由于所有操作均涉及系統(tǒng)文件鼻弧,建議所有操作前備份文件及做好相關(guān)記錄!=踝隆H列!
一码俩、檢查系統(tǒng)空密碼賬戶 | 身份鑒別
二度帮、SSH安全加固 | SSH服務(wù)配置
三、設(shè)置密碼失效時(shí)間 | 身份鑒別
四握玛、設(shè)置密碼修改最小間隔時(shí)間 | 身份鑒別
五够傍、確保密碼到期警告天數(shù)為7或更多 | 身份鑒別
六、刪除或禁用無用的賬戶和賬戶組 | 身份鑒別
七挠铲、限制用戶切換至root | 安全配置
八冕屯、確保rsyslog服務(wù)已啟用 | 安全審計(jì)
九、設(shè)置密碼錯(cuò)誤鎖定策略 | 服務(wù)配置
十拂苹、訪問控制配置文件的權(quán)限設(shè)置 | 文件權(quán)限
十一安聘、設(shè)置用戶權(quán)限配置文件的權(quán)限 | 文件權(quán)限
十二、開啟地址空間布局隨機(jī)化 | 入侵防范
十三瓢棒、為grub 設(shè)置密碼 | 安全加固
十四浴韭、設(shè)置密碼復(fù)雜度 | 身份鑒別
十五、檢查密碼重用是否受限制 | 身份鑒別
一脯宿、檢查系統(tǒng)空密碼賬戶 | 身份鑒別
描述
檢查是否存在空口令和root權(quán)限的賬號
加固建議
對無口令并且可登錄的賬戶念颈,進(jìn)行密碼設(shè)置:(注意密碼不能包含用戶名,也不能少于7位)
具體操作命令和步驟
1连霉、檢查空口令賬戶
awk -F: '$2=="!!" {print $1}' /etc/shadow
[root@anolis8 ~]# awk -F: '$2=="!!" {print $1}' /etc/shadow
dbus
systemd-coredump
systemd-resolve
tss
polkitd
unbound
sssd
sshd
rngd
chrony
nginx
mysql
rpc
rpcuser
2榴芳、檢查空口令賬戶哪些可以登錄
grep -v "/sbin/nologin" /etc/passwd
[root@anolis8 ~]# grep -v "/sbin/nologin" /etc/passwd
root:x:0:0:root:/root:/bin/bash
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
postgres:x:1001:1001::/home/postgres:/bin/bash
PS: /bin/bash的為可登錄賬戶
3、加固可登錄的空口令賬戶或注銷空口令賬戶
4跺撼、檢測root權(quán)限賬號
awk -F: '($3==0)' /etc/passwd
[root@anolis8 ~]# awk -F: '($3==0)' /etc/passwd
root:x:0:0:root:/root:/bin/bash
確保uid為0的賬號只能是root賬號
操作時(shí)建議做好記錄或備份!!!
二窟感、SSH安全加固 | SSH服務(wù)配置
描述
加固SSH遠(yuǎn)程訪問安全策略,限制可登錄用戶及來源地址
加固建議
編輯文件/etc/ssh/sshd_config歉井,將一應(yīng)配置修改
具體操作命令和步驟
1柿祈、編輯文件/etc/ssh/sshd_config
vim /etc/ssh/sshd_config
2、修改配置
Port = *** --修改默認(rèn)端口
AllowUsers 用戶名1@1.1.1.1 用戶名2@2.2.2.2 --設(shè)置允許登錄用戶,多個(gè)用戶可空格添加
AllowGroup *** --設(shè)置允許登錄用戶組
ListenAddress 0.0.0.0 --設(shè)置SSH指定的本地地址躏嚎,多網(wǎng)卡可用
Protocol 2 --強(qiáng)制使用 V2安全協(xié)議 蜜自,SSH1存在漏洞與缺陷
MaxAuthTries = 3 --修改允許密碼錯(cuò)誤次數(shù)
PermitRootLogin no --禁止使用root遠(yuǎn)程登錄
RSAAuthentication yes --設(shè)置用戶密鑰登錄,只針對SSH1紧索,此功能另開一篇記錄
PubkeyAuthentication yes --設(shè)置是否開啟公鑰驗(yàn)證
PermitEmptyPasswords no --是否允許空密碼
ClientAliveInterval 300 --設(shè)置SSH空閑超時(shí)退出時(shí)間袁辈,單位:秒
ClientAliveCountMax 0 --設(shè)置允許超時(shí)的次數(shù) 0即表示不允許超時(shí)
LogLevel INFO – 開通登錄日志的詳細(xì)記錄
AllowAgentForwarding no –
AllowTcpForwarding no --設(shè)置是否允許允許tcp端口轉(zhuǎn)發(fā)菜谣,保護(hù)其他的tcp連接
UseDNS no --設(shè)置不使用dns反向解析
MaxStartups 5 --設(shè)置同時(shí)允許5尚未登入的聯(lián)機(jī)珠漂,當(dāng)用戶連上ssh但并未輸入密碼即為所謂的聯(lián)機(jī)
------------------------------------------------------------------------------------------------------------
3歪架、記錄所有用戶的登錄和操作日志
通過腳本代碼實(shí)現(xiàn)記錄所有用戶的登錄操作日志存谎,防止出現(xiàn)安全事件后無據(jù)可查。vim /etc/profile修改配置文件骡送,在配置文件中輸入以下內(nèi)容:
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 777 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/*history* 2>/dev/null
PS1: 記得執(zhí)行命令:source /etc/profile 讓配置生效
PS2:/var/log/history是日志記錄位置冈敛,可自定義待笑。
通過上述腳本,可以在 /var/log/history 目錄下以每個(gè)用戶為名新建一個(gè)文件夾抓谴,每次用戶退出后都會產(chǎn)生以用戶名暮蹂、登錄IP、時(shí)間的日志文件癌压,包含此用戶本次的所有操作仰泻。
三、設(shè)置密碼失效時(shí)間 | 身份鑒別
描述
設(shè)置密碼失效時(shí)間滩届,強(qiáng)制定期修改密碼集侯,減少密碼被泄漏和猜測風(fēng)險(xiǎn),使用非密碼登錄方式(如密鑰對)請忽略此項(xiàng)帜消。
加固建議
使用非密碼登錄方式如密鑰對棠枉,請忽略此項(xiàng)。在 /etc/login.defs中將 PASS_MAX_DAYS 參數(shù)設(shè)置為 60-180之間
具體操作命令和步驟
1泡挺、修改配置文件 vi /etc/login.defs辈讶,設(shè)置全體用戶的密碼過期時(shí)間等
PASS_MAX_DAYS 90 ``#新建用戶的密碼最長使用天數(shù)
PASS_MIN_DAYS 0 ``#新建用戶的密碼最短使用天數(shù)
PASS_WARN_AGE 7 ``#新建用戶的密碼到期提前提醒天數(shù)
2、單獨(dú)修改單用戶的密碼失效時(shí)間
使用chage 命令單獨(dú)修改單用戶配置
chage -m 0 -M 30 -E 2023-01-01 -W 7 doubles
chage -m (最短時(shí)間) -M (最長時(shí)間) -E (過期時(shí)間) -W (過期前X天提示) 用戶名
表示將此用戶doubles的密碼最短使用天數(shù)設(shè)為0娄猫,最長使用天數(shù)設(shè)為30贱除,密碼2023年1月1日過期,過期前七天警告用戶
操作時(shí)建議做好記錄或備份
四稚新、設(shè)置密碼修改最小間隔時(shí)間 | 身份鑒別
描述
設(shè)置密碼修改最小間隔時(shí)間勘伺,限制密碼更改過于頻繁
加固建議
在 /etc/login.defs 中將 PASS_MIN_DAYS 參數(shù)設(shè)置為7-14之間,建議為7:
PASS_MIN_DAYS 7
需同時(shí)執(zhí)行命令為root用戶設(shè)置:
chage --mindays 7 root
操作時(shí)建議做好記錄或備份
五、確保密碼到期警告天數(shù)為7或更多 | 身份鑒別
描述
確保密碼到期警告天數(shù)為28或更多
加固建議
在 /etc/login.defs 中將 PASS_WARN_AGE 參數(shù)設(shè)置為7-14之間褂删,建議為7:
PASS_WARN_AGE 7
同時(shí)執(zhí)行命令使root用戶設(shè)置生效:
chage --warndays 7 root
操作時(shí)建議做好記錄或備份
六飞醉、刪除或禁用無用的賬戶和賬戶組 | 身份鑒別
描述
減少系統(tǒng)無用賬號,降低安全風(fēng)險(xiǎn)。
加固建議
編輯/etc/passwd 和 /etc/group缅帘,注釋無用的用戶和用戶組
操作時(shí)建議做好記錄或備份
具體操作和步驟
1轴术、用戶和用戶組涉及系統(tǒng)穩(wěn)定性,修改前需要備份
cp /etc/passwd /etc/passwd_bak
cp /etc/group /etc/group_bak
2钦无、注釋無用的用戶和用戶組分別有:
用戶: adm,lp,sync,shutdown,halt,news,uucp,operator,games,ftp,postfix,dovecot
用戶組: adm,lp,mail,games,ftp,audio
加# 注釋即可
七逗栽、限制用戶切換至root | 安全配置
描述
禁止普通用戶su到root用戶,只允許指定的用戶su到root用戶失暂。(需要root權(quán)限)
加固建議
為禁止普通用戶su至root彼宠,需要分別修改/etc/pam.d/su和/etc/login.defs兩個(gè)配置文件。
具體操作和步驟
自定義用戶組能夠su
1弟塞、創(chuàng)建用戶組groupa
groupadd groupa
2凭峡、創(chuàng)建/etc/security/su-groupa-access文件,里面指定允許su到的用戶
vim /etc/security/su-groupa-access
yjt
root
這就表示groupa的用戶可以su到root和yjt决记,且要保證文件權(quán)限不是所有人都可以修改的摧冀。
3、在/etc/pam.d/su下加入下面三行
vim /etc/pam.d/su
auth [success=2 default=ignore] pam_succeed_if.so use_uid user notingroup groupa
auth required pam_wheel.so use_uid group=groupa
auth required pam_listfile.so item=user sense=allow onerr=fail
ClientAliveInterval 600
ClientAliveCountMax 2
操作時(shí)建議做好記錄或備份
八系宫、確保rsyslog服務(wù)已啟用 | 安全審計(jì)
描述
確保rsyslog服務(wù)已啟用索昂,記錄日志用于審計(jì)
加固建議
運(yùn)行以下命令啟用rsyslog服務(wù):
systemctl enable rsyslog
systemctl start rsyslog
操作時(shí)建議做好記錄或備份
九、設(shè)置密碼錯(cuò)誤鎖定策略 | 服務(wù)配置
描述
設(shè)置鎖定策略扩借,防止被字典爆破
加固建議
編輯/etc/pam.d/sshd 文件椒惨,設(shè)置連續(xù)輸錯(cuò)三次密碼,賬號鎖定五分鐘往枷,只能由root用戶解鎖框产。
具體操作和步驟
1、修改配置
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 --一定要寫在#%PAM-1.0下面错洁,否則即使輸錯(cuò)三次秉宿,只要繼續(xù)輸對了密碼,還是可以登錄屯碴,導(dǎo)致無法鎖定
2描睦、具體配置如下
#%PAM-1.0
auth required pam_sepermit.so
auth substack password-auth
auth include postlogin
auth required pam_tally2.so onerr=fail deny=3 unlock_time=300 event_deny_root root_unlock_time=10
#pam_tally2.so:位于/usr/lib64/security/下。(注意:如果用pam_tally.so导而,是沒有自動(dòng)解鎖的功能忱叭。只能進(jìn)單用戶模式解鎖。)
#deny:設(shè)置普通用戶和root用戶連續(xù)錯(cuò)誤登陸的最大次數(shù)今艺,超過最大次數(shù)韵丑,則鎖定該用戶;
#unlock_time 設(shè)定普通用戶鎖定后虚缎,多少時(shí)間后解鎖撵彻,單位是秒;
#no_magic_root 連root用戶也在限制范圍,不給root特殊權(quán)限陌僵。
#even_deny_root 也限制root用戶轴合;
#root_unlock_time 設(shè)定root用戶鎖定后,多少時(shí)間后解鎖碗短,單位是秒
# Used with polkit to reauthorize users in remote sessions-auth optional pam_reauthorize.so prepare
account required pam_nologin.so
account include password-auth
password include password-auth
# pam_selinux.so close should be the first session rule
session required pam_selinux.so close
session required pam_loginuid.so
# pam_selinux.so open should only be followed by sessions to be executed in the user context
session required pam_selinux.so open env_params
session required pam_namespace.so
session optional pam_keyinit.so force revoke
session include password-auth
session include postlogin
# Used with polkit to reauthorize users in remote sessions
-session optional pam_reauthorize.so prepare
十受葛、訪問控制配置文件的權(quán)限設(shè)置 | 文件權(quán)限
描述
訪問控制配置文件的權(quán)限設(shè)置
加固建議
運(yùn)行以下4條命令:
chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow
操作時(shí)建議做好記錄或備份!!!
十一、設(shè)置用戶權(quán)限配置文件的權(quán)限 | 文件權(quán)限
描述
設(shè)置用戶權(quán)限配置文件的權(quán)限
加固建議
執(zhí)行以下5條命令
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
操作時(shí)建議做好記錄或備份!!
十二偎谁、開啟地址空間布局隨機(jī)化 | 入侵防范
描述
它將進(jìn)程的內(nèi)存空間地址隨機(jī)化來增大入侵者預(yù)測目的地址難度总滩,從而降低進(jìn)程被成功入侵的風(fēng)險(xiǎn)
加固建議
在/etc/sysctl.conf或/etc/sysctl.d/*文件中設(shè)置以下參數(shù): kernel.randomize_va_space = 2 執(zhí)行命令: sysctl -w kernel.randomize_va_space=2
操作時(shí)建議做好記錄或備份!!
十三、為grub 設(shè)置密碼 | 安全加固
描述
為linux引導(dǎo)器grub設(shè)置密碼搭盾,防止別人通過grub引導(dǎo)進(jìn)入單用戶模式進(jìn)行非法操作咳秉。
加固建議
為grub2-setpassword 配置密碼婉支,加固服務(wù)器物理層的防御
具體操作和建議
1鸯隅、查看系統(tǒng)默認(rèn)密碼
cat /etc/grub2.cfg | grep password
2、查看grub登錄用戶名
cat /etc/grub.d/01_users
3向挖、 通過上面發(fā)現(xiàn)用戶名是root蝌以,接下來通過grub2-setpassword命令修改密碼
grub2-setpassword
4、改完密碼重啟
init 6
PS1: 在這里你就可以修改root密碼的何之,慎重使用grob
PS2: 以上環(huán)境是centos7跟畅,其他系統(tǒng)環(huán)境略有所不同。
操作時(shí)建議做好記錄或備份!!!
十四溶推、設(shè)置密碼復(fù)雜度 | 身份鑒別
描述
加強(qiáng)口令的復(fù)雜度等徊件,降低被猜解的可能性
操作時(shí)建議做好記錄或備份
加固建議
a、用戶密碼不能包含用戶名
b蒜危、用戶密碼不能少于10位
c虱痕、用戶密碼需要是特殊字符、數(shù)字辐赞、字母的組合
Linux對應(yīng)的密碼策略模塊有:pam_passwdqc 和 pam_pwquality 部翘。
pam_passwdqc模塊對應(yīng)的是/etc/login.defs
pam_pwquality模塊對應(yīng)的是/etc/security/pwquality.conf
具體操作及步驟
1、修改/etc/login.defs
vim /etc/login.defs
PASS_MIN_LEN 10 #密碼最小長度
2响委、修改/etc/pam.d/system-auth
cp /etc/pam.d/system-auth /etc/pam.d/system-auth-backup --備份
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5 --找到同時(shí)有 “password” 和 “pam_unix.so” 字段并且附加有 “remember=5” 的那行新思,它表示禁止使用最近用過的5個(gè)密碼(己使用過的密碼會被保存在 /etc/security/opasswd 下面)
password requisite pam_cracklib.so retry=3 difok=3 minlen=10 --設(shè)置密碼最小長度
3、相關(guān)字段說明:
pam_cracklib.so: 比較重要和難于理解的是它的一些參數(shù)和計(jì)數(shù)方法赘风,其常用參數(shù)包括:
debug: 將調(diào)試信息寫入日志夹囚;
type=xxx: 當(dāng)添加/修改密碼時(shí),系統(tǒng)給出的缺省提示符是“New UNIX password:”以及“Retype UNIX
password:”,而使用該參數(shù)可以自定義輸入密碼的提示符邀窃,比如指定type=your own word荸哟;
retry=N: 定義登錄/修改密碼失敗時(shí),可以重試的次數(shù);
difok=N : 定義新密碼中必須有幾個(gè)字符要與舊密碼不同敲茄。但是如果新密碼中有1/2以上的字符與舊密碼不同時(shí)位谋,該新密碼將被接受;
minlen=N: 定義用戶密碼的最小長度堰燎;
dcredit=N: 定義用戶密碼中必須包含多少個(gè)數(shù)字掏父;
ucredit=N: 定義用戶密碼中必須包含多少個(gè)大寫字母;
lcredit=N: 定義用戶密碼中必須包含多少個(gè)小些字母秆剪;
ocredit=N: 定義用戶密碼中必須包含多少個(gè)特殊字符(除數(shù)字赊淑、字母之外);
我的配置如下(vim /etc/pam.d/system-auth):
以下配置對root用戶完全不起作用的仅讽,root權(quán)限為最高陶缺。-1表示至少一個(gè)
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth required pam_env.so
auth sufficient pam_unix.so nullok try_first_pass
auth requisite pam_succeed_if.so uid >= 1000 quiet_success
auth required pam_deny.so
account required pam_unix.so
account sufficient pam_localuser.so
account sufficient pam_succeed_if.so uid < 1000 quiet
account required pam_permit.so
password requisite pam_pwquality.so try_first_pass local_users_only retry=3 dcredit=-1 ucredit=-1 lcredit=-1 ocredit=-1 difok=1 minlen=8 authtok_type="double type"
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
password required pam_deny.so
session optional pam_keyinit.so revoke
session required pam_limits.so
-session optional pam_systemd.so
session [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session required pam_unix.so
十五、檢查密碼重用是否受限制 | 身份鑒別
描述
強(qiáng)制用戶不重用最近使用的密碼洁灵,降低密碼猜測攻擊風(fēng)險(xiǎn)
加固建議
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 這行的末尾配置remember參數(shù)為5-24之間饱岸,原來的內(nèi)容不用更改,只在末尾加了remember=5徽千。
操作時(shí)建議做好記錄或備份!!!
十六苫费、 保持 /boot 為只讀
Linux 內(nèi)核及其相關(guān)文件在 /boot 目錄下,默認(rèn)為可讀寫双抽。將其更改為只讀可降低未經(jīng)授權(quán)修改關(guān)鍵引導(dǎo)文件的風(fēng)險(xiǎn)百框。我們需要編輯/etc/fstab文件并在下面插入行
LABEL=/boot /boot ext2 defaults,ro 1 2
十七、拒絕所有 TCP Wrappers
TCP 包裝器可以提供一種快速簡便的方法來控制對鏈接到它們的應(yīng)用程序的訪問牍汹。因此建議屏蔽所有未使用的應(yīng)用程序铐维,然后只授權(quán)將要使用的應(yīng)用程序。
例如慎菲,我們將阻止所有應(yīng)用程序嫁蛇,但僅授權(quán) ssh
echo "ALL:ALL" >> /etc/hosts.deny
echo "sshd:ALL" >> /etc/hosts.allow
十八、為未經(jīng)授權(quán)的用戶鎖定 cronjobs
Cron 用于在特定時(shí)間自動(dòng)執(zhí)行作業(yè)钧嘶√闹冢可以指定誰可以或不可以運(yùn)行作業(yè)。這是通過使用名為/etc/cron.allow和的文件來控制的/etc/cron.deny有决。要使用 cron 鎖定用戶闸拿,只需在 cron.deny 中添加用戶名并允許用戶在 cron.allow 文件中運(yùn)行 cron 添加。
# echo ALL >>/etc/cron.deny
十九书幕、保護(hù)服務(wù)器免受緩沖區(qū)溢出
當(dāng)程序或進(jìn)程嘗試將更多數(shù)據(jù)寫入固定長度的內(nèi)存塊或緩沖區(qū)時(shí)新荤,會發(fā)生緩沖區(qū)溢出,而不是分配給緩沖區(qū)的內(nèi)容台汇。再次保護(hù)您的服務(wù)器很重要苛骨。
二十篱瞎、啟用 ExecShield
它有助于防止堆棧粉碎。通常痒芝,緩沖區(qū)溢出漏洞會覆蓋返回地址俐筋,以便函數(shù)返回攻擊者選擇的地址。您需要在當(dāng)前內(nèi)核上啟用
sysctl -w kernel.exec-shield=1
您還可以將下面的行添加到/etc/sysctl.conf
kernel.exec-shield = 1
二十一严衬、檢查/啟用 ASLR
地址空間布局隨機(jī)化是一種防御功能澄者,可以使緩沖區(qū)溢出更加困難。ASLR 使攻擊者難以找到要跳轉(zhuǎn)的地址请琳。您需要通過為kernel.randomize_va_space設(shè)置運(yùn)行時(shí)來啟用隨機(jī)虛擬內(nèi)存區(qū)域放置粱挡。
sysctl -q -n -w kernel.randomize_va_space=2
/etc/sysctl.conf如果它不存在,則添加下面的行俄精。
kernel.randomize_va_space = 2
二十一询筏、審計(jì)策略
日志審計(jì)策略配置
檢查方法:
[root@localhost ~]# ps -ef |grep syslog
root 893 1 0 20:24 ? 00:00:00 /usr/sbin/rsyslogd -n
root 3057 3038 0 22:13 pts/1 00:00:00 grep --color=auto syslog
查看syslogd的配置,并確認(rèn)日志文件是否存在
[root@localhost ~]# cat /etc/audisp/plugins.d/syslog.conf
# This file controls the configuration of the syslog plugin.
# It simply takes events and writes them to syslog. The
# arguments provided can be the default priority that you
# want the events written with. And optionally, you can give
# a second argument indicating the facility that you want events
# logged to. Valid options are LOG_LOCAL0 through 7.
active = no
direction = out
path = builtin_syslog
type = builtin
args = LOG_INFO
format = string
系統(tǒng)日志(默認(rèn))/var/log/messages
cron日志(默認(rèn))/var/log/cron
安全日志(默認(rèn))/var/log/secure
備份方法:
cp /etc/audisp/plugins.d/syslog.conf /etc/audisp/plugins.d/syslog_bak.conf
為審計(jì)產(chǎn)生的數(shù)據(jù)分配合理的存儲空間和存儲時(shí)間
查看系統(tǒng)輪詢配置竖慧,有無以下內(nèi)容
[root@localhost ~]# cat /etc/logrotate.conf |grep rotate
# see "man logrotate" for details
# rotate log files weekly
rotate 4
# use date as a suffix of the rotated file
include /etc/logrotate.d
# no packages own wtmp and btmp -- we'll rotate them here
rotate 1
rotate 1
缺省配置 logrotate
備份方法:
cp -p /etc/logrotate.conf /etc/logrotate.conf_bak
加固方法:
vi /etc/logrotate.d/syslog
# see "man logrotate" for details
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4
# send errors to root
errors root
# create new (empty) log files after rotating old ones
create
# uncomment this if you want your log files compressed
#compress
1
# RPM packages drop log rotation information into this directory
include /etc/logrotate.d
# no packages own lastlog or wtmp --we'll rotate them here
/var/log/wtmp {
monthly
create 0664 root utmp
rotate 1
}
/var/log/lastlog {
monthly
rotate 1
}
# system-specific logs may be configured here
缺省的配置一般放在logrotate.conf 文件的最開始處嫌套,影響整個(gè)系統(tǒng)。在本例中就是前面12行测蘑。
第三行weekly 指定所有的日志文件每周轉(zhuǎn)儲一次灌危。
第五行 rotate 4 指定轉(zhuǎn)儲文件的保留 4份。
第七行 errors root 指定錯(cuò)誤信息發(fā)送給root碳胳。
第九行create 指定 logrotate 自動(dòng)建立新的日志文件,新的日志文件具有和
原來的文件一樣的權(quán)限沫勿。
第11行 #compress 指定不壓縮轉(zhuǎn)儲文件挨约,如果需要壓縮,去掉注釋就可以了产雹。
二十二诫惭、關(guān)閉自動(dòng)更新
關(guān)閉系統(tǒng)自動(dòng)更新
vim /etc/yum/yum-cron.conf
update_messages = no
download_updates = no
升級GUN bash
下載地址http://ftp.gnu.org/gnu/bash/
wget http://ftp.gnu.org/gnu/bash/bash-4.4.18.tar.gz
yum install -y gcc*
tar xvf bash-4.4.18.tar.gz
cd bash-4.4.18/
./configure && make && make install
mv /bin/bash /bin/bash.bak
ln -s /usr/local/bin/bash /bin/bash
配置dump備份工具
vim /etc/security/limits.conf
去掉兩行注釋即可
* soft core 0
* hard rss 10000
原文鏈接:https://blog.csdn.net/Wizard_1/article/details/127684468
參考資料:http://c.biancheng.net/view/840.html
