CentOS 7服務器的安全設置

■ 河北科技師范學院 趙學作 秦皇島市睿訊網絡科技有限公司 趙少農

編者按： CentOS 7作為服務器的常用系統，其安全性至關重要，因此本文將討論一系列CentOS 7服務器的安全設置，以最大化確保其安全。

CentOS（社區企業操作系統）是一個基于Red Hat Linux提供的可自由使用源代碼的企業級Linux發行版本，其最新版本為CentOS 7.6。CentOS 7在內核層面支持Docker容器技術，可以提高Docker穩定性和可靠性，也正因此CentOS 7成了服務器系統的最佳首選。

我們都知道配置任何服務器，都必須把不用的服務關閉、把系統權限設置到最小化，這樣才能保證服務器最大的安全，CentOS 7服務器安全設置也是如此。

修改SSH默認的22端口

用以下命令修改防火墻設置：

# f i r e w a l l-c m d--zone=public --addport=2019/tcp -permanent

# semanage port -a -t ssh_port_t -p tcp 2019

# semanage port -l |grep ssh

圖1 修改root用戶名

再修改sshd_config：

# vi /etc/ssh/sshd_config

在文件中加入一行：

Port=2019 #即把默認的22端口改成2019

保存文件后執行以下命令：

# systemctl restart sshd

# systemctl restart sshd.service

# systemctl restart firewalld.service

修改root用戶名

以root身份登錄終端，執行如圖1所示命令。

限制用戶SSH 登錄

1.只允許指定用戶進行登錄（白名單）。

在/e t c/s s h/s s h d_config配置文件中設置 AllowUsers選項，（配置完成需要重啟SSHD服務）格式如下：

AllowUsers qhdedu test@192.168.1.1

#允 許qhdedu和 從192.168.1.1登錄的test帳戶通過SSH登錄系統。

2.只拒絕指定用戶進行登錄（黑名單）。

在/etc/ssh/sshd_config配置文件中設置DenyUsers選項，（配置完成需要重啟SSHD服務）格式如下：

DenyUsers qhdedua qhdedub #拒絕CentOs系統賬戶qhdedua、qhdedub通過SSH登錄系統

限制IP SSH登錄

除了可以禁止某個用戶登錄，我們還可以針對固定的IP進行禁止登錄，CentOS服務器通過設置/etc/hosts.allow和/etc/hosts.deny這個兩個文件來進行控制，hosts.allow許可大于hosts.deny，可以限制或者允許某個或者某段IP地址遠程SSH登錄服務器。方法比較簡單，具體如圖2所示。

圖2 限制或允許某IP遠程SSH登錄服務器

圖3 設置系統口令策略

圖4 建議關閉的用戶

圖5 關閉系統一些不需要的服務

設置系統口令策略

如圖3所示。

防止IP SPOOF（欺騙）

# vi /etc/host.conf

添加： nospoof on不允許服務器對IP地址進行欺騙。

注釋掉系統不需要的用戶和用戶組

# vi /etc/passwd

在這個文件中，每行表示一個用戶，在前面加上#注釋掉此行，即暫時關閉此用戶，不建議直接刪除，待有需要時，去掉注釋即可，建議關閉的用戶如圖4所示。

# vi /etc/group #編輯用戶組，在前面加上#注釋掉此行，建議關閉的用戶組有：

#adm:x:4:root,adm,daemon

#lp:x:7:daemon,lp

#uucp:x:14:uucp

#games:x:20:

#dip:x:40:

根據實際需要，關閉系統一些不需要的服務

如圖5所示。

若想恢復某個服務，可使用“service servicename start”命令，如啟用藍牙服務：

# service Bluetooth start chkconfig Bluetooth on

修改別名文件

# vi /etc/aliases#建議注釋掉不要的

#games: root

#ingres: root

#system: root

#toor: root

#uucp: root

#manager: root

#dumper: root

#operator: root

#decode: root

#root: marc

修改后執行“/usr/

bin/newaliases”。

禁止使用Ctrl+Alt+Del快捷鍵重啟服務器

# cp /usr/lib/systemd/system/ctrl-altdel.target /usr/lib/systemd/system/ctrl-altdel.target.bak #修改前備份

直接編輯/usr/lib/systemd/system/ctrl-altdel.targe這個文件，按以往設置關閉這個功能的方式去操作：全部注釋掉文件中的內容即可。但由于此文件是/usr/lib/systemd/system/reboot.target的軟鏈接文件，這樣會使reboot命令失效。因此要想解決這個問題，只需刪除文件“/usr/lib/systemd/system/ctrl-alt-del.target”即可，同時執行#init q重新加載配置文件使配置生效，此 時Ctrl+Alt+Del失效，同時reboot也能用，恢復ctrl+ALt+Del只 需 將reboot.target文件軟鏈接成“ctrl-alt-del.target”即可。即：

# ln -s /usr/lib/systemd/system/reboot.target /usr/lib/systemd/system/ctrl-alt-del.target

圖6 限制不同文件的權限

服務器禁止ping

# cp /etc/rc.d/rc.local /etc/rc.d/rc.localbak #修改前備份

# vi /etc/rc.d/rc.local #修改文件，在文件末尾增加下面這一行

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #參數0表示允許，1表示禁止

修改history命令記錄

# cp /etc/profile /etc/profilebak #修改前備份

# vi /etc/profile

找到 HISTSIZE=1000 改為 HISTSIZE=50

隱藏服務器系統信息

默認情況下登錄到CentOS系統時，它會告訴該CentOS發行版的名稱、版本、內核版本、服務器的名稱。為了不讓這些默認的信息泄露出來，我們要進行下面的操作，讓它只顯示一個“login:”提示符。

刪 除/etc/issue和/etc/issue.net這兩個文件，或者把這兩個文件改名，效果是一樣的。

# mv /etc/issue /etc/issuebak

# mv /etc/issue.net/etc/issue.netbak

禁止非root用戶執行/etc/rc.d/init.d/下的系統命令

# chmod -R 700 /etc/rc.d/init.d/*

# chmod -R 777 /etc/rc.d/init.d/* #恢復默認設置

給下面的文件加上不可更改屬性，從而防止非授權用戶獲得權限

# chattr +i /etc/passwd

# chattr +i /etc/shadow

# chattr +i /etc/group

# chattr +i /etc/gshadow

# chattr +i /etc/services #給系統服務端口列表文件加鎖,防止未經許可的刪除或添加服務

# lsattr /etc/passwd/etc/shadow /etc/group/etc/gshadow /etc/services #顯示文件的屬性

注意：執行以上權限修改之后，就無法添加刪除用戶了。

如果再要添加刪除用戶，需要先取消上面的設置，等用戶添加刪除完成之后，再執行上面的操作。

# chattr

-i /etc/passwd #取消權限鎖定設置

# chattr -i /etc/shadow

# chattr -i /etc/group

# chattr -i /etc/gshadow

# chattr -i /etc/services #取消系統服務端口列表文件加鎖

現在可以進行添加刪除用戶了，操作完之后再鎖定目錄文件。

限制不同文件的權限

如圖6所示。