CentOS Dolphin安全設置指南

簡介

CentOS Dolphin（即CentOS 8）因其穩定性和安全性而廣受歡迎。為了確保系統的堅不可摧，本文將詳細介紹一系列全面的安全配置策略，幫助你打造一個安全的CentOS服務器。

詳細步驟

禁用非必要的超級用戶

1. 檢測具有超級用戶權限的賬戶：

   cat /etc/passwd | awk -F ':' '{print$1,$3}' | grep ' 0$'
   

2. 備份并鎖定或解鎖這些賬戶：

   • 備份：

     cp -p /etc/passwd /etc/passwd_bak
     

   • 鎖定賬戶：

     passwd -l <用戶名>
     

   • 解鎖賬戶：

     passwd -u <用戶名>
     

3. 刪除不必要的賬戶：

   • 刪除不需要的默認賬戶，如 adm, lp, sync 等：

     userdel username
     groupdel groupname
     

強化用戶口令

1. 設置復雜的口令：

   • 口令應包含大寫字母、小寫字母、數字和特殊字符，并且長度大于10位。
   • 通過修改 /etc/login.defs 文件強制執行這些要求：

     PASS_MIN_LEN 10
     

2. 檢查并強化空口令賬戶：

   • 檢查空口令賬戶：

     awk -F ":" '($2 =="" ) {print $1}' /etc/shadow
     

   • 強制設置符合規格的口令。

3. 保護口令文件：

   • 使用 chattr 命令給 /etc/passwd, /etc/shadow, /etc/group, 和 /etc/gshadow 文件加上不可更改屬性：

     chattr +i /etc/passwd
     chattr +i /etc/shadow
     chattr +i /etc/group
     chattr +i /etc/gshadow
     

設置root賬戶自動注銷時限

• 通過修改 /etc/profile 文件中的 TMOUT 參數，設置root賬戶的自動注銷時限：

  vi /etc/profile
  TMOUT=300
  

限制su命令

• 編輯 /etc/pam.d/su 文件，限制只有特定組的用戶才能使用 su 命令切換為root：

  usermod –G wheel username
  

限制普通用戶的敏感操作

• 刪除或修改 /etc/security/console.apps 下的相應程序的訪問控制文件，防止普通用戶執行關機、重啟等敏感操作：
  • 刪除相關程序：

    rm –rf /etc/security/console.apps/*
    

禁用ctrl+alt+delete重啟命令

• 通過修改 /etc/inittab 文件，禁用ctrl+alt+delete組合鍵重啟機器的命令：

  vi /etc/inittab
  # 將 "ca::ctrlaltdel:/sbin/shutdown-t3-rnow" 一行注釋掉
  

設置開機啟動服務權限

• 設置 /etc/rc.d/init.d/ 目錄下所有文件的權限，確保只有root用戶可以操作這些服務。

避免登錄時顯示系統信息

• 避免在登錄時顯示系統和版本信息。

限制NFS網絡訪問

• 確保 /etc/exports 文件具有最嚴格的訪問權限設置。

登錄終端設置

• 通過編輯 /etc/securetty 文件，限制root用戶只能在特定的tty設備上登錄。

防止攻擊

• 編輯 host.conf 文件和設置資源限制，如最大進程數和內存使用量，以防止IP欺騙和DoS攻擊。
  • 示例配置：

    order hosts, bind
    multi on
    nospoof on
    

注意事項

• 在進行上述任何操作之前，請確保備份所有重要數據。
• 每項配置應根據具體環境和需求進行調整，以達到最佳安全效果。

通過以上步驟，你可以顯著提升CentOS系統的安全性，確保其穩定運行。