说明:CentOS7系统基础命令使用变化:(wget与curl经常被用于木马下载,自动挖矿脚本执行,顾将默认的命令进行了rename)
- wget → mywget
- curl → mycurl
定时任务添加无法保存时,请执行如下命令解锁相关文件后再次添加定时任务:
[root@CN-localhost ~]# lsattr /var/spool/cron/root # <--该文件被锁定(文件有i标志位),
# 添加root用户定时任务时,需要先使用命令进行解锁(chattr -i /var/spool/cron/root),解锁后可以使用cront -e命令添加定时任务
----i----------- /var/spool/cron/root
CentOS7系统优化
最大文件打开数/文件句柄优化(推荐)
## 备份配置文件
cp -a /etc/security/limits.conf{,.bak}
## 添加以下两行配置到该文件最后
* soft nofile 65536
* hard nofile 65536
用户最大进程数(推荐)
## 1.备份配置文件
cp -a /etc/security/limits.d/20-nproc.conf{,.bak}
## 2.修改配置文件
vim /etc/security/limits.d/20-nproc.conf
* soft nproc 65536
* hard nproc 65536
root soft nproc unlimited
关闭防火墙(推荐)
/usr/bin/systemctl stop firewalld.service &> /dev/null
/usr/bin/systemctl disable firewalld.service &> /dev/null
/usr/bin/systemctl mask firewalld.service &> /dev/null
关闭SELinux(推荐)
cp /etc/selinux/config{,.bak}
sed -r -i '/^SELINUX=/s/.*/SELINUX=disabled/' /etc/selinux/config
setenforce 0
操作系统时间同步设置(推荐)
## 解锁配置文件
chattr -i ``/var/spool/cron/root
## 添加定时任务,定时从时间服务器同步时间
echo "*/5 * * * * /usr/sbin/ntpdate 10.137.9.9 >> /home/timedate.log > /dev/null 2>&1" >> /var/spool/cron/root
## 编辑后锁定配置文件
chattr +i /var/spool/cron/root
系统参数调优(需根据实际业务需要进行评估,一般调整参数如下)(可选)
## 备份配置文件
cp -a /etc/sysctl.conf /etc/sysctl.conf.default
## 添加以下调优参数到该文件中
#kernel
kernel.sysrq = 0
kernel.core_uses_pid = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
#socket
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.ip_forward = 0
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_sack = 1
net.ipv4.tcp_window_scaling = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
#socket mem
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.ipv4.tcp_rmem = 4096 87380 4194304
net.ipv4.tcp_wmem = 4096 16384 4194304
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
#conn
net.core.netdev_max_backlog = 262144
net.core.somaxconn = 262144
net.ipv4.tcp_max_orphans = 3276800
#Timewait
net.ipv4.tcp_max_tw_buckets = 6000
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_tw_reuse = 1
#sync
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_max_syn_backlog = 262144
net.ipv4.tcp_syncookies = 1
#fin
net.ipv4.tcp_fin_timeout = 1
#keepalive
net.ipv4.tcp_keepalive_time = 30
## 配置生效
/sbin/sysctl -p
2.CentOS7系统安全加固
操作系统密码策略(密码长度与有效期)(推荐)
## 备份配置文件:
cp -a /etc/login.defs /etc/login.defs.default
## 编辑配置文件
vim /etc/login.defs
# 将相关参数值改成如下:
PASS_MAX_DAYS 90 # 密码最长使用天数
PASS_MIN_DAYS 0 # 密码最短使用天数
PASS_MIN_LEN 8 # 密码最短长度
PASS_WARN_AGE 7 # 密码到期前多少天提醒
## 修改系统中当前已存在用户的密码策略
chage -m 0 -M 90 -I 5 -W 7 <用户名>
## 表示将此用户的密码最长使用天数设为90,最短使用天数设为0,密码过期后5天之后账户失效,过期前7天提醒用户。
密码复杂度策略(推荐)
## 备份配置文件:
cp -a /etc/pam.d/system-auth /etc/pam.d/system-auth.default## 编辑配置文件
vi /etc/pam.d/system-auth
# 将password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= 修改为:
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1
密码重复使用次数限制(可选)
设置密码不能重复前3次使用过的。
## 修改配置文件
/etc/pam.d/system-auth
在password sufficient pam_unix.so xxxxx 一行后添加 remember=3,例如:
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=3
锁定不必要的系统默认帐号(推荐)
## 锁定无用帐号,降低安全风险
usermod -L gdm
usermod -L nobody
## 如有其他的不必要的系统用户,可以用此方法锁定
特殊帐号检查(推荐)
检查系统中是否存在空口令帐号和除了root之外的UID为0的帐号
awk -F: '($2"")' /etc/shadow ## 查看空口令账号,找到之后,使用passwd命令为其设置密码。
awk -F: '($30)' /etc/passwd ## 查看UID为零的账号,保证系统中UID为0的帐号只有root。
设置会话超时时间(推荐)
## 备份配置文件:
cp -a /etc/profile /etc/profile.default
## 编辑配置文件:
vi /etc/profile
# 在文件的末尾添加参数
export TMOUT=300
设置历史命令时间戳(可选)
echo "HISTFILESIZE=2000" >> /etc/bashrc
echo "HISTFILESIZE=2000" >> /etc/bashrc
echo "HISTSIZE=2000" >> /etc/bashrc
echo "HISTTIMEFORMAT='<%F %T> : '" >> /etc/bashrc
SSH 服务安全配置(推荐)
## 备份配置文件
cp /etc/ssh/sshd_config{,.bak}
## 编辑配置文件
vi /etc/ssh/sshd_config
# 禁止空密码登录,将#PermitEmptyPasswords no参数的注释符号去掉,改成
PermitEmptyPasswords no
# 关闭ssh的tcp转发,将#AllowTcpForwarding yes参数改成
AllowTcpForwarding no
# 关闭S/KEY(质疑-应答)认证方式,将#ChallengeResponseAuthentication yes参数,改成
ChallengeResponseAuthentication no
# 关闭基于GSSAPI 的用户认证,将GSSAPIAuthentication yes参数,改成
GSSAPIAuthentication no
# 关闭ssh连接DNS查找
UseDNS no
# 修改sshd服务默认端口,推荐改成10000以上的端口,如
Port 12379
## 重启ssh服务
# 重启sshd服务
systemctl restart sshd
禁止root远程登录(可选)
## 备份配置文件
cp -a /etc/ssh/sshd_config /etc/ssh/sshd_config.default
## 编辑配置文件
vi /etc/ssh/sshd_config
# 将配置参数#PermitRootLogin yes改成
PermitRootLogin no
## 重启ssh服务
登陆失败锁定(可选)
## 配置文件备份
cp /etc/pam.d/sshd{,.bak}
cp /etc/pam.d/login{,.bak}
## 修改配置文件
vim /etc/pam.d/sshd
## 编辑配置文件,在#%PAM-1.0的下面,即第二行,添加内容
auth required pam_tally2.so deny=3 unlock_time=600 even_deny_root root_unlock_time=10
vim /etc/pam.d/login
## 编辑配置文件,在#%PAM-1.0的下面,即第二行,添加内容
auth required pam_tally2.so deny=3 lock_time=600 even_deny_root root_unlock_time=10
设置sshd加密算法(推荐)
## 备份配置文件
cp /etc/ssh/sshd_config{,.bak}
## 修改配置文件,在配置文件末尾加上如下配置
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
设置系统umask值(推荐)
vim /etc/profile
## 在文档末尾加上
umask 027
禁止"Control-Alt-Delete"重启系统快捷键(推荐)
防止误操作按了"Control-Alt-Delete"组合键导致系统重启。
mv /usr/lib/systemd/system/ctrl-alt-del.target /tmp
init q
隐藏系统版本信息(可选)
mv /etc/issue /etc/issue.bak
mv /etc/issue.net /etc/issue.net.bak
关闭不必要的系统服务(推荐)
关闭不必要的服务(如普通服务和xinetd服务),降低风险。
## 停止服务
systemctl stop <服务名>
## 设置服务在开机时不自动启动。
systemctl disable <服务名>
## CentOS7最小化安装,推荐停止的系统服务有:postfix,...
删除潜在的危险文件(推荐)
.rhosts,.netrc,hosts.equiv等文件都具有潜在的危险,如果没有应用,应该删除。
## 操作步骤
find / -name .rhosts
find / -name .netrc
find / -name hosts.equiv
## 若存在相关文件,加上.bak后缀
mv .rhost .rhost.bak
mv .netr .netr.bak
mv hosts.equiv hosts.equiv.bak
记录所有用户的登录和操作日志(可选)
vim /etc/profile # 打开配置文件,在配置文件末尾加入如下脚本
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 733 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/* 2>/dev/null
## 执行下面命令使配置生效,如果已经接入了堡垒机,该步骤可省略(堡垒机已经有日志审计功能了)
source /etc/profile
