CentOS系統因其穩定性和安全性而廣受歡迎���,但為了確保其堅不可摧��,需要采取一系列的安全配置策略���。以下是一些關鍵的安全建議:
賬戶安全及權限管理
- 禁用非必要的超級用戶:
- 檢測具有超級用戶權限的賬戶(user_ID=0):
cat /etc/passwd | awk -F ':' '{print$1,$3}' | grep ' 0$'
- 備份并鎖定或解鎖這些賬戶:
- 備份:
cp -p /etc/passwd /etc/passwd_bak
- 鎖定賬戶:
passwd -l <用戶名>
- 解鎖賬戶:
passwd -u <用戶名>
- 刪除不必要的賬戶����,如adm, lp, sync等�����,以減少系統受攻擊的風險���。
用戶口令設置
- 設置復雜的口令�,包含大寫字母��、小寫字母�、數字和特殊字符����,并且長度大于10位�����。
- 通過修改
/etc/login.defs文件來強制執行這些要求:PASS_MIN_LEN 10���。
- 檢查并強化空口令賬戶����,使用命令:
awk -F ":" '($2 =="" ) {print $1}' /etc/shadow��。
保護敏感文件
- 使用
chattr命令給/etc/passwd, /etc/shadow, /etc/group, 和/etc/gshadow文件加上不可更改屬性�,以防止未授權訪問:chattr +i /etc/passwd等�。
設置自動注銷時限
- 通過修改
/etc/profile文件中的TMOUT參數����,設置root賬戶的自動注銷時限�����,以減少未授權訪問的風險:TMOUT=300�����。
限制su命令的使用
- 通過編輯
/etc/pam.d/su文件�,限制只有特定組的用戶才能使用su命令切換為root�����。
禁用危險命令和重啟命令
- 刪除或修改
/etc/security/console.apps下的相應程序的訪問控制文件��,如halt����、reboot�����、poweroff�����、shutdown等����。
- 通過修改
/etc/inittab文件����,禁用ctrl+alt+delete組合鍵重啟機器的命令�����。
設置開機啟動服務權限
- 設置
/etc/rc.d/init.d/目錄下所有文件的權限��,以確保只有root用戶可以操作這些服務����。
其他安全建議
- 避免在登錄時顯示系統和版本信息�����。
- 限制NFS網絡訪問�,確保
/etc/exports文件具有最嚴格的訪問權限設置����。
- 通過編輯
/etc/securetty文件�,限制root用戶只能在特定的tty設備上登錄����。
- 防止IP欺騙和DoS攻擊�,編輯
host.conf文件和設置資源限制���,如最大進程數和內存使用量��。
通過實施這些安全措施��,可以顯著提高CentOS系統的安全性����,減少被 exploit 的風險��。
