CentOS yum的安全設置有哪些建議

在CentOS系統中，YUM（Yellowdog Updater, Modified）是一個用于管理軟件包的命令行工具，可以通過配置YUM來提高系統的安全性。以下是一些建議：

1. 禁用非必要的超級用戶：

   • 檢測并管理user_id為0的用戶，確保系統中只有必要的超級用戶。
   • 使用以下命令備份并鎖定或解鎖這些賬戶：

     cat /etc/passwd | awk -F ':' '{print$1,$3}' | grep ' 0$'
     cp -p /etc/passwd /etc/passwd_bak
     passwd -l <用戶名>  # 鎖定賬戶
     passwd -u <用戶名>  # 解鎖賬戶
     

2. 刪除不必要的賬戶：

   • 刪除所有不必要的默認賬戶，如adm, lp, sync等，以減少系統受攻擊的風險。
   • 使用以下命令刪除這些賬戶：

     userdel username
     groupdel groupname
     

3. 強化用戶口令策略：

   • 設置復雜的口令，包含大寫字母、小寫字母、數字和特殊字符，并且長度大于10位。
   • 通過修改/etc/login.defs文件來強制執行這些要求：

     PASS_MIN_LEN 10
     

4. 保護口令文件：

   • 使用chattr命令給/etc/passwd, /etc/shadow, /etc/group, 和/etc/gshadow文件加上不可更改屬性，以防止未授權訪問：

     chattr +i /etc/passwd
     chattr +i /etc/shadow
     chattr +i /etc/group
     chattr +i /etc/gshadow
     

5. 設置root賬戶自動注銷時限：

   • 通過修改/etc/profile文件中的TMOUT參數，設置root賬戶的自動注銷時限，以減少未授權訪問的風險：

     vi /etc/profile
     TMOUT=300
     

6. 限制su命令：

   • 編輯/etc/pam.d/su文件，限制只有特定組的用戶才能使用su命令切換為root：

     usermod –G wheel username
     

7. 限制普通用戶的敏感操作：

   • 刪除或修改/etc/security/console.apps下的相應程序的訪問控制文件，防止普通用戶執行關機、重啟等敏感操作。
   • 例如，刪除halt、reboot、poweroff、shutdown等程序的訪問控制文件：

     rm -rf /etc/security/console.apps/*
     

8. 禁用ctrl+alt+delete重啟命令：

   • 修改/etc/inittab文件，禁用ctrl+alt+delete組合鍵重啟機器的命令：

     vi /etc/inittab
     # 將"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注釋掉
     

9. 設置開機啟動服務權限：

   • 設置/etc/rc.d/init.d/目錄下所有文件的權限，以確保只有root用戶可以操作這些服務。

10. 避免登錄時顯示系統信息：

    • 防止系統信息泄露，避免在登錄時顯示系統和版本信息。

11. 限制NFS網絡訪問：

    • 確保/etc/exports文件具有最嚴格的訪問權限設置。

12. 配置本地YUM源的安全性：

    • 使用可信的源鏡像，定期更新和維護本地YUM源，實施監控和日志記錄措施，確保只有授權用戶才能訪問本地YUM源。

通過這些措施，可以顯著提高CentOS系統的安全性，減少潛在的安全威脅。