centos7 系统安全加固方案

常用组件

	
	

		# 换源
	

	

		yum -y install epel-release wget
	

	

		sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
	

	

		wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
	

	

		wget -P /etc/yum.repos.d/ https://mirrors.aliyun.com/repo/epel-7.repo
	

	

		yum clean all 
	

	

		yum makecache 
	

	

		 
	

	

		# 常用
	

	

		yum -y install ntpdate #同步时间 
	

	

		yum -y install bash-completion # 对 systemctl 命令服务名称的补全
	

	

		yum -y install net-tools # TCP/IP工具箱
	

	

		yum -y install curl # 网络请求
	

	

		yum -y install vim # 编辑工具
	

	

		yum -y install lrzsz # 上传下载工具
	

	

		yum -y install sysstat # 系统监控工具
	

	

		yum -y install psmisc # 进程管理
	

	

		yum -y install iptraf-ng # 流量监控
	

	

		yum -y install nethogs # 流量监控2
	

	

		yum -y install fail2ban # 必装 防止ssh爆破
	

 基本优化

	
	

		sed -i 's%#UseDNS yes%UseDNS no%' /etc/ssh/sshd_config # 关闭反向DNS解析
	

	

		sed -i 's%GSSAPIAuthentication yes%GSSAPIAuthentication no%' /etc/ssh/sshd_config # 解决Linux之间使用SSH连接慢问题
	

	

		sed -i 's%#PermitEmptyPasswords no%PermitEmptyPasswords no%' /etc/ssh/sshd_config #禁止空密码登录
	

	

		sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config && setenforce 0 # 禁用SELINUX
	

一 . 设置会话超时（1分钟）

默认配置:

无

加固方案:

	
	

		1.备份配置文件： 
	

	

		# cp -a /etc/profile /etc/profile.default 
	

	

		2.编辑配置文件 vi /etc/profile 在文件的末尾添加参数 
	

	

		export TMOUT=60
	

	

		3.保存配置文件
	

二. 设置history命令时间戳

默认配置:

无

加固方案:

	
	

		1.备份配置文件： 略 
	

	

		2.编辑配置文件： vi /etc/profile 在文件的末尾添加参数 
	

	

		export HISTTIMEFORMAT="%F %T `whoami` " 
	

	

		3.保存配置文件
	

 三.禁止Control-Alt-Delete 键盘重启系统命令

默认配置:

	
	

		ls /usr/lib/systemd/system/ctrl-alt-del.target
	

加固方案:

	
	

		1.备份配置文件 cp -a /usr/lib/systemd/system/ctrl-alt-del.target /usr/lib/systemd/system/ctrl-alt-del.target.default 
	

	

		2.移除该原源文件 rm -rf /usr/lib/systemd/system/ctrl-alt-del.target
	

四. 隐藏系统版本信息

默认配置:

加固方案:

	
	

		执行以下命令： 
	

	

		mv /etc/issue /etc/issue.bak 
	

	

		mv /etc/issue.net /etc/issue.net.bak
	

五.最大文件打开数（文件句柄数）

默认配置:

	

		
		

			[root@i-1y3we23j ~]# ulimit -n
		

		

			1024
		

	

加固方案:

	
	

		1.备份配置文件
	

	

		cp -a /etc/security/limits.conf /etc/security/limits.conf.default
	

	

		2.添加以下两行配置到该文件最后
	

	

		*       soft    nofile  1000000  
	

	

		*       hard    nofile  1000000  
	

	

		*       soft    nproc  65535  
	

	

		*       hard    nproc  65535
	

六.用户最大进程数

默认配置:

	

		
		

			[root@i-1y3we23j ~]# cat /etc/security/limits.d/20-nproc.conf 
		

		

			# Default limit for number of user's processes to prevent
		

		

			# accidental fork bombs.
		

		

			# See rhbz #432903 for reasoning.
		

		

			 
		

		

			* soft    nproc 4096
		

		

			root       soft    nproc     unlimited
		

	

加固方案:

	

		
		

			1.备份配置文件
		

		

			cp -a /etc/security/limits.d/20-nproc.conf /etc/security/limits.d/20-nproc.conf.default
		

		

			2.修改配置文件vim /etc/security/limits.d/20-nproc.conf
		

		

			 
		

		

			 * soft     nproc 65535
		

		

			 * hard    nproc 65535
		

	

备注:修改所有用户的最大进程数为65535

7. 禁止root用户直接登录

一、新建帐户，命令如下：

	
	

		useradd NewUser
	

二、设置帐户密码，命令如下：

	
	

		passwd NewUser
	

三、不允许root直接登陆，命令如下：

	
	

		vim /etc/ssh/sshd_config
	

	

		找到 # PermitRootLogin yus
	

	

		改为 PermitRootLogin no
	

四、禁止root登陆，命令如下：

	
	

		vim /etc/ssh/sshd_config
	

	

		sed -i 's%#Port 22%Port 66%' /etc/ssh/sshd_config 
	

	

		#Port 22字段删掉#，将22改为其他不被使用的端口
	

	

		服务器端口最大可以开到65536
	

五、使环境变量立即生效，命令如下 （将第一行80 更改成新SSH端口）：

	
	

		firewall-cmd --zone=public --add-port=66/tcp --permanent 
	

	

		firewall-cmd --reload
	

	

		systemctl restart sshd.service
	

	

		/etc/rc.d/init.d/sshd restart
	

8. 同步时区

同步时间服务器

	
	

		timedatectl set-timezone Asia/Shanghai
	

	

		ntpdate ntp.aliyun.com 或 cn.pool.ntp.org
	

将系统时间写入到硬件时间

	
	

		hwclock -w
	

9. 关闭ICMP （ping）响应

永久修改方式(重启后有效)
禁止ICMP包通行

		

			
			

				echo net.ipv4.icmp_echo_ignore_all=1 >>/etc/sysctl.conf
			

			

				sysctl -p
			

		

允許ICMP包通行

		

			
			

				echo net.ipv4.icmp_echo_ignore_all=0 >>/etc/sysctl.conf
			

			

				sysctl -p
			

		

10. 安装Fail2ban 防止SSH爆破与CC攻击

	
	

		#CentOS内置源并未包含fail2ban，需要先安装epel源
	

	

		yum -y install epel-release
	

	

		#安装fial2ban
	

	

		yum -y install fail2ban
	

	

		# 启动
	

	

		systemctl start fail2ban
	

	

		# 开机自启
	

	

		systemctl enable fail2ban
	

	

		# 重新加载配置
	

	

		systemctl restart fail2ban
	

	

		查看黑名单状态
	

	

		fail2ban-client status sshd(模块名)
	

	

		黑名单移除IP
	

	

		fail2ban-client set sshd unbanip IP地址
	

	

		#查看日志
	

	

		tail /var/log/fail2ban.log
	

新建jail.local来覆盖fail2ban的一些默认规则：

	
	

		#新建配置
	

	

		vi /etc/fail2ban/jail.local
	

	

		#默认配置
	

	

		[DEFAULT]
	

	

		ignoreip = 127.0.0.1/8
	

	

		bantime = 86400
	

	

		findtime = 600
	

	

		maxretry = 5
	

	

		#这里banaction必须用firewallcmd-ipset,这是fiewalll支持的关键，如果是用Iptables请不要这样填写
	

	

		banaction = firewallcmd-ipset
	

	

		action = %(action_mwl)s
	

参数说明：

	
	

		ignoreip：IP白名单，白名单中的IP不会屏蔽，可填写多个以（,）分隔
	

	

		bantime：屏蔽时间，单位为秒（s）
	

	

		findtime：时间范围
	

	

		maxretry：最大次数
	

	

		banaction：屏蔽IP所使用的方法，上面使用firewalld屏蔽端口
	

防止SSH爆破

继续修改jail.local这个配置文件，在后面追加如下内容：

	
	

		[sshd]
	

	

		enabled = true
	

	

		filter = sshd
	

	

		port = 22
	

	

		action = %(action_mwl)s
	

	

		logpath = /var/log/secure
	

参数说明：

	
	

		[sshd]：名称，可以随便填写
	

	

		filter：规则名称，必须填写位于filter.d目录里面的规则，sshd是fail2ban内置规则
	

	

		port：对应的端口
	

	

		action：采取的行动
	

	

		logpath：需要监视的日志路径
	

防止CC攻击

这里仅以Nginx为例，使用fail2ban来监视nginx日志，匹配短时间内频繁请求的IP，并使用firewalld将其IP屏蔽，达到CC防护的作用。

	
	

		#需要先新建一个nginx日志匹配规则
	

	

		vi /etc/fail2ban/filter.d/nginx-cc.conf
	

	

		#填写如下内容
	

	

		[Definition]
	

	

		failregex = -.*- .*HTTP/1.* .* .*$
	

	

		ignoreregex =
	

继续修改jail.local追加如下内容：

	
	

		[nginx-cc]
	

	

		enabled = true
	

	

		port = http,https
	

	

		filter = nginx-cc
	

	

		action = %(action_mwl)s
	

	

		maxretry = 20
	

	

		findtime = 60
	

	

		bantime = 3600
	

	

		logpath = /usr/local/nginx/logs/access.log
	

上面的配置意思是如果在60s内，同一IP达到20次请求，则将其IP ban 1小时，上面只是为了测试，请根据自己的实际情况修改。logpath为nginx日志路径。

防止Wordpress爆破

如果您经常分析日志会发现有大量机器人在扫描wordpress登录页面wp-login.php，虽然对方可能没成功，但是为了避免万一还是将他IP干掉为好。

	
	

		#需要先新建一个nginx日志匹配规则
	

	

		vi /etc/fail2ban/filter.d/wordpress.conf
	

	

		#填写如下内容
	

	

		[Definition]
	

	

		failregex = ^ -.* /wp-login.php.* HTTP/1\.."
	

	

		ignoreregex =
	

继续修改jail.local追加如下内容：

	
	

		[wordpress]
	

	

		enabled = true
	

	

		port = http,https
	

	

		filter = wordpress
	

	

		action = %(action_mwl)s
	

	

		maxretry = 20
	

	

		findtime = 60
	

	

		bantime = 3600
	

	

		logpath = /usr/local/nginx/logs/access.log
	

当然，别忘记输入systemctl restart fail2ban重启fail2ban使其生效。

总结

fail2ban已经内置很多匹配规则，位于/etc/fail2ban/filter.d/目录下，包含了常见的SSH/FTP/Nginx/Apache等日志匹配，如果都还无法满足您的需求，您也可以自行新建规则来匹配异常IP。使用fail2ban+Firewalld来阻止恶意IP是行之有效的办法，可极大提高服务器安全。

十一.设置grup密码

默认配置:无
加固方案:

1、输入grub密码。

	
	

		grub2-mkpasswd-pbkdf2
	

2、把输出纪录下来。

3、对/etc/grub.d/40_custom和/boot/grub2/grub.cfg进行备份。

	
	

		cp /etc/grub.d/40_custom /etc/grub.d/40_custom.backup
	

	

		cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg-bak
	

4、修改40_custom，在后面添加两行，把第一步的信息写到文件里去。

	
	

		vim /etc/grub.d/40_custom
	

	

		set superusers="root"
	

	

		password_pbkdf2 root grub.pbkdf2.sha512.10000.D83EEBCED27378122A16C68F775A8BF4F466CEF4A696F4733E5AC4029C3E574C766C95A8BCA991D4DB5257A7BF61242C36EEB071C81C97FE325CF43FAED7D61C.4905931D5723EB0C08E9714C0E9B3E7DDCD3B76E08996F7C88A1F742DB1656D74EE8DC83B2F3C58733C5C0F8A2DCBBEA96F2A0EC7CE4D49F786FEA411F631A80
	

5、重新启动grub菜单。

	
	

		grub2-mkconfig -o /boot/grub2/grub.cfg
	

.系统参数调优

默认配置:

无

加固方案:

	

		
		

			1.备份配置文件
		

		

			cp -a /etc/sysctl.conf /etc/sysctl.conf.default
		

		

			2.添加以下调优参数到该文件中
		

		

			net.ipv4.ip_forward = 1
		

		

			net.ipv4.conf.default.rp_filter = 1
		

		

			net.ipv4.conf.default.accept_source_route = 0
		

		

			kernel.sysrq = 0
		

		

			kernel.core_uses_pid = 1
		

		

			kernel.msgmnb = 65536
		

		

			kernel.msgmax = 65536
		

		

			kernel.shmmax = 68719476736
		

		

			kernel.shmall = 4294967296
		

		

			net.core.wmem_default = 8388608
		

		

			net.core.rmem_default = 8388608
		

		

			net.core.rmem_max = 16777216
		

		

			net.core.wmem_max = 16777216
		

		

			net.ipv4.route.gc_timeout = 20
		

		

			net.ipv4.tcp_retries2 = 5
		

		

			net.ipv4.tcp_wmem = 8192 131072 16777216
		

		

			net.ipv4.tcp_rmem = 32768 131072 16777216
		

		

			net.ipv4.tcp_mem = 94500000 915000000 927000000
		

		

			net.core.somaxconn = 32768
		

		

			net.core.netdev_max_backlog = 32764
		

		

			net.core.wmem_default = 8388608
		

		

			net.core.rmem_default = 8388608
		

		

			net.core.rmem_max = 16777216
		

		

			net.core.wmem_max = 16777216
		

		

			net.ipv4.ip_local_port_range = 1024 65535
		

		

			net.ipv4.tcp_retries2 = 5
		

		

			net.ipv4.tcp_timestamps = 0
		

		

			net.ipv4.tcp_tw_recycle = 1
		

		

			net.ipv4.tcp_keepalive_time = 1800
		

		

			net.ipv4.tcp_keepalive_probes = 3
		

		

			net.ipv4.tcp_keepalive_intvl = 30
		

		

			net.ipv4.tcp_max_orphans = 32768
		

		

			net.ipv4.tcp_wmem = 8192 131072 16777216
		

		

			net.ipv4.tcp_rmem = 32768 131072 16777216
		

		

			net.ipv4.tcp_mem = 94500000 915000000 927000000
		

		

			 
		

		

			fs.file-max = 1000000
		

		

			fs.inotify.max_user_instances = 8192
		

		

			kernel.pid_max = 65536
		

		

			net.ipv4.tcp_wmem = 4096 87380 8388608
		

		

			net.core.wmem_max = 8388608
		

		

			net.ipv4.tcp_window_scaling = 1
		

		

			net.ipv4.tcp_max_syn_backlog = 16384
		

		

			net.ipv4.tcp_syn_retries = 1
		

		

			net.ipv4.tcp_synack_retries = 1
		

		

			 
		

		

			 
		

		

			net.ipv4.tcp_syncookies = 1
		

		

			net.ipv4.tcp_tw_reuse = 1
		

		

			net.ipv4.tcp_fin_timeout = 30
		

		

			 
		

		

			net.ipv4.tcp_keepalive_time = 120
		

		

			net.ipv4.tcp_max_tw_buckets = 36000
		

	

	
	

		/sbin/sysctl -p /etc/sysctl.conf 
	

	

		/sbin/sysctl -w net.ipv4.route.flush=1