁
- 防止未经许可的删除或添加,注意:执行权限修改后,就无法添加和删除用户。
chattr +ia /etc/passwd
chattr +ia /etc/shadow
chattr +ia /etc/group
chattr +ia /etc/gshadow
chattr +ia /etc/services
日记调整
修改rsyslogd日志,rotate>25,日记记录超180天。
- vim /etc/logrotate.conf
# rotate 30