環(huán)境: CentOS 7.2

背景

幫客戶托管在機(jī)房的服務(wù)器系統(tǒng)做安全加固，加固好后會有第三方機(jī)構(gòu)進(jìn)行安全掃描。

步驟

1. 禁止root用戶直接登陸

1) 編輯配置文件/etc/ssh/sshd_config 修改PermitRootLogin 后面的yes 為 no ,并且去掉前面的注釋符
2)編輯 /etc/pam.d/login文件，配置auth required pam_securetty.so
 3)編輯/etc/passwd,賬戶信息的shell為/sbin/nologin的為禁止遠(yuǎn)程登陸，如要允許，則改成可以登陸的shell即可据途，如/sbin/bash。
4)然后重啟sshd服務(wù) service sshd restart

2. 設(shè)置用戶密碼復(fù)雜度和過期時間

是在/etc/login.defs文件叙甸，里面幾個選項(xiàng)
PASS_MAX_DAYS   90  #密碼最長過期天數(shù)
PASS_MIN_DAYS   80  #密碼最小過期天數(shù)
PASS_MIN_LEN    10  #密碼最小長度
PASS_WARN_AGE   7   #密碼過期警告天數(shù)

3. 登陸超時設(shè)置

/etc/profile最后一行加入TMOUT=300

4.系統(tǒng)關(guān)鍵文件權(quán)限設(shè)置

通過chmod命令對目錄的權(quán)限進(jìn)行實(shí)際設(shè)置
/etc/passwd 必須所有用戶都可讀颖医，root用戶可寫 –rw-r—r— 
/etc/shadow 只有root可讀 –r-------- 
/etc/group  須所有用戶都可讀，root用戶可寫 –rw-r—r—
使用如下命令設(shè)置：
chmod 644 /etc/passwd
chmod 600 /etc/shadow
chmod 644 /etc/group

5.設(shè)置文件與目錄缺省權(quán)限

在文件/etc/profile中設(shè)置umask 027或UMASK 027
設(shè)置默認(rèn)權(quán)限： 
vi /etc/login.defs裆蒸， 
在末尾增加umask 027或UMASK 027熔萧，將缺省訪問權(quán)限設(shè)置為750

6.設(shè)置ssh登錄前警告Banner

1.  執(zhí)行如下命令創(chuàng)建ssh banner信息文件： 
#touch /etc/ssh_banner 
#chown bin:bin /etc/ssh_banner 
#chmod 644 /etc/ssh_banner 
#echo " Authorized only. All activity will be monitored and reported "> /etc/ssh_banner 
可根據(jù)實(shí)際需要修改該文件的內(nèi)容。 
2.  修改/etc/ssh/sshd_config文件僚祷，添加如下行： 
Banner /etc/ssh_banner 
3.  重啟sshd服務(wù)： 
#/etc/init.d/sshd restart 

7.設(shè)置文件與目錄缺省權(quán)限

在文件/etc/profile中設(shè)置umask 027或UMASK 027
設(shè)置默認(rèn)權(quán)限： 
vi /etc/login.defs佛致， 
在末尾增加umask 027或UMASK 027，將缺省訪問權(quán)限設(shè)置為750
如果服務(wù)器類型為采集服務(wù)器或應(yīng)用中需要使用ftp的久妆，需要設(shè)置umask為007晌杰，并把ftp用戶組和啟動應(yīng)用的用戶設(shè)置為同一用戶組下

8.修改ssh默認(rèn)端口

# vi /etc/ssh/sshd_config 修改
Port 17382
#service sshd restart

9.限制用戶su到root

編輯su文件(vi /etc/pam.d/su)跷睦，在開頭添加下面兩行： 
auth sufficient pam_rootok.so 和 
auth required pam_wheel.so group=wheel 這表明只有wheel組的成員可以使用su命令成為root用戶筷弦。 
你可以把用戶添加到wheel組，以使它可以使用su命令成為root用戶抑诸。 
添加方法為：usermod –G wheel username
備注：雙方共同運(yùn)維服務(wù)器烂琴，且root密碼為我方知曉時設(shè)置

10.檢查擁有suid和sgid權(quán)限的文件

執(zhí)行命令: 
find /usr/bin/chage /usr/bin/gpasswd /usr/bin/wall /usr/bin/chfn /usr/bin/chsh /usr/bin/newgrp /usr/bin/write /usr/sbin/usernetctl /usr/sbin/traceroute /bin/mount /bin/umount /bin/ping /sbin/netreport -type f -perm -04000 -o -perm -02000 -type f -xdev 2>/dev/null 
如果存在輸出結(jié)果，則使用chmod 755 文件名 命令修改文件的權(quán)限蜕乡。 
例如：chmod a-s /usr/bin/chage

注:所有軟件最好用最新版本.
還對ftp端口進(jìn)行了修改奸绷，防火墻注釋掉對21 22端口的放行。vsp使用的是被動模式层玲，開放出了高端位端口号醉，目前還未進(jìn)行安全掃描，后續(xù)根據(jù)掃描結(jié)果會繼續(xù)修改本文辛块。