CentOS 体系安全配置最全攻略！打造坚如盘石的服务器防护，零基础入门到精 ...

原文链接：https://www.cnblogs.com/liujunjun/p/13589479.html

禁用root以外的超等用户
1 . 检测方法：
cat /etc/passwd 检察口令文件，文件格式如下

1. login_name：password：user_ID：group_ID：comment：home_dir：command

复制代码

若user_ID=0，则该用户拥有超等用户的权限。检察此处是否有多个ID=0
2 . 检测命令:

1. cat /etc/passwd | awk -F ':' '{print$1,$3}' | grep ' 0$'

复制代码

3 . 备份方法：

1. cp -p /etc/passwd /etc/passwd_bak

复制代码

4 . 加固方法:

1. 使用命令passwd -l <用户名>锁定不必要的超级账户``使用命令passwd -u <用户名>解锁需要恢复的超级账户``或把用户shell改为/sbin/nologin

复制代码

删除不必要的账号
1 . 应 该删除所有默认的被操作体系本身启动的并且不必要的账号， L i n u x 提供了许多默认账号， 而
账 号越多， 体系就越容易受到攻击。
2 . 可删除的用户, 如adm,lp,sync,shutdown,halt,mail,operator,games,ftp等
3 . 可删除的组, 如adm,lp,games,mail等
4 . 删除命令

1. userdel username``groupdel groupname

复制代码

用户口令设置
用户口令是Linux/Unix安全的一个基本起点，许多人利用的用户口令过于简朴，这等于给侵入者敞开了大门，固然从理论上说，只要有富足的时间和资源可以利用，就没有不能破解的用户口令，但选取得当的口令是难于破解的。较好的用户口令是那些只有他本身容易记得并理解的一串字符，最好不要把密码记录出来，如果有必要的话，也要保管好记录密码的文件，或者将这个文件加密。生产环境口令要求:包含大写字母、小写字母、数字和特殊字符四种中的三种，并且口令团体长度大于10位，每台服务器的口令不雷同。
修改改密码长度/etc/login.defs

1. PASS_MIN_LEN 10

复制代码

查抄空口令账号
如果发现有账号口令为空，必要逼迫加入符合规格的口令
查抄方法：

1. awk -F ":" '($2 =="" ) {print $1}' /etc/shadow

复制代码

口令文件加锁

1. chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。  

复制代码

1. #chattr +i/etc/passwd``#chattr +i/etc/shadow``#chattr +i/etc/group``#chattr +i/etc/gshadow

复制代码

l s a t t r 只是显示文件的属性
设置root账户自动注销时限
修改环境引导文件/etc/profile中的TMOUT参数，TMOUT参数按秒计算vi /etc/profile在"HISTFILESIZE=“背面加入下面这行TMOUT=300改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能如果想修改某个用户的自动注销时限，可以在用户目录下的”.bashrc"文件中添加该值，以便体系对该用户实验特殊的自动注销时间
限定su命令
禁止任何人能够su切换为root，编辑/etc/pam.d/su文件，增加如下行：

这时，仅wheel组的用户可以su作为root。此后，如果希望用户admin能够su作为root，可以运行如下命令：

1. usermod –G 10 admin

复制代码

限定普通用户无法执行关机、重启、配置网络等敏感操作

1. 删除/etc/security/console.apps下的halt、reboot、poweroff、shutdown等程序的访问控制文``件，以禁止普通用户执行该命令。``也可以整体删除/etc/security/console.apps下的所有配置文件``rm –rf /etc/security/console.apps/*

复制代码

禁用ctrl+alt+delete组合键重新启动机器命令

1. 修改/etc/inittab文件，将"ca::ctrlaltdel:/sbin/shutdown-t3-rnow"一行注释掉。

复制代码

设置开机启动服务文件夹权限
设置/etc/rc.d/init.d/目录下所有文件的许可权限，此目录下文件
为开机启动项，运行如下命令：

如许便仅有root可以读、写或执行上述所有脚本文件。
避免登录时显示体系和版本信息

限定NFS网络访问
利用NFS网络文件体系服务，应该确保/etc/exports具有最严酷的访问权限设置，也就是意味着不要使
用任何通配符、不允许root写权限并且只能安装为只读文件体系。编辑文件/etc/exports并加入如下两行。
/dir/to/exporthost1.mydomain.com(ro，root_squash)
/dir/to/exporthost2.mydomain.com(ro，root_squash)

/dir/to/export是您想输出的目录，host.mydomain.com是登录这个目录的机器名，ro意味着mount成只读
体系，root_squash禁止root写入该目录。为了使改动生效，运行如下命令。
#/usr/sbin/exportfs-a
登录终端设置
/etc/securetty文件指定了允许root登录的tty设备，由/bin/login步伐读取，其格式是一个被允许的名字
列表，可以编辑/etc/securetty且解释掉如下的行。

这时，root仅可在tty1终端登录。
防止攻击
一、 防止I P欺骗
编辑host.conf文件并增加如下几行来防止IP欺骗攻击。

• order hosts, bind # 指定名称解析顺序
  
• multi on # 允许主机拥有多个 IP 地址
  
• nospoof on # 禁止 IP 地址欺骗
  

‍防止DOS攻击
对体系所有的用户设置资源限定可以防止DoS类型攻击。如最大进程数和内存利用数目等。比方，可以
在/etc/security/limits.conf中添加如下几行：

然后必须编辑/etc/pam.d/login文件查抄下面一行是否存在。
sessionrequired/lib/security/pam_limits.so

上面的命令禁止调试文件，限定进程数为50并且限定内存利用为5MB。
阻 止ping, 抵抗SYN :
如果没人能p i n g 通体系， 安全性天然增加了， 为此， 我们可以在/ e t c / r c . d / r c . l o c a l 文件中增加如下一行:

1. S Y N 攻击是利用T C P / I P 协议3 次握手的原理， 发送大量的建立连接的网络包， 但不实  
4. 际 建立连接， 最终导致被攻击服务器的网络队列被占满， 无法被正常用户访问。  
7. L i n u x 内核提供了若干S Y N 相关的配置， 用命令：

复制代码

• tcp_max_syn_backlog：这是 SYN 队列的长度，决定了体系能够处理的等待连接的最大网络连接数。
  
• tcp_syncookies：这是一个开关，决定是否启用 SYN Cookie 功能。该功能可以防止部分 SYN 攻击。
  
• tcp_synack_retries 和 tcp_syn_retries：界说了 SYN 报文的重试次数。
  

通过调整这些参数，可以优化体系的网络性能：

• 增加 SYN 队列长度（tcp_max_syn_backlog）可以容纳更多等待连接的哀求，实用于高并发场景。
  
• 启用 SYN Cookie 功能（tcp_syncookies）可以有效防止部分类型的 SYN 攻击。
  
• 低沉 SYN 重试次数（tcp_syn_retries、tcp_synack_retries）也能够在肯定程度上减少网络攻击的影响。
  

1.   

复制代码

调整上述设置的方法是：

• sysctl -w net.ipv4.tcp_max_syn_backlog=2048 # 增加 SYN 队列长度到 2048
  
• sysctl -w net.ipv4.tcp_syncookies=1 # 打开 SYN COOKIE 功能
  
• sysctl -w net.ipv4.tcp_synack_retries=3 # 低沉 SYN-ACK 重试次数
  
• sysctl -w net.ipv4.tcp_syn_retries=3 # 低沉 SYN 重试次数
  

学习资料分享

先上个黑客入门渗透测试蹊径图

通过上述的学习，你可以算是入门网络安全了 ，剩下的就是实战经验了，信赖你只要不中途放弃，是可以实现本身的网络安全工程师梦想的，路已经给你指好了，剩下的就是你本身怎么走了，愿所有想成为网络安全工程师的朋友可以不忘初心，梦想终可到达！
攻击和防守要学的东西也不少，具体要学的东西我都写在了上面的蹊径图，如果你能学完它们，你去就业和接私活完全没有题目。
2.视频教程

网上固然也有许多的学习资源，但基本上都残破不全的，这是我本身录的网安视频教程，上面蹊径图的每一个知识点，我都有配套的视频解说。
内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、毛病详解、计算机基础知识等，都是网络安全入门必知必会的学习内容。

（都打包成一块的了，不能一一睁开，总共300多集）
因篇幅有限，仅展示部分资料，必要点击下方链接即可前往获取
CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享
3.技能文档和电子书

技能文档也是我本身整理的，包括我参加大型网安行动、CTF和挖SRC毛病的经验和技能要点，电子书也有200多本，由于内容的敏感性，我就不一一展示了。

因篇幅有限，仅展示部分资料，必要点击下方链接即可前往获取
CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享
4.工具包、口试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息网络、Android黑客工具、自动化工具、网络钓鱼等，感爱好的同学不容错过。
另有我视频里讲的案例源码和对应的工具包，必要的话也可以拿走。
因篇幅有限，仅展示部分资料，必要点击下方链接即可前往获取
CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享
最后就是我这几年整理的网安方面的口试题，如果你是要找网安方面的工作，它们绝对能帮你大忙。
这些标题都是大家在口试深佩服、奇安信、腾讯或者别的大厂口试时经常遇到的，如果大家有好的标题或者好的见解欢迎分享。
参考解析：深佩服官网、奇安信官网、Freebuf、csdn等
内容特点：条理清楚，含图像化表示更加易懂。
内容概要：包括 内网、操作体系、协议、渗透测试、安服、毛病、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑毛病、工具、SQLmap、NMAP、BP、MSF…

因篇幅有限，仅展示部分资料，必要点击下方链接即可前往获取
CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。