Centos 基本安全加固
确保root是唯一的UID为0的帐户 或者修改root用户名称为其他用户
除root以外其他UID为0的用户(查看命令cat /etc/passwd | awk -F: '($3 == 0) { print $1 }'|grep -v '^root$')都应该删除,或者为其分配新的UID 或者修改root用户
例如: hanye:x:0:0:root:/root:/bin/bash 登录使用hanye用户登录
开启地址空间布局随机化
在/etc/sysctl.conf 文件中设置以下参数: kernel.randomize_va_space = 2
或者执行命令: sysctl -w kernel.randomize_va_space=2
设置用户权限配置文件的权限
chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadow
chmod 0644 /etc/group
chmod 0644 /etc/passwd
chmod 0400 /etc/shadow
chmod 0400 /etc/gshadow
chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow
访问控制配置文件的权限设置
chown root:root /etc/hosts.allow
chown root:root /etc/hosts.deny
chmod 644 /etc/hosts.deny
chmod 644 /etc/hosts.allow
确保SSH LogLevel设置为INFO,记录登录和注销活动
编辑 /etc/ssh/sshd_config 文件以按如下方式设置参数(取消注释):
LogLevel INFO
确保rsyslog服务已启用 记录日志用于审计
systemctl enable rsyslog
systemctl start rsyslog
设置SSH空闲超时退出时间,可降低未授权用户访问其他用户SSH会话的风险
编辑/etc/ssh/sshd_config,将ClientAliveInterval 设置为300到900,即5-15分钟,将ClientAliveCountMax设置为0-3之间。
ClientAliveInterval 600
ClientAliveCountMax 2
或者设置: cat /etc/profile 添加 export TMOUT=600
设置较低的Max AuthTrimes参数将降低SSH服务器被暴力***成功的风险。
在/etc/ssh/sshd_config中取消MaxAuthTries注释符号#,设置最大密码尝试失败次数3-6,
MaxAuthTries 4
确保密码到期警告天数为7或更多
在 /etc/login.defs 中将 PASS_WARN_AGE 参数设置为7-14之间,建议为7:
PASS_WARN_AGE 7
同时执行命令使root用户设置生效:
chage --warndays 7 root
禁止SSH空密码用户登录
编辑文件/etc/ssh/sshd_config,将PermitEmptyPasswords配置为no:
PermitEmptyPasswords no
强制用户不重用最近使用的密码,降低密码猜测***风险
在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so 这行的末尾配置remember参数为5-24之间,原来的内容不用更改,只在末尾加了remember=5。
检查密码长度和密码是否使用多种字符类型
编辑/etc/security/pwquality.conf,把minlen(密码最小长度)设置为8-32位,把minclass(至少包含小写字母、大写字母、数字、特殊字符等4类字符中的3类或4类)设置为3或4。如:
minlen=10
minclass=3
设置密码修改最小间隔时间,限制密码更改过于频繁
在 /etc/login.defs 中将 PASS_MIN_DAYS 参数设置为7-14之间,建议为7:
PASS_MIN_DAYS 7
需同时执行命令为root用户设置:
chage --mindays 7 root
设置密码失效时间,强制定期修改密码,减少密码被泄漏和猜测风险,使用非密码登录方式
使用非密码登录方式如密钥对,请忽略此项。在 /etc/login.defs中将 PASS_MAX_DAYS 参数设置为 60-180之间,如:
PASS_MAX_DAYS 90
需同时执行命令设置root密码失效时间:
chage --maxdays 90 root
redis 安全配置
redis 修改或者禁用危险的命令,或者尽量避免谁都可以使用这些命令
rename-command FLUSHALL "" #禁用 FLUSHALL
rename-command FLUSHDB "" #禁用 FLUSHDB
rename-command CONFIG "" #禁用 CONFIG
rename-command KEYS "" #禁用 KEYS
rename-command SHUTDOWN "" #禁用 SHUTDOWN
rename-command DEL "" #禁用 DEL
rename-command EVAL "" #禁用 EVAL
或者替换为其他执行命令
rename-command FLUSHALL deleteall #FLUSHALL 命令修改为 deleteall
rename-command FLUSHDB deletedatabase #FLUSHDB 命令修改为 deletedatabase
rename-command CONFIG
rename-command KEYS
rename-command SHUTDOWN
rename-command DEL
rename-command EVAL
修改 默认监听端口和ip地址
找到redis.conf 修改 port 和 bind 配置
vim /usr/local/redis/etc/redis.conf
port 8369 #修改端口为8369
bind 127.0.0.1 10.29.129.179 #修改监听ip 如果是自己内网链接 监听127.0.0.1,如果内网其他服务器也要链接 则监听内网ip地址
限制redis 配置文件访问权限
chmod 600 /usr/local/redis/etc/redis.conf
禁止root用户启动
groupadd -g 1002 redis
useradd -g 1002 -u 1002 -M -s /sbin/nolog redis
sudo -u redis /use/local/bin/redis-server /usr/local/redis/etc/redis.conf
打开保护模式(访问控制)
打开保护模式 protected-mode yes
mysql安全配置
MySQL服务不允许匿名登录
delete from user where user='';
flush privileges
禁用local-infile选项
禁用local_infile选项会降低***者通过SQL注入漏洞器读取敏感文件的能力
编辑Mysql配置文件 my.cnf,在mysqld 段落中配置local-infile参数为0,并重启mysql服务:
local-infile=0
禁用skip_symbolic_links选项 禁用符号链接以防止各种安全风险
skip_symbolic_links=yes
修改默认3306端口
编辑my.cnf文件,mysqld 段落中配置新的端口参数,并重启MySQL服务
port=33066
禁止使用--skip-grant-tables选项启动MySQL服务
编辑Mysql配置文件my.cnf,删除skip-grant-tables参数,并重启mysql服务
确保log-raw选项没有配置为ON
当log-raw记录启用时,有权访问日志文件的人可能会看到纯文本密码。
编辑Mysql配置文件my.cnf,删除log-raw参数,并重启mysql服务
Nginx安全加固
Nginx后端服务指定的Header隐藏状态 隐藏Nginx后端服务X-Powered-By头
隐藏Nginx后端服务指定Header的状态:
在http下配置proxy_hide_header项;
增加或修改为 proxy_hide_header X-Powered-By; proxy_hide_header Server;
检查是否配置Nginx账号锁定策略
Nginx服务建议使用非root用户(如nginx,www)启动,并且确保启动用户的状态为锁定状态。可执行passwd -l <Nginx启动用户> 如passwd -l nginx 来锁定Nginx服务的启动用户。命令 passwd -S <用户> 如passwd -S nginx可查看用户状态。 修改配置文件中的nginx启动用户修改为nginx或者www 如: user www; 如果您是docker用户,可忽略该项(或添加白名单)
Nginx进程启动账号状态,降低被***概率
修改Nginx进程启动账号:
查看配置文件的user配置项,确认是非root启动的;(user 配置项)
如果是root启动,修改成www或者nginx账号;
修改完配置文件之后需要重新启动Nginx。
Nginx服务的版本隐藏状态
在http配置项下 配置server_tokens项 server_tokens off;
把控配置文件权限以抵御外来***
修改Nginx配置文件权限: 执行chmod 644 conf/vhost/*.conf conf/nginx.conf 来限制Nginx配置文件的权限
SSL加固
配置支持TLSv1.2;
server {
ssl_protocols TLSv1.2;
}
如果没有必要 不要启用目录列表,这在***者侦察中可能很有用,因此应将其禁用。如果要打开 不要忘记设置登录验证密码
在location下删除或者修改为 autoindex off;
加密方式:
yum install -y httpd-tools
htpasswd -c /usr/local/nginx/conf/passwd_xuqiu xuqiu
然后赋值密码
nginx调用授权密码文件
server {
auth_basic "Please input password"; #这里是验证时的提示信息
auth_basic_user_file /usr/local/nginx/conf/passwd_xuqiu;
}