【OS】CentOS7 系统服务器初始化配置、安全加固、内核升级优化

我国实行网络安全等级保护制度，等级保护对象分为五个级别，由一到五级别逐渐升高，每一个级别的要求存在差异，级别越高，要求越严格。

第一级，自主保护级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息系统。

第二级，指导保护级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。

第四级，强制保护级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

第五级，专控保护级：信息系统受到破坏后，会对国家安全造成特别严重损害。一般适用于国家重要领域、重要部门中的极端重要系统。

三级等保指信息系统经过定级、备案这一流程之后，确定为第三级的信息系统，那么就需要做三级等保。

在我国，“三级等保”是对非银行机构的最高等级保护认证，一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云（服务商）平台和其他重要系统。

这一认证由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

一般我们生活中接触多的定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云（服务商）平台和其他重要系统。

根据《信息系统安全等级保护基本要求》，三级等保的测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面，包含信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类73类。

通过“三级等保”认证，表明企业的信息安全管理能力达到国内最高标准。

CentOS7 系统服务器初始化配置、安全加固、内核升级优化

>使用下面命令，查看系统是否含有pam_tally2so模块，如果没有就需要使用pam_tallyso模块，两个模块的使用方法不太一样，需要区分开来。

编辑系统/etc/pamd/system-auth 文件，一定要在pam_envso后面添加如下策略参数：

上面只是限制了从终端su登陆，如果想限制ssh远程的话，要改的是/etc/pamd/sshd这个文件，添加的内容跟上面一样！

编辑系统/etc/pamd/sshd文件，注意添加地点在#%PAM-10下一行，即第二行添加内容

ssh锁定用户后查看：

编辑系统 /etc/pamd/login 文件，注意添加地点在#%PAM-10的下面,即第二行，添加内容

tty登录锁定后查看：

编辑 /etc/pamd/remote文件，注意添加地点在pam_envso后面,参数和ssh一致

Linux系统基本 *** 作

文件结构图及关键文件功能介绍

Linux文件结构

Linux文件结构图

二级目录

| 目录 | 功能 |
| /bin | 放置的是在单人维护模式下能被 *** 作的指令，在/bin底下的指令可以被root与一般账号所使用 |
| /boot | 这个目录只要在放置开机会使用到的文件，包括 Linux核心文件以及开机选单与开机所需配置的文件等等 |
| /dev | 在Linux系统上，任何装置与接口设备都是以文件的形态存在于这个目录当中的 |
| /etc |

系统主要的配置文件几乎都放在这个目录内，例如人员账号密码各种服务的启动档，系统变量配置等

|
| /home | 这个是系统默认的用户家目录（home directory) |
| /lib | /lib放置的则是在开机时会用到的函式库，以及在/lib或/sbin底下的指令会呼叫的函式库 |
| /media | /media底下放置的是可以移出的装置，包括软盘、光盘、DVD等等装置都挂载于此 |
| /opt | 给第三方协议软件放置的目录 |
| /root | 系统管理员（root）的家目录 |
| /sbin | 放置/sbin底下的为开机过程中所需要的，里面包括了开机、修复、还原系统所需的指令。 |
| /srv | srv可视为[service]的缩写，是一些网络服务启动之后，这些服务所需要取用的数据目录 |
| /tmp | 这是让一般使用者或是正在执行的程序暂时放置文件的地方 |

文件

账号和权限

系统用户

超级管理员 uid=0

系统默认用户 系统程序使用，从不登录

新建普通用户 uid大于500

/etc/passwd

/etc/shadow

用户管理

权限管理

解析文件权限

文件系统安全

查看权限：ls -l

修改权限：

chmod

chgrp

设置合理的初始文件权限

很奇妙的UMASK:

umask值为0022所对应的默认文件和文件夹创建的缺省权限分别为644和755

文件夹其权限规则为：777-022-755

文件其权限规则为：777-111-022=644（因为文件默认没有执行权限）

修改UMASK值：

1、直接在命令行下 umask xxx(重启后消失）

2、修改/etc/profile中设定的umask值

系统加固

锁定系统中多余的自建账号

检查shadow中空口令账号

检查方法：

加固方法：

使用命令passwd -l <用户名> 锁定不必要的账号

使用命令passwd -u <用户名>解锁需要恢复的账号

使用命令passwd <用户名> 为用户设置密码

设置系统密码策略

执行命令查看密码策略设置

加固方法：

禁用root之外的超级用户

检测方法：

awk -F ":" '( 1}' /etc/passwd

加固方法：

passwd -l <用户名>

限制能够su为root的用户

查看是否有auth required /libsecurity/pam_whellso这样的配置条目

加固方法：

重要文件加上不可改变属性

把重要文件加上不可改变属性

Umask安全

SSH安全：

禁止root用户进行远程登陆

检查方法：

加固方法：

更改服务端口：

屏蔽SSH登陆banner信息

仅允许SSH协议版本2

防止误使用Ctrl+Alt+Del重启系统

检查方法：

加固方法：

设置账号锁定登录失败锁定次数、锁定时间

检查方法：

修改账号TMOUT值，设置自动注销时间

检查方法：

cat /etc/profile | grep TMOUT

加固方法：

vim /etc/profile

增加

TMOUT=600 无 *** 作600秒后自动退出

设置BASH保留历史命令的条目

检查方法：

cat /etc/profile | grep HISTSIZE

加固方法：

vim /etc/profile

修改HISTSIZE=5即保留最新执行的5条命令

设置注销时删除命令记录

检查方法：

cat /etc/skel/bash_logout 增加如下行

rm -f $HOME/bash_history

这样，系统中的所有用户注销时都会删除其命令记录，如果只需要针对某个特定用户，，如root用户进行设置，则可只在该用户的主目录下修改/$HOME/bash_history文件增加相同的一行即可。

设置系统日志策略配置文件

日志的主要用途是 系统审计 、监测追踪和分析。为了保证 Linux 系 统正常运行、准确解决遇到的各种样统问题，认真地读取日志文件是管理员的一项非常重要任务。

UNIX/ Linux 采用了syslog 工具来实现此功能，如果配置正确的 话，所有在主机上发生的事情都会被记录下来不管是好还是坏的 。

检查方法：

cat /etc/profile | grep HISTSIZE

确定syslog服务是否启用

查看syslogd的配置，并确认日志文件是否存在

阻止系统响应任何从外部/内部来的ping请求

加固方法：

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

应邀回答行业问题
Linux系统广泛被应用在服务器上，服务器存储着公司的业务数据，对于互联网公司数据的安全至关重要，各方面都要都要以安全为最高优先级，不管是服务器在云端还在公司局域网内，都要慎之又慎。
如果黑客入侵到公司的Linux服务器上，执行下面的命令，好吧，这是要彻底摧毁的节奏，5分钟后你只能呵呵的看着服务器了，为什么要seek呢？给你留个MBR分区。
dd if=/dev/zero of=/dev/sda bs=4M seek=1
Linux系统的安全加固可分为系统加固和网络加固，每个企业的业务需求都不一样，要根据实际情况来配置。比如SSH安全、账户弱口令安全、环境安全、关闭无用服务、开启防火墙等，已经Centos7为例，简单说下linux系统SSH网络安全加固。
SSH安全
将ssh服务的默认端口22修改为其他端口，并限制root用户登陆，配置firewall允许ssh端口通过。
[root@api ~]#sed -i 's#Port 22#Port 6022#' /etc/ssh/sshd_config
[root@api ~]#echo 'PermitRootLogin no' /etc/ssh/sshd_config
[root@api ~]# firewall-cmd --zone=public --add-port=6022/tcp --permanent
[root@api ~]# firewall-cmd --reload
限制访问ssh的用户和IP
[root@api ~]#echo 'AllowUsers NAME' >>/etc/ssh/sshd_config
[root@api ~]# echo 'sshd:xxxxx:allow' >>/etc/
hostsallow
[root@api ~]# systemctl restart sshd
禁止ping测试服务器，禁止IP伪装。
[root@api ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
[root@api ~]# echo nospoof on >> /etc/hostconf
在Centos7以后iptables将被firewall替代，当然我们还能够使用iptables，首先需要删除firewall后，才能够使用iptables，技术总是在进步的，老的会慢慢被替代。
Linux系统安全加固还有很多，想要继续可以查阅资料。

最近几年，勒索病毒“异军突起”让本来就严峻的数据安全更是雪上加霜，几乎是每隔几天，就会有企事业单位中招。勒索病毒，是一种性质恶劣、危害极大的电脑病毒，主要通过邮件、木马、网页挂马、漏洞利用、RDP弱口令暴力破解等形式进行传播。由于这种病毒利用各种加密算法对文件进行加密，一旦感染一般无法解密，只有向勒索者支付赎金才能解密。如果感染者拒付赎金，就无法获得解密的方法，无法恢复文件。
推荐使用MCK主机加固系统是从保护数据角度出发，建立一个安全容器，对主机 *** 作系统和业务程序进行加固，杜绝非法数据使用，对 *** 作系统和数据进行保护，杜绝勒索病毒以及其他病毒、黑客的攻击行为。

---