Linux服务器配置系统安全加固方法

Posted 2023-03-30 LordForce

1. SSH空闲超时时间建议为: 600-900
解决方案: 在【/etc/ssh/sshd_config】文件中设置【ClientAliveInterval】设置为600到900之间

vim /etc/ssh/sshd_config #将 ClientAliveInterval 参数值设置为 900

2. 修改检查SSH密码修改最小间隔
解决方案: 在【/etc/login.defs】文件中设置 【PASS_MIN_DAYS】 参数值大于等于7，需同时执行命令设置root 密码失效时间 命令如下:

vim /etc/login.defs #将 PASS_MIN_DAYS 参数值设置为 7

chage --mindays 7 root

3. 检查SSH密码失效时间
解决方案: 使用非密码登陆方式密钥对，请忽略此项。 在【/etc/login.defs】文件中将【PASS_MAX_DAYS】参数值设置为90-180之间，需同时执行命令设置root 密码失效时间 命令如下:

vim /etc/login.defs #将 PASS_MAX_DAYS 参数值设置为 90

chage --maxdays 90 root

4. 修改 SSH 最大连接数
解决方案: 1、在【/etc/ssh/sshd_config】文件中设置【MaxAuthTries】参数值为3-5

vim /etc/ssh/sshd_config #将 MaxAuthTries 参数值设置为 3

5. 修改 SSH 密码长度要求
解决方案: 在【/etc/security/pwquality.conf】 文件中把【minlen】(密码最小长度)参数值设置为9-32位

vim /etc/security/pwquality.conf #将 minlen 参数值设置为 32

6. 修改 SSH 密码复杂度要求
在【/etc/security/pwquality.conf】文件中，把【minclass】（至少包含小写字母、大写字母、数字、特殊字符等4类字符中等3类或4类）设置为3或4。

vim /etc/security/pwquality.conf#将 minclass 参数值设置为 4

7. 内存安全-开启地址空间布局随机化
解决方案: 在【/proc/sys/kernel/randomize_va_space】 文件中，将值设置为2。
vim /proc/sys/kernel/randomize_va_space ，将值设为2。

vim /proc/sys/kernel/randomize_va_space #将值设置为 2

或者通过如下命令设置:

sysctl -w kernel.randomize_va_space=2

8. 修改 【/etc/profile】 用户缺省权限
【/etc/profile】 文件中所设置的umask为002,不符合要求，建议设置为027。

vim /etc/profile #将 umask 参数值设置为 027

9. 修改 【/etc/bashrc】 用户缺省权限
【/etc/bashrc】 文件中所所设置的umask为002,不符合要求，建议设置为027。

vim /etc/bashrc #将 umask 参数值设置为 027

10. 修改 【/etc/csh.cshrc】 用户缺省权限检查
【/etc/csh.cshrc】 文件中所所设置的umask为002,不符合要求，建议设置为027。

vim /etc/csh.cshrc #将 umask 参数值设置为 027

11. 检查 nginx 是否存在版本泄露
解决方案: 在【/www/server/nginx/conf/nginx.conf】文件中设置server_tokens off。

vim /www/server/nginx/conf/nginx.conf #将 server_tokens 参数值设置为 off

12. 检查 php 是否存在版本泄露
解决方案: 在【php.ini】文件中设置【expose_php】将配置为Off。

vim /www/server/php/73/etc/php.ini #将 expose_php 参数值设置为 Off