linux系统加固

一、内核参数加固： vim/etc/sysctl.conf net.ipv4.ip_forward=1//路由转发功能 net.ipv4.conf.all.log_martians=1//启用日志记录导演的IP地址数据包 net.ipv4.conf.all.send.redirects=0//禁用所有接口发icmp重定向 net.ipv4.conf.all.accept_source_route=0//禁用源路由数据包 net.ipv4.conf.all.accept_redirects=0//禁用接受icmp重定向 net.ipv4.conf.all.echo.ignore_broadcasts=1//禁用对ping广播响应 net.ipv4.conf.all.rp_filter=1//从同一个接口响应查询，而不是另一个接口，防IP欺骗 net.ipv4.tcp_syncookies=1//防syn的dos攻击 sysctl-p/etc/sysctl.conf//立即生效 二、授权认证加固 1、登陆提醒 vim/etc/issue.net 所有认证登陆已全程记录，不要做环事 2、防止按错到热启动重启系统rm-f/etc/systemd/system/ctrl-alt-del.tragerm-rf/usr/lib/systemd/system/ctrl-alt-del.target vim/etc/systemd/system.conf ctrlAltDelBurstAction=none systemctl daemon-reexec 3、设置终端超时退出 vim/etc/profile export TMOUT=300 4、禁止交互式启动 vim/etc/sysconfig/init PRMOMPT=no 5、单用户模式root进入设备密码 vim/etc/sysconfig/init SINGLE=/sbin/sulogin//增加一行 6、修改grub2的默认密码 grub2-mkpasswd-pbkdf2 vim/etc/grub2.cfg//追加如下，最后一行是上面命令生成的密码哈希，直接复制过来setsuperusers='root'//超级管理员用户 password_pbkdf2 root grup.pbkdf2.sha512.XXXXXXXXXX 7、限制用户登陆系统 usermod-L-s/sbin/nologin admin 8、禁止一些用户使用su命令切换root vim/etc/pam.d/su//只允许root和wheel群组账户使用su命令 auth reuired pam_wheel.so user_uid 9、防止su切换把当前用户环境变量带入其它环境 vim/etc/login.defs ALWAYS_SET_PATH=yes 10、设置口令有效期 PASS_MAX_DAYS 90 PASS_MIN_DAYS 0 PASS_MIN_LEN 5 PASS_WARN_AGE 7 11、设置密码的复杂度(两个文件前面添加两行)vim/etc/pam.d/password-auth password requisite pam_pwquality.so minlen=8 minclass=3 enforce_for_root try_first pass local_users_only retry=3 dcredit=0 ucredit=0 lcredit=0 ocredit=0 password requisite pam_pwhistory.so use_authtok remember=5 enforce_for_root vim/etc/pam.d/system-auth password requisite pam_pwquality.so minlen=8 minclass=3 enforce_for_root try_first pass local_users_only retry=3 dcredit=0 ucredit=0 lcredit=0 ocredit=0 password requisite pam_pwhistory.so use_authtok remember=5 enforce_for_root 12、密码错误3次锁定300秒（两个文件都加入三行)vim/etc/pam.d/password-auth vim/etc/pam.d/system-auth auth required pam_faillock.so preauth audit deny=3 even_deny_root unlock_time=300 auth[default=die]pam_faillock.so authfail audit deny=3 even_deny_root unlock_time=300 auth sufficient pam_faillock.so authsucc audit deny=3 even_deny_root unlock_time=300 13、删除无主文件 find/-nouserrm-f filename//删除查到的文件 14、删除群组ID不存在文件 find/-nogrouprm-r filename 15、限制at命令使用权限只能是rootrm-f/etc/at.deny touch/etc/at.allow chown root:root/etc/at.allow chmod og-rwx/etc/at.allow 16、限制cron命令使用权限只能是rootrm-f/etc/cron.deny touch/etc/cron.allow chown root:root/etc/cron.allow chmod og-rwx/etc/cron.allow 17、禁用其它用户sudo提权 vim/etc/sudoers#%wheel ALL=(ALL) ALL //注释掉18、ssh服务加固 vim/etc/ssh/sshd_config MaxAuthTries 3//错三次锁60秒 PermitEmptyPasswords no//禁止使用空密码连接 lgnoreRhosts yes//禁止rhosts信任主机无密码登录 PrintLastLog yes//开户登陆提示上一次的最后登陆时间 ClientAliveInterval 900 ClientAliveCountMax 0//900秒无操作自动断 ListenAddress 192168.1.10//指定本机哪个IP监听 DenyUsers$admin//禁止admin用ssh连接 PermitRootLogin no//禁止root远程登陆，也不能普通用户切root 三、防火墙配置安全 1、iptables安装 dnf install iptables policycoreutils service iptablesstartsystemctl enable--now iptables iptables-F//清规则 步骤2允许所有来源的IP访问TCP22端口(C)penSSH iptables-A INPUT-p tcp--dport 22-m conntrack--ctstate NEW,ESTABLISHED-j ACCEPT iptables-A OUTPUT-p tcp--sport 22-m conntrack--ctstate ESTABLISHED-j ACCEPT 步骤3允许本机访问内网(192.168.0.0/24)所有主机的TCP22端口(OpenSSH)iptables-A OUTPUT-p tcp-s 192.168.0.0/24--dport 22-m conntrack--ctstate NEW,ESTABLISHED-j ACCEPT iptables-A INPUT-p tcp--sport 22-m conntrack--ctstate ESTABLISHED-j ACCEPT 4、禁止主动访问其它，防御反弹攻击 iptables-P INPUT DROP iptables-P FORWARD DROP iptables-P OUTPUT DROP 5、步骤5允许本机ping其他主机 iptables-A OUTPUT-p icmp--icmp-typeecho-request-j ACCEPT iptables-A INPUT-p icmp--icmp-typeecho-reply-j ACCEPT 步骤6允许本机访问远程主机的UDP53端口(DNS)iptables-A INPUT-p udp-m udp--sport 53-j ACCEPT iptables-A OUTPUT-p udp-m udp--dport 53-j ACCEPT 步骤7允许环回连接 iptables-A INPUT-i lo-jACCEPT iptables-A OUTPUT-o lo-j ACCEPT 步骤8允许已建立和相关传入连接 iptables-A INPUT-m conntrack--ctstate ESTABLISHED,RELATED-j ACCEPT 步骤9允许已建立的传出连接 iptables-A OUTPUT-m conntrack--ctstate ESTABLISHED-j ACCEPT 保存配置 service iptables save 2、iptables当路由器用 开启ip路由转发功能 sysctl-w net.ipv4.ip_forward=1 配置SNAT并查看 iptables-tfilter-A FORWARD-j ACCEPT iptables-t nat-A POSTROUTING-o ens3-s 192.168.0.0/24-j SNAT--to 192.168.0.48 iptables-t nat-nvL--line-numbers 配置DNAT对外映射80 iptables-t nat-A PREROUTING-d 192.168.0.48-p tcp-m tcp--dport 80-j DNAT--to-destination192.168.0.49:80 iptables-t nat-nvL--line-numbers//查看目的nat service iptables save 记住要添加路由 3、firewalld使用 dnf-y install firewalld firewall-config systemctl unmask--now firewalld.service systemctl enable--now firewalld.service 开源NAT转换 步骤1开启路由转发功能[root@Jumpserver ~]# sysctl -w net.ipv4.ip_forward=1net.ipv4.ip_forward = 1步骤2开启地址伪装功能[root@Jumpserver ~]# firewall-cmd --add-masqueradeSuccess 配置目的nat firewall-cmd--zone=public--add-forward-port=port=80:proto=tcp:toport=80:toaddr=192.168.0.86 查看[root@Jumpserver ~]# firewall-cmd --list-all4、添加服务到防火墙 firewall-cmd--add-service=http firewall-cmd--list-services 5、禁止ping本机 firewall-cmd--add-rich-rule='rule family=ipv4 protocol value=icmp reject'6、当192.168.0.209访问本机5555端口时,将请求转发到本机22端口。[root@Server ~]# firewall-cmd --add-rich-rule='rule family=ipv4 source address=192.168.0.209 forward-port port=5555 protocol=tcp to-port=22'[root@Server ~]# firewall-cmd --add-masqueradefirewall-cmd--runtime-to-permanent 永久保存配置 firewall-cmd--reload 重新加载 三、SElinux安全 SELinux的三种工作模式为 强制模式（Enforcing） 、 宽容模式（Permissive） 和 禁用模式（Disabled） ，具体区别如下1： 强制模式（Enforcing） 特点 ：严格遵循安全策略，违规访问会被立即拒绝并记录日志，是生产环境的首选模式1。 适用场景 ：日常运行、高安全性需求场景，确保资源访问的严格管控。 宽容模式（Permissive） 特点 ：允许所有访问操作，但会记录违规行为（如拒绝访问的详细信息），不阻止程序运行，常用于问题排查和调试1。 适用场景 ：系统维护、新服务部署前的测试阶段，避免因策略问题导致服务中断。 禁用模式（Disabled） 特点 ：完全关闭SELinux，系统恢复为传统自主访问控制（DAC），不执行任何安全检查1。 适用场景 ：需临时禁用SELinux的场景（如已知策略冲突需修复时），但 强烈不建议长期使用 ，存在安全风险。 getenforce dnf install selinux-policy-targeted,policycoreutils-python-utilsps-eZ|grep httpd//查看httpd进程上下文 semanage port-l|grep http//查看允许httpd侦听的端口 ausearch-m avc-c httpd//查看selinux日志 semanage port-a-t http_port_t-p tcp 82//给http加允许端口