CentOSのシステムのセキュリティ強化の個人的な経験

CentOSのLinuxシステムが広く小中規模および大規模のエンタープライズサーバで使用されています。
IDCの運用·保守、同社の運用、保守、企業のネットワークなど、私たちのように
理解する必要があります:最小最低限のサービス+許可を=最大限のセキュリティを!
だから、それは任意のサーバーを設定するかどうか、我々は最大限の安全性を確保するために、サービス、最小値に設定されたシステム権限、サーバーをシャットダウンする必要はありません。
ここにあなたの参考のために、CentOSのサーバーのセキュリティ設定です。
あなたは、/ etc内の対応する構成ファイルがバックアップを持っていることを確認する必要があり、これらの操作を実行する前に、覚えておいてください!操作後にうまくやってみたいです! {:Soso_e113:}
    まず、ユーザーとユーザーグループを必要としないシステムをコメントアウト
   注意:ユーザーが必要なときに削除直接お勧めしません、独自の再追加は非常に面倒になります。
   / passwdbak#の変更前のCP / etc / passwdファイルの/ etc最初のバックアップ
   このラインアウト#コメントが先行のvi / etc / passwdの#編集ユーザ、
   #adm:X:3:4:ADM:が/ var / adm:/ sbinに/ nologinに
   #lp:X:4:7:LP:は/ var /スプール/ LPD:/ sbinに/ nologinに
   #sync:X:5:0:同期:/ sbinに:/ binに/シンク
   #shutdown:X:6:0:シャットダウン:/ sbinに:/ sbinに/シャットダウン
   #halt:X:7:0:停止:/ sbinに:/ sbinに/停止
   #uucp:X:10:14:UUCPの場合:/ var /スプール/ UUCP:/ sbinに/ nologinに
   #operator:X:11:0:演算子:/ルート:/ sbinに/ nologinに
   #games:X:12:100:ゲーム:は/ usr /ゲーム:/ sbinに/ nologinに
   #gopher:X:13:30:​​Gopherの場合:/ var /ホリネズミ:/ sbinに/ nologinに
   #ftp:X:14:50:FTPユーザーの場合:/ var / FTP:/ sbinに/ nologinに#が匿名FTPアカウントのコメント
  最初のバックアップのcp / etc / groupのは/ etc / groupbak位の修飾前
  #コメントアウト前にこの行とVI / etc / groupの#編集ユーザグループ、
  #adm:X:4:ルート、ADM、デーモン
  #lp:X:7:デーモン、LP
  #uucp:X:14:UUCP
  #games:X:20:
  #dip:X:40:
第二に、システムの不要なサービスをオフにします
  サービスacpidの停止chkconfigのは、#ストップサービスをオフACPID、キャンセルブート■電源の詳細設定は、一般的にノートパソコンで使用されます
  サービスautofsはchkconfigをautofsのオフ#が自動的にマウントされたファイルシステムと周辺機器のユーカリを無効に停止します
  サービスブルートゥース停止のchkconfigのBluetoothオフ#は、Bluetooth、Bluetoothを無効にします
  サービスCPUSPEED停止chkconfigのは、#は、CPUの速度制御は、主電源に使用されている無効オフCPUSPEED
  サービスカップはchkconfigのカップをオフに停止#共通UNIX印刷システムを無効にし、システムがプリンタをサポートすることができます
  サービスip6tablesをがchkconfigをは#IPv6を禁止オフip6tablesを停止します
  あなたがサービスを復元したい場合は、次の操作を行うことができます
  サービスは、acpidの上chkconfigを開始ACPID
/etc/rc.d/init.d/の下でシステムコマンドを実行するにはroot以外のユーザの第三に、禁止
  はchmod -R 700 /etc/rc.d/init.d/*
  はchmod -R#デフォルト設定を復元777 /etc/rc.d/init.d/*
次の属性のファイルに、第四は、権限のないユーザーのアクセス権限を防ぐために変更することができません
  chattrコマンド+ I / etc / passwdファイル
  chattrコマンド+ Iの/ etc /影
  chattrコマンド+ I / etc / groupの
  chattrコマンド+ Iの/ etc / gshadowの
  不正な削除やサービスの追加を防ぐためにロックするシステムサービスポート·リスト·ファイルには、chattr + I / etc / servicesの#
  プロパティたlsattr / etc / passwdファイルは/ etc / shadowを/ etc / groupのは/ etc / gshadowの/ etc / servicesの#表示ファイル
  注:変更するには上記の許可を実行した後は、ユーザーの追加や削除はできません。
  我々は、ユーザーを追加および削除する必要がある場合そして、あなたは上記の設定を解除する必要があり、他のユーザーが追加して完成削除してから、上記の操作を実行
  は、chattr -i / etc / passwdの#は許可ロック設定を解除します
  は、chattr -iの/ etc /影
  は、chattr -i / etc / groupの
  は、chattr -iは/ etc / gshadowの
  #は、システムサービスポートリストファイルのロックを解除は、chattr -i / etc / servicesに
  これで、ユーザーの追加や削除、および操作が完了した後、カタログファイルのロックだったことができます
五つの異なるファイルのアクセス許可の制限
  chattrコマンド+の.bash_historyまたは/ dev / nullにリダイレクト削除の.bash_history#の回避
  chattrコマンド+私はの.bash_history
  chmodの700の/ usr / binに回復のchmod 555の/ usr / binに
  chmodの700 / binに/ピング回復のchmod 4755 / binに/ピング
  chmodの700の/ usr / binに/ vimの回復はchmod 755の/ usr / binに/ vimの
  chmodの700 / binに/ netstatの回復はchmod 755 / binに/ netstatの
  chmodの700の/ usr / binに/テールのchmod 755の/ usr / binに/尾を復元
  chmodの700の/ usr / binに/以下、回復のchmod 755の/ usr / binに/以下
  chmodの700の/ usr / binに/ヘッドはchmod 755の/ usr / binに/頭を復元
  chmodの700 / binに/猫は、755 / binに/猫のchmodを回復します
  chmodの700 / binに/のuname回復のchmod 755 / binに/のuname
  chmodの500 / binに/ psの回復はchmod 755 / binに/ PS
第六に、サーバーのショートカットを再起動するには、Ctrl + Alt + Delキーの使用を禁止
    CPは/ etc / inittabファイルは/ etc / inittabbak
    次の行のviの/ etc / inittabの#コメントアウト
    #ca :: ctrlaltdelは:/ sbinに/シャットダウン-T3 -r今
セブンは、yumの更新カーネルアップデートを使用してアップグレードしないと、サーバーは、カーネルが起動しないアップグレードすることがありによるシステムおよびハードウェアの互換性の問題への唯一のアップデートパッケージには、特に必要がない、非常に怖いです、それは任意にないことをお勧めしますカーネルのアップグレード。
    CP /etc/yum.conf /etc/yum.confbak
    1、* =カーネルを除外追加するには、最終的にyumの設定ファイルのvi /etc/yum.confを変更
    図2に示すように、すぐにパラメータ次のコマンドyumを続けてください。
       yumを–exclude =カーネル*更新
       表示システムのバージョン猫の/ etc /問題
       カーネルバージョンはuname -aを参照してください。
エイト、近いCentOSに自動更新
    現在のシステムの状態を表示するためには、chkconfig –list yumを-updatesd#
    YUM-updatesd 0:2オフ:1オフ3を有効にする:4を有効にする:5を有効にする:6を有効にする:閉じます
    パラメータ起動時にサービスのyum-updatesd停止#オフ
    YUM-updatesdを停止します。[OK]
    サービスのyum-updatesdステータス#ビューが閉じられています
    YUM-updatesdが停止しました
    chkconfigを–level 35のyum-updatesdオフ#はオープン起動を禁止(システムモード3,5)
    chkconfigを#が開く禁止オフのyum-updatesd(すべてのフル起動モードは無効)
    現在のシステムの状態を表示するためには、chkconfig –list yumを-updatesd#
    YUM-updatesd 0:2オフ:1オフ3を有効にする:4オフ:5を有効にする:オフ6:閉じます
ナイン、余分な仮想コンソールを閉じます
   私たちはなぜ、Xウィンドウにコンソールからの切り替えは、一般的に、Altキーを押しながらF7キーを使用することを知っていますか?システムのデフォルトは、6つの仮想コンソールを定義しているため、
   そこでXは、最初の7つになっています。実際には、多くの人々は一般的には、/ etc / inittabファイルを変更し、そんなに仮想コンソールを必要とする必要のないものをコメントアウトしないでください。
   CPは/ etc / inittabファイルは/ etc / inittabbak
   六の/ etc / inittabを
   標準のランレベルで実行します#のgetty
   1:2345:復活:/ sbinに/にmingetty TTY1
   #2:2345:復活:/ sbinに/にmingetty tty2
   #3:2345:復活:/ sbinに/にmingetty tty3
   #4:2345:復活:/ sbinに/にmingetty tty4
   #5:2345:復活:/ sbinに/にmingetty tty5という
   #6:2345:復活:/ sbinに/にmingetty tty6
テン、MySQLの履歴を削除します

    ユーザのログインデータベースMySQLの後に実行されるSQLコマンドは、ユーザディレクトリ.mysql_historyをファイルに記録されます。
    データベース·ユーザーがSQL文を使用して、データベースのパスワードを変更する場合は、も起因.mysql_historyを文書が漏れます。
    だから我々は直接-pの後にパスワードを追加するが、プロンプトにして、データベースのパスワードを入力しない場合は、シェルとバックアップに上陸しました。
    加えて、これら二つの文書は、我々はそれが念のために、私たちの操作を記録せてはなりません。
    CD
    CPの.bash_history .bash_historybak位のバックアップ
    CP .mysql_historyを.mysql_historybak
    RMの.bash_history .mysql_historyを
    ます。ln -sを/ dev / nullの.bash_history
    ます。ln -sを/ dev / null .mysql_historyを
XI、コマンド履歴レコードを変更
     CPは/ etc / profileに/ etc / profilebak
     VI / etc / profileを
     HISTSIZE = 1000の代わりにHISTSIZE = 50を探します
XIIを隠すサーバーシステム情報
      デフォルトでは、Linuxシステムにログインするときに、それはあなたのLinuxディストリビューション名、バージョン、サーバのカーネルのバージョンの名前を教えてくれます。
      プロンプト:これらのデフォルトの外に漏れる情報を防止するために、我々はそれが唯一の “ログイン”が表示され、次の操作を実行します。
      の/ etc /問題と/etc/issue.netこれらの2つのファイルを削除するか、これらの2つのファイルの名前を変更し、効果は同じです。
      MVの/ etc /問題は/ etc / issuebak
      MV /etc/issue.net /etc/issue.netbak
サーティーン、最適化Linuxカーネルのパラメータ
      CPに/etc/sysctl.conf /etc/sysctl.confbak
      ファイルの最後にVIに/etc/sysctl.conf位以下を追加します
      net.ipv4.tcp_max_syn_backlog = 65536
      net.core.netdev_max_backlog = 32768
      net.core.somaxconn = 32768
      net.core.wmem_default = 8388608
      net.core.rmem_default = 8388608
      のnet.core.rmem_max = 16777216
      のnet.core.wmem_max = 16777216
      net.ipv4.tcp_timestamps = 0
      net.ipv4.tcp_synack_ret​​ries = 2
      net.ipv4.tcp_syn_retries = 2
      net.ipv4.tcp_tw_recycle = 1
      #Net.ipv4.tcp_tw_len = 1
      net.ipv4.tcp_tw_reuse = 1
      net.ipv4.tcp_mem =9450万9.15億9.27億
      net.ipv4.tcp_max_orphans = 3276800
      #Net.ipv4.tcp_fin_timeout = 30
      #Net.ipv4.tcp_keepalive_time = 120
      net.ipv4.ip_local_port_range = 10024 65535#(デフォルトで発信接続用のポート範囲を示して小さい:32768から61000注:これは、最小値の設定が低すぎるではない、それ以外の場合は通常のポートを奪うことができます!)
      / sbinに/ sysctlを-p#設定をすぐに有効にします
フォーティーン、CentOSのシステムの最適化
     CPは/ etc / profileに/ etc / profilebak2
      ファイルのVI / etc / profileを番号の最後には、以下を追加します
      ulimitの-c無制限
      ulimitが無制限-s
      ulimitの-SHn 65535
      設定はすぐに有効にするために、ソースは/ etc / profile位
      ulimitの-a#ユーザープロセス制限の現在の様々なを示しています
第五に、禁止のpingサーバ
      CPに/etc/rc.d/rc.local /etc/rc.d/rc.localbak
      VIに/etc/rc.d/rc.local#は、ファイルの最後に次の行を追加します。
      1>は、/ proc / sys / net / IPv4の/ icmp_echo_ignore_allエコー
      パラメータ0 1参照目的のみのために、これらを可能にするために禁止を示します!水製品有限公司は、また展覧会を願っています! {:Soso_e183:}私はちょうどライン上で若い世代に害を与えないでください、あなたの助けを求めていません!

Leave a Reply

Your email address will not be published. Required fields are marked *