centos加固，ssh安全加固

大家好，centos加固相信很多的网友都不是很明白，包括ssh安全加固也是一样，不过没有关系，接下来就来为大家分享关于centos加固和ssh安全加固的一些知识点，大家可以关注收藏，免得下次来找不到哦，下面我们开始吧！

硬件服务器CentOS操作系统安全加固 操作说明

目录

执行记录

一、服务器安全加固

1.1服务器安全加固目的

确保项目应用运行正常，操作系统遵循合理安全设计和规则，对默认操作系统进行必要配置。

在服务器完成操作系统升级后进行。

1.2服务器操作系统安全加固

1.2.1操作系统升级

目的：确保操作系统安装正确补丁包。

命令：执行升级操作。

1.2.2操作系统用户设置

目的：设立正确用户，分配合理角色与密码。

Root密码：根据IT人员建议设置，或使用默认建议密码。

devops账户：用于系统配置与远程登录，禁止远程Root登录。

建议devops账户密码。

添加用户：根据需求创建合理用户与角色。

1.2.3操作系统远程登陆

禁用root与devops账号远程登录，禁止空密码。

操作：修改SSH配置文件，使用vi编辑并取消注释。

1.2.4安装fail2ban

fail2ban监控系统日志，匹配错误信息执行屏蔽动作。

添加EPEL，执行安装命令。

配置fail2ban服务，创建或编辑jail.local文件。

应用文件顺序：jail.conf, jail.d/*.conf, jail.local, jail.d/*.local。

1.2.4.1配置fail2ban

打开jail.local，配置内容。

重新启动fail2ban服务。

1.2.4.2查看fail2ban状态

查看fail2ban状态。

查看各模块状态。

1.2.4.3手工解封IP

手动解封IP。

1.3服务器操作系统安全加固确认

【史上最全】centOS/Linux系统安全加固方案手册

史上最全 CentOS/Linux系统安全加固指南

针对 CentOS 8.1版本，以下是一系列详细的系统安全强化措施，其他版本可参考执行：

1.账号和口令安全

1.1删除或锁定无用账号

执行：`userdel`删除不必要的账号，`passwd-l`锁定，`passwd-u`解锁。

1.2检查特殊账号

检查空口令和 root权限，通过 `awk`命令进行筛选并锁定异常账号。

1.3添加口令策略

修改 `/etc/login.defs`和 `/etc/pam.d`文件，设置复杂度限制和输错次数锁定。

1.4限制 su到 root

编辑 `/etc/pam.d/su`，限制特定用户对 root的权限。

1.5禁止 root直接登录

创建新用户并限制 root登录，修改 SSH配置。

1.6 SSH认证限制

限制 SSH登录尝试次数，修改 `/etc/ssh/sshd_config`。

2.服务安全

2.1关闭非必要服务

使用 `systemctl`或 `chkconfig`禁止开机启动。

2.2 SSH安全加固

修改 SSH配置，包括禁止 root登录、协议版本、错误次数和 IP访问。

2.3 selinux权限

禁用 selinux，设置核心转储限制。

2.4删除 rpcgen工具

检查并移除可能存在的 rpcgen工具。

2.5记录登录事件

启用审计规则，记录登录和登出信息。

3.文件系统与umask

3.1设置 umask

修改 `/etc/profile`，设置默认 umask为 027。

3.2登录超时

设置 `/etc/profile`中的 TMOUT为 180秒。

3.3配置 grub.cfg权限

限制/boot/efi/EFI/centos/grub.cfg的权限为 600。

4.日志管理

4.1 syslogd日志

启用默认日志并配置详细记录。

4.2记录用户操作日志

在 `/etc/profile`中编写脚本，记录用户操作到指定目录。

4.3安全组件日志

调整 SSH和日志服务设置，确保记录详细信息。

5.内核升级

定期执行内核升级，确保系统安全补丁。

腾讯云服务部署(Centos7)+ 安全加固配置

最后希望别再被攻击了~~~~

用户安全设置中绑定MFA，增加部分操作的二次认证。绑定过程需要微信添加虚拟MFA，操作还是比较简单的，可以自行参阅指导文档。

选中自己的服务器，点击更多，重装系统后，提示以上页面。

在服务市场选中需要安装的镜像，我这里选的是<u>腾讯云安全加固镜像-centos7</u>

可以先选中密码或者直接密钥登陆，如果使用密码建议使用随机16位密码进行配置。

最后开始重装，系统一会就重装好了。

这里介绍VNC登陆方式，主要是避免一部分无法使用ssh登陆服务器的，如果可以直接ssh登陆服务器的可以不用vnc登陆

点击VNC方式登陆，提示登陆用户名和密码，输入即可登陆服务器。

需要从控制台加载sshkey的话，需要关闭服务器。

加载完成后，服务器开机，尝试使用ssh登陆服务器

不想增加小号也可以修改为不允许密码登陆root

将sysrls用户加入sudo列表中，方便从sysrls用户切换用户等操作。

同时增加安全组配置（如果服务器firewalld或者iptables服务开着，还需要在服务器中配置端口放行）

禁用用户登陆的方法

或者可以使用 passwd-l用户来禁用用户

在系统加固安全防护上我还是个弟弟，所以只能稍微尽点人事，降低被木马的概率。