1、网络信息配置

1.1、CentOS7中ifcfg-ens33配置详解

DEVICE     接口名（设备,网卡）
USERCTL    [yes|no]（非root用户是否可以控制该设备）
BOOTPROTO  IP的配置方法[none|static|bootp|dhcp]（引导时不使用协议|静态分配IP|BOOTP协议|DHCP协议）
HWADDR     MAC地址   
ONBOOT     系统启动的时候网络接口是否有效（yes/no）   
TYPE       网络类型（通常是Ethemet）   
NETMASK    网络掩码   
IPADDR     IP地址   
IPV6INIT   IPV6是否有效（yes/no）   
GATEWAY    默认网关IP地址
BROADCAST  广播地址
NETWORK  网络地址

#########start设置静态地址例子#########
TYPE="Ethernet"
PROXY_METHOD="none"
BROWSER_ONLY="no"
#BOOTPROTO="dhcp"
DEFROUTE="yes"
IPV4_FAILURE_FATAL="no"
IPV6INIT="yes"
IPV6_AUTOCONF="yes"
IPV6_DEFROUTE="yes"
IPV6_FAILURE_FATAL="no"
IPV6_ADDR_GEN_MODE="stable-privacy"
NAME="ens33"
UUID="ac9b66bf-74fb-4bda-b89f-c66ff84c9571"
DEVICE="ens33"
#ONBOOT="yes"

#static assignment
NM_CONTROLLED=no #表示该接口将通过该配置文件进行设置，而不是通过网络管理器进行管理
ONBOOT=yes #开机启动
BOOTPROTO=static #静态IP
IPADDR=192.168.59.134 #本机地址
NETMASK=255.255.255.0 #子网掩码
GATEWAY=192.168.59.2 #默认网关
DNS1=8.8.8.8
DNS2=8.8.4.4

2、系统加固

2.1、控制系统账户：

系统账户默认存放在cat /etc/passwd中，你可以手动查询用户信息，我们直接除了Root账户需要登录以外，其他的账户全部设置为禁止登录。使用 passwd -l 用户名 锁定用户登录。如下脚本显示账号密码状态。

#!/bin/bash

user=`cut -d ":" -f 1 /etc/passwd`
echo $user
for  u in $user
do
        passwd -S $u
done

2.2、修改口令生存期：

口令生存期，即用户密码的过期时间，默认在cat /etc/login.defs | grep "PASS" 中存储着，我们需要把这个时间改小，如下配置即可。

[root@vm01-gpu01 ~]# cat /etc/login.defs  | grep PASS
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
PASS_MAX_DAYS   99999
PASS_MIN_DAYS   0
PASS_MIN_LEN    5
PASS_WARN_AGE   7
[root@vm01-gpu01 ~]#
[root@vm01-gpu01 ~]# cat /etc/login.defs  | grep PASS
#       PASS_MAX_DAYS   Maximum number of days a password may be used.
#       PASS_MIN_DAYS   Minimum number of days allowed between password changes.
#       PASS_MIN_LEN    Minimum acceptable password length.
#       PASS_WARN_AGE   Number of days warning given before a password expires.
PASS_MAX_DAYS   90      #密码可以使用的最大天数
PASS_MIN_DAYS   0       #密码更改之间允许的最小天数
PASS_MIN_LEN    8       #可接受的最小密码长度
PASS_WARN_AGE   7       #密码过期前发出警告的天数
[root@vm01-gpu01 ~]#

3、设置口令复杂度：

设置新建用户时输入的口令复杂程度，该配置默认在cat /etc/pam.d/system-auth 文件中存放。

[root@vm01-gpu01 ~]# echo password    required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10 >> /etc/pam.d/system-auth
[root@vm01-gpu01 ~]# cat /etc/pam.d/system-auth
#%PAM-1.0
# This file is auto-generated.
# User changes will be destroyed the next time authconfig is run.
auth        required      pam_env.so
auth        required      pam_faildelay.so delay=2000000
auth        sufficient    pam_unix.so nullok try_first_pass
auth        requisite     pam_succeed_if.so uid >= 1000 quiet_success
auth        required      pam_deny.so

account     required      pam_unix.so
account     sufficient    pam_localuser.so
account     sufficient    pam_succeed_if.so uid < 1000 quiet
account     required      pam_permit.so

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok
password    required      pam_deny.so

session     optional      pam_keyinit.so revoke
session     required      pam_limits.so
-session     optional      pam_systemd.so
session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid
session     required      pam_unix.so
password required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10
[root@vm01-gpu01 ~]#

在上方文件中添加如下一行配置，其含义是重试次数3次、至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10

4、限制登录超时：

限制用户登陆成功后的等待时间，当用户终端无操作时则默认断开连接。

[root@vm01-gpu01 ~]# echo "TMOUT=300" >> /etc/profile
[root@vm01-gpu01 ~]# echo "export TMOUT" >> /etc/profile
[root@vm01-gpu01 ~]# cat /etc/profile
# /etc/profile

TMOUT=300
export TMOUT
[root@vm01-gpu01 ~]#

5、限制TTY尝试次数：

该配置可以有效的防止，爆破登录情况的发生，其配置文件在cat /etc/pam.d/login中添加如下配置，这个方法只是限制用户从TTY终端登录，而没有限制远程登录。

[root@vm01-gpu01 ~]# echo "auth required  pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10" >>/etc/pam.d/login
[root@vm01-gpu01 ~]# cat /etc/pam.d/login
#%PAM-1.0

auth required  pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10
[root@vm01-gpu01 ~]# pam_tally2 --user admin    #查看远程登陆次数
Login           Failures Latest failure     From
admin               0

6、修改SSH远程端口：

修改SSH登录端口，这里可以修改为高位端口，因为Nmap扫描器默认也就探测0-1024端口，这样能够有效的规避扫描。

[root@vm01-gpu01 ~]# cat /etc/ssh/sshd_config | grep Port
#Port 22
#GatewayPorts no
[root@vm01-gpu01 ~]# cat /etc/ssh/sshd_config | grep  MaxAuth
#MaxAuthTries 6
修改后
[root@vm01-gpu01 ~]# cat /etc/ssh/sshd_config | grep Port
Port 5555
#GatewayPorts no
[root@vm01-gpu01 ~]# cat /etc/ssh/sshd_config | grep  MaxAuth
MaxAuthTries 6
[root@vm01-gpu01 ~]#

7、禁止Root用户登录：

首先创建一个普通用户 sysadmin ，然后修改/etc/sudoers配置好Sudo授权，需要时使用Sudo授权执行命令，禁止Root用户登录主机。

[root@vm01-gpu01 ~]# useradd sysadmin
[root@vm01-gpu01 ~]# passwd sysadmin
Changing password for user sysadmin.
New password:
BAD PASSWORD: The password fails the dictionary check - it is based on a dictionary word
Retype new password:
passwd: all authentication tokens updated successfully.
[root@vm01-gpu01 ~]#
[root@vm01-gpu01 ~]# vi /etc/sudoers

## Allow root to run any commands anywhere
root    ALL=(ALL)       ALL
sysadmin        ALL=(ALL)       ALL

[root@vm01-gpu01 ~]# cat /etc/ssh/sshd_config  | grep Root
#PermitRootLogin yes
修改配置
[root@vm01-gpu01 ~]# cat /etc/ssh/sshd_config  | grep Root
PermitRootLogin no

8、指定被允许用来使用SSH的用户名

指定那些被允许用来使用SSH的用户名，从而使得SSH服务更为安全。

[root@vm01-gpu01 ~]#vim /etc/ssh/sshd_config
 
AllowUsers sysadmin          # 指定允许登录的用户
AllowGroup sysadmin         # 指定允许登录的用户组

9、登录警告提示：

通过修改 /etc/motd和/etc/issue.net来实现弹出警告提示框，当用户远程登陆以后就会提示以下的两行文字。

10、限制Umask值： umask 值用于设置文件的默认属性，系统默认的Umask 值是0022，也就是U权限不动，G权限减去2，O权限减2，这里为了防止上传一句话木马，我们将系统的Umask值改为0777，也就是说，当用户新建任何文件的时候，其都不会具有（读写执行）权限，就算上传成功也不具有任何权限。

11、锁定系统文件： 锁定文件是Linux系统中最为强大的安全特性，任何用户(即使是root)，都无法对不可修改文件进行写入、删除、等操作，我们将一些二进制文件设置为只读模式，能够更好的防止系统被非法篡改或注入恶意代码，一般情况下/sbin 和/usr/lib两个目录内容能被设置为不可改变。

12、限制GCC编译器： 如果系统已经被黑客入侵，那么黑客的下一个目标应该是编译一些POC文件，用来提权，从而在几秒钟之内就成为了root用户，那么我们需要对系统中的编译器进行一定的限制。

首先，你需要检查单数据包以确定其包含有哪些二进制文件。然后将这些文件全部设置为000无权限。

[root@localhost ~]# rpm -q --filesbypkg gcc | grep "bin"
[root@localhost ~]# chmod 000 /usr/bin/c89 
[root@localhost ~]# chmod 000 /usr/bin/c99 
[root@localhost ~]# chmod 000 /usr/bin/cc
[root@localhost ~]# chmod 000 /usr/bin/gcc
[root@localhost ~]# chmod 000 /usr/bin/gcc-*
[root@localhost ~]# chmod 000 /usr/bin/gcc-*

然后，单独创建一个可以访问二进制文件的编译器的组，赋予他这个组相应的权限。

[root@localhost ~]# groupadd compilerGroup
[root@localhost ~]# chown root:compilerGroup /usr/bin/gcc
[root@localhost ~]# chmod 0750 /usr/bin/gcc

至此，任何试图使用gcc的用户将会看到权限被拒绝的信息。

[lyshark@localhost ~]$ gcc -c test.c 
-bash: /usr/bin/gcc: Permission denied

13、限制日志文件： 接着我们需要对日志文件，进行一定的限制，因为一般情况如果系统被入侵了，日志文件将对我们取证有所帮助，而一旦被入侵以后，黑客首先会想办法清除这些痕迹，所以我们需要设置日志文件只能增加不能删除属性，防止其将日志删除掉。

[root@localhost ~]# cd /var/log/
[root@localhost log]# chattr +a dmesg cron lastlog messages secure wtmp 

[root@localhost log]# lsattr secure 
-----a---------- secure

[root@localhost log]# rm -fr secure 
rm: cannot remove ‘secure’: Operation not permitted

14、最小化防火墙规则： 配置防火墙，拒绝所有端口，只放行SSH，HTTP这两个必要的端口。

[root@localhost ~]# iptables -F
[root@localhost ~]# iptables -p INPUT DROP
[root@localhost ~]# iptables -I INPUT -p tcp --dport 6553 -j ACCEPT
[root@localhost ~]# iptables -I OUTPUT -p tcp --dport 6553 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --doprt 80 -j ACCEPT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 443 -j ACCEPT
[root@localhost ~]# iptables-save

15、开启SELinux： 由于系统管理员都会关闭，所以这里要手动开启。

[root@localhost ~]# vim /etc/selinux/config

This file controls the state of SELinux on the system.
SELINUX= can take one of these three values:
enforcing - SELinux security policy is enforced.
permissive - SELinux prints warnings instead of enforcing.
disabled - No SELinux policy is loaded.
SELINUX=enforcing

[root@localhost ~]# setenforce 1

开启SeLinux后，会发现sshd服务无法正常启动了，这是因为SELinux策略生效了，下面我们需要修改配置。

16、SELinux放行SSH端口： 通过 Semanage 管理工具放行6553这个端口。

[root@localhost ~]# yum install -y policycoreutils-python-2.5-29.el7.x86_64

[root@localhost ~]# semanage port -l | grep ssh
ssh_port_t                     tcp      22

[root@localhost ~]# semanage port -a -t ssh_port_t -p tcp 6553

[root@localhost ~]# semanage port -l | grep ssh
ssh_port_t                     tcp      6553, 22

17、设置Web目录权限： 通过 semanage 命令设置，web目录权限。

[root@localhost html]# semanage fcontext -a -t httpd_sys_content_t /var/www/html/index.html

[root@localhost html]# ls -Z
-rw-r--r--. root root unconfined_u:object_r:httpd_sys_content_t:s0 index.html