Centos7.6安全加固配置教程

服务器安全配置至关重要，尤其是暴露在公网的设备。好的加固可以防止服务器被轻易攻破，让系统稳定良好运转。下面是总结的常用的centos7.6安全加固策略，方便后期使用查阅。

一、禁止root登录，采用sudo授权账号权限。

1.1、新建普通用户。

useradd 8888
passwd 8888

输入账号8888的密码。

1.2、禁止root登录。

vim  /etc/ssh/sshd_config

sshd_config PermitRootLogin no #把注释去掉并把yes改为no

1.3、重启ssh服务

systemctl restart sshd

二、连续输入错密码3次，锁定5分钟。

注意：在#%PAM-1.0的下面，即第二行，添加内容，一定要写在前面，如果写在后面，虽然用户被锁定，但是只要用户输入正确的密码，还是可以登录的！

vim /etc/pam.d/sshd

#%PAM-1.0

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=100

解锁指定用户

pam_tally2 -r -u 8888

三、设置ssh只允许特定用户从指定的IP登录

3.1、编辑文件 /etc/ssh/sshd_config

vi /etc/ssh/sshd_config

3.2、root用户只允许在如下ip登录

AllowUsers root@203.212.4.117
AllowUsers root@124.202.206.14

3.3、重启ssh生效

service sshd restart

3.4、如果需要取消ip登录限制

删除AllowUsers项即可

四、修改ssh端口号。

4.1、编辑vim /etc/ssh/sshd_config

4.2、Port 51866

#更改SSH端口，最好改为10000以上，别人扫描到端口的机率也会下降。防火墙要开放配置好的端口号，如果是阿里云服务器，你还需要去阿里云后台配置开发相应的端口才可以，否则登不上哦！如果你觉得麻烦，可以不用改

为什么不先删除22，以防其他端口没配置成功，而又把22的删除了，无法再次进入服务器

4.3、修改SELinux

安装semanage

yum provides semanage
yum -y install policycoreutils-python

使用以下命令查看当前SElinux 允许的ssh端口：

semanage port -l | grep ssh

添加51866端口到 SELinux

semanage port -a -t ssh_port_t -p tcp 51866

注：操作不成功，可以参考：https://sebastianblade.com/how-to-modify-ssh-port-in-centos7/

失败了话应该是selinux没有打开

然后确认一下是否添加进去

semanage port -l | grep ssh

如果成功会输出

ssh_port_t                    tcp    51866, 22

4.4、重启ssh

systemctl restart sshd.service

查看下ssh是否监听51866端口

netstat -tuln

4.5、防火墙开放51866端口

firewall-cmd --permanent --zone=public --add-port=51866/tcp

firewall-cmd --reload

然后测试试试，能不能通过51866登录，若能登录进来，说明成功，接着删除22端口

vi /etc/ssh/sshd_config

删除22端口  wq

systemctl restart sshd.service

同时防火墙也关闭22端口

firewall-cmd --permanent --zone=public --remove-port=22/tcp

注意如果是使用阿里的服务器需要到阿里里面的安全组添加新的入站规则(应该是因为阿里的服务器是用的内网，需要做端口映射)

4.6、Protocol 2

#禁用版本1协议, 因为其设计缺陷, 很容易使密码被黑掉。

4.7、PermitEmptyPasswords no

＃禁止空密码登陆。

4.8、重启ssh生效

service sshd restart

五、禁止系统响应任何从外部/内部来的ping请求

echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all

六、禁用不使用的用户及用户组。

6.1、编辑用户。

vi /etc/passwd

6.2、在前面加上#注释掉此行

# cat /etc/passwd|grep ^#
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
#nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
#postfix:x:89:89::/var/spool/postfix:/sbin/nologin

6.3、注释不用的用户组

#cat /etc/group|grep ^#
#adm:x:4:adm,daemon
#lp:x:7:daemon
#uucp:x:14:
#games:x:20:
#gopher:x:30:
#video:x:39:
#dip:x:40:
#ftp:x:50:
#audio:x:63:
#floppy:x:19:
#postfix:x:89:

七、Linux防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。 可以在/etc/security/limits.conf中添加如下几行：
*  soft  core  0
*  soft  nproc  2048
*  hard  nproc  16384
*  soft  nofile 1024
*  hard  nofile 65536

core 0 表示禁止创建core文件；nproc 128 把最多的进程数限制到20；nofile 64 表示把一个用户同时打开的最大文件数限制为64；* 表示登录到系统的所有用户，不包括root

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

session required pam_limits.so

limits.conf 参数的值需要根据具体情况调整。