幫助中心
技術運維百科
CentOS服務器安全設置
2016-05-19 18:34:56

我們必須明白:最小的權限+最少的服務=最大的安全。所以無論是配置任何服務器,我們都必須把不用的服務關閉、把系統(tǒng)權限設置到最小化,這樣才能保證服務器最大的安全。   一、注釋掉系統(tǒng)不需要的用戶和用戶組   注意:不建議直接刪除,當你需要某個用戶時,自己重新添加會很麻煩。   cp? /etc/passwd? /etc/passwdbak?? #修改之前先備份   vi /etc/passwd? #編輯用戶,在前面加上#注釋掉此行   #adm:x:3:4:adm:/var/adm:/sbin/nologin   #lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin   #sync:x:5:0:sync:/sbin:/bin/sync   #shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown   #halt:x:7:0:halt:/sbin:/sbin/halt   #uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin   #operator:x:11:0:operator:/root:/sbin/nologin   #games:x:12:100:games:/usr/games:/sbin/nologin   #gopher:x:13:30:gopher:/var/gopher:/sbin/nologin   #ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin??? #注釋掉ftp匿名賬號   cp /etc/group?? /etc/groupbak?? #修改之前先備份   vi /etc/group? #編輯用戶組,在前面加上#注釋掉此行   #adm:x:4:root,adm,daemon   #lp:x:7:daemon,lp   #uucp:x:14:uucp   #games:x:20:   #dip:x:40:   二、關閉系統(tǒng)不需要的服務   service acpid stop? chkconfig acpid off?? #停止服務,取消開機啟動? #電源進階設定,常用在 Laptop 上   service autofs stop? chkconfig autofs off? #停用自動掛載檔桉系統(tǒng)與週邊裝置   service bluetooth stop? chkconfig? bluetooth? off?? #停用Bluetooth藍芽   service cpuspeed stop? chkconfig? cpuspeed? off?? #停用控制CPU速度主要用來省電   service cups stop?? chkconfig cups off??? #停用 Common UNIX Printing System 使系統(tǒng)支援印表機   service ip6tables stop? chkconfig ip6tables off?? #停用IPv6防火墻   #########################################################################   如果要恢復某一個服務,可以執(zhí)行下面操作   service acpid start? chkconfig acpid on   三、禁止非root用戶執(zhí)行/etc/rc.d/init.d/下的系統(tǒng)命令   chmod -R 700 /etc/rc.d/init.d/*   chmod -R 777 /etc/rc.d/init.d/*??? #恢復默認設置   四、給下面的文件加上不可更改屬性,從而防止非授權用戶獲得權限   chattr +i /etc/passwd   chattr +i /etc/shadow   chattr +i /etc/group   chattr +i /etc/gshadow   chattr +i /etc/services??? #給系統(tǒng)服務端口列表文件加鎖,防止未經許可的刪除或添加服務   lsattr? /etc/passwd?? /etc/shadow? /etc/group? /etc/gshadow?? /etc/services?? #顯示文件的屬性   注意:執(zhí)行以上權限修改之后,就無法添加刪除用戶了。   如果再要添加刪除用戶,需要先取消上面的設置,等用戶添加刪除完成之后,再執(zhí)行上面的操作   chattr -i /etc/passwd???? #取消權限鎖定設置   chattr -i /etc/shadow   chattr -i /etc/group   chattr -i /etc/gshadow   chattr -i /etc/services?? #取消系統(tǒng)服務端口列表文件加鎖   現(xiàn)在可以進行添加刪除用戶了,操作完之后再鎖定目錄文件   五、限制不同文件的權限   chattr +a .bash_history?????????? #避免刪除.bash_history或者重定向到/dev/null   chattr +i .bash_history   chmod 700 /usr/bin??????????????? 恢復? chmod 555 /usr/bin   chmod 700 /bin/ping????????????? 恢復? chmod 4755 /bin/ping   chmod 700 /usr/bin/vim???????? 恢復? chmod 755 /usr/bin/vim   chmod 700 /bin/netstat????????? 恢復? chmod 755 /bin/netstat   chmod 700 /usr/bin/tail????????? 恢復? chmod 755 /usr/bin/tail   chmod 700 /usr/bin/less???????? 恢復? chmod 755 /usr/bin/less   chmod 700 /usr/bin/head?????? 恢復? chmod 755 /usr/bin/head   chmod 700 /bin/cat??????????????? 恢復? chmod 755 /bin/cat   chmod 700 /bin/uname????????? 恢復? chmod 755 /bin/uname   chmod 500 /bin/ps???????????????? 恢復? chmod 755 /bin/ps   六、禁止使用Ctrl+Alt+Del快捷鍵重啟服務器   cp /etc/inittab? /etc/inittabbak   vi /etc/inittab??? #注釋掉下面這一行   #ca::ctrlaltdel:/sbin/shutdown -t3 -r now   七、使用yum update更新系統(tǒng)時不升級內核,只更新軟件包   由于系統(tǒng)與硬件的兼容性問題,有可能升級內核后導致服務器不能正常啟動,這是非常可怕的,沒有特別的需要,建議不要隨意升級內核。   cp /etc/yum.conf??? /etc/yum.confbak   1、修改yum的配置文件 vi /etc/yum.conf? 在[main]的最后添加 exclude=kernel*   2、直接在yum的命令后面加上如下的參數:   yum --exclude=kernel* update   查看系統(tǒng)版本? cat /etc/issue   查看內核版本? uname -a   八、關閉Centos自動更新   chkconfig --list yum-updatesd? #顯示當前系統(tǒng)狀態(tài)   yum-updatesd??? 0:關閉? 1:關閉? 2:啟用? 3:啟用? 4:啟用? 5:啟用? 6:關閉   service yum-updatesd stop????? #關閉? 開啟參數為start   停止 yum-updatesd:??????????????????????????????????????? [確定]   service yum-updatesd status?? #查看是否關閉   yum-updatesd 已停   chkconfig --level 35 yum-updatesd off? #禁止開啟啟動(系統(tǒng)模式為3、5)   chkconfig yum-updatesd off? #禁止開啟啟動(所有啟動模式全部禁止)   chkconfig --list yum-updatesd? #顯示當前系統(tǒng)狀態(tài)   yum-updatesd??? 0:關閉? 1:關閉? 2:啟用? 3:關閉? 4:啟用? 5:關閉? 6:關閉   九、關閉多余的虛擬控制臺   我們知道從控制臺切換到 X 窗口,一般采用 Alt-F7 ,為什么呢?因為系統(tǒng)默認定義了 6 個虛擬控制臺,   所以 X 就成了第7個。實際上,很多人一般不會需要這么多虛擬控制臺的,修改/etc/inittab ,注釋掉那些你不需要的。   cp? /etc/inittab? /etc/inittabbak   vi /etc/inittab   # Run gettys in standard runlevels   1:2345:respawn:/sbin/mingetty tty1   #2:2345:respawn:/sbin/mingetty

USA-IDC為您提供免備案服務器 0元試用
立即聯(lián)系在線客服,即可申請免費產品試用服務
立即申請