centos 服务器基础安全策略
Posted ざ柒
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了centos 服务器基础安全策略相关的知识,希望对你有一定的参考价值。
1、查看端口状态
- netstat -tunl #查看当前服务器的端口监听状态
- netstat -tun #显示已经联机的连接状态
- netstat -antlp #查看端口对应的是什么服务
- chkconfig --list sshd
2、禁止系统响应任何外部/内部来的ping请求
[[email protected] ~]# echo "1">/proc/sys/net/ipv4/icmp_echo_ignore_all
可以添加上面的命令到 /etc/rc.d/rc.local 文件中,以使每次系统重启后自动运行
3、限制shell 记录的历史命令条数
编辑 /etc/profile HISTSIZE=30
4、删除系统中不必要的组和用户
[[email protected] ~]# userdel username #删除用户
[[email protected] ~]# groupdel groupname #删除组
linux中可以删除的默认用户有:adm、lp、sync、shutdown、halt、news、uucp、operator、games、gopher
可以删除的组有:adm、lp、news、uucp、games、dip、pppusers、popusers、slipusers
5、关闭SELinux
查看SELinux是否启用,可以使用getenforce命令
[[email protected] ~]# getenforce
Enforcing
要关闭SELinux 可以直接修改 /etc/sysconfig/selinux
[[email protected] ~]# vi /etc/sysconfig/selinux
将SELINUX=enforcing 修改为 SELINUX=disabled 重启系统后停止SELinux
6、设置tcp_wrappers防火墙 使用比较简单 涉及两个配置文件:/etc/hosts.allow 和 /etc/hosts.deny
[[email protected] ~]# rpm -qa |grep tcp #判断是否安装tcp_wrappers
[[email protected] ~]# yum install tcp_wrappers #安装tcp_wrappers
cp_wrappers主要是靠hosts.allow和hosts.deny来实现防火墙功能的!
其设定格式为:
service : host [:action]
主要参数:
service : 服务名,例如 sshd ,sendmail,vsftpd等
host : 主机IP或主机名,如192.168.30.2,www.baidu.com
action: 动作,需要采取的动作,可以忽略
常用的关键字:
ALL 所有的服务或者IP
ALL EXCEPT 从所有的服务或者IP中除去制定的服务或者IP
例:首先设置允许登录的计算机,即配置 /ect/hosts.allow文件(没有此文件可以自己创建)
sshd: 192.168.87.100 192.168.87.3 #即设置 192.168.87.100 192.168.87.3 可以访问
不允许登录机器,配置 /etc/hosts.deny 文件
sshd:All #所有计算机都不登陆
一般情况下,linux首先会判断 /etc/hosts.allow 文件,如果满足即通过,如果不满足 才访问 /etc/hosts.deny,但是 如果至不满足/etc/hosts.deny 设定,此设定依然满足访问linux服务器
以上是关于centos 服务器基础安全策略的主要内容,如果未能解决你的问题,请参考以下文章