centos 安全配置基线

防火墙会从上至下的顺序来读取配置的策略规则，在找到匹配项后就立即结束匹配工作并去执行匹配项中定义的行为（即放行或阻止）。如果在读取完所有的策略规则之后没有匹配项，就去执行默认的策略。
  一般而言，防火墙策略规则的设置有两种：一种是“通”（即放行），一种是“堵”（即阻止）。当防火墙的默认策略为拒绝时（堵），就要设置允许规则（通），否则谁都进不来；如果防火墙的默认策略为允许时，就要设置拒绝规则，否则谁都能进来，防火墙也就失去了防范的作用

• 启动： service iptables start
• 关闭： service iptables stop
• 查看状态：iptables -V
• 重启 ： service iptables restart

主要分为5种规则类型数据包：
  进行路由选择前处理数据包（PREROUTING）；
  处理流入的数据包（INPUT）；
  处理流出的数据包（OUTPUT）；
  处理转发的数据包（FORWARD）；
  进行路由选择后处理数据包（POSTROUTING）

iptables -L

iptables -F

使用iptables命令进行添加删减。

iptables -A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT   #允许本地回环接口(即运行本机访问本机)
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT   #允许已建立的或相关连的通行
iptables -A OUTPUT -j ACCEPT   #允许所有本机向外的访问
iptables -A INPUT -p tcp --dport 22 -j ACCEPT   #允许访问22端口
iptables -A INPUT -p tcp --dport 80 -j ACCEPT   #允许访问80端口
iptables -A INPUT -p tcp --dport 21 -j ACCEPT   #允许ftp服务的21端口
iptables -A INPUT -p tcp --dport 20 -j ACCEPT   #允许FTP服务的20端口
iptables -A INPUT -j reject   #禁止其他未允许的规则访问
iptables -A FORWARD -j REJECT   #禁止其他未允许的规则访问

iptables -I INPUT -s 123.45.6.7 -j DROP   #屏蔽单个IP的命令
iptables -I INPUT -s 123.0.0.0/8 -j DROP   #封整个段即从123.0.0.1到123.255.255.254的命令
iptables -I INPUT -s 124.45.0.0/16 -j DROP   #封IP段即从123.45.0.1到123.45.255.254的命令
iptables -I INPUT -s 123.45.6.0/24 -j DROP   #封IP段即从123.45.6.1到123.45.6.254的命令

或者直接在路径/etc/sysconfig下,对文件iptables编辑。

配置完成记得重启防火墙命令

• 启动： systemctl start firewalld
• 重启： systemctl restart firewalld
• 关闭： systemctl stop firewalld
• 查看状态： systemctl status firewalld
• 开机禁用 ： systemctl disable firewalld
• 开机启用 ： systemctl enable firewalld

前台可视化界面-防火墙设置也可以设置

SELinux（Security-Enhanced Linux)是美国国家安全局在Linux开源社区的帮助下开发的一个强制访问控制（MAC，Mandatory Access Control)的安全子系统。RHEL7系统使用SELinux技术的目的是为了让各个服务进程都受到约束，使其仅获取到本应获取的资源。

简单概述下基本的三种安全访问控制类型

• MAC（强制访问控制类型）
• DAC（自主访问控制类型） --通常就是ACL策略居多
• RABC（基于角色访问控制类型）

安全性MAC>RABC>DAC

SELinux 有三种工作模式，分别是

enforcing：强制模式。违反 SELinux 规则的行为将被阻止并记录到日志中，并且自动拦截

permissive：宽容模式。违反 SELinux 规则的行为只会记录到日志中，只告警不拦截。一般为调试用。

disabled：关闭 SELinux。不拦截不告警。

配置文件路径：/etc/selinux,通过查看config，了解目前运行状态

cat config

或者使用命令进行查询

[root@localhost selinux]# getenforce 
Enforcing
[root@localhost selinux]#
临时修改命令（不用重启机器）：[root@localhost selinux]# setenforce 0  --0设为宽容莫斯
[root@localhost selinux]# getenforce 
Permissive
[root@localhost selinux]# setenforce 1  --1设为强制模式
[root@localhost selinux]# getenforce 
Enforcing
[root@localhost selinux]#

通过设置/etc/login.defs文件，进行密码策略设置

PASS_MAX_DAYS 90

#密码最大有效期

PASS_MIN_DAYS 2

#两次修改密码的最小间隔时间

PASS_MIN_LEN 12

#密码最小长度

PASS_WARN_AGE 7

#密码过期前多少天开始提示
上述对新增用户有效，如需修改现有策略，需使用
chage命令

使用cracklib模块设置密码复杂度
通过命令

rpm -qa|grep cracklib --查看服务是否运行

centos 6 找到 password requisite pam_cracklib.so这么一行替换成如下：

password requisite pam_cracklib.so retry=3 difok=3 minlen=12 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

centos 7 找到password requisite pam_pwquality.so这么一行替换成如下：

password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= minlen=12 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 enforce_for_root

参数含义：
#retry 允许重试的次数

#difok=N:新密码必需与旧密码不同的位数 difok=3 新密码必须与旧密码有3位不同

#ucredit=N 当N>0时表示新密码中大写字母出现的最多次数；当N<0时表示新密码中大写字母出现最少次数

#lcredit=N 当N>0时表示新密码中小写字母出现的最多次数；当N<0时表示新密码中小写字母出现最少次数

#dcredit=N: N >= 0:密码中最多有多少个数字;N < 0密码中最少有多少个数字. dcredit=-1 密码中最少有1个数字

#ocredit=N:特殊字母的个数 ocredit=-1 密码中至少有1个特殊字符

#enforce_for_root 确保即使是root用户设置密码，也应强制执行复杂性策略。

在/etc/pam.d/system-auth中“#%PAM-1.0”下面一行加入
auth required pam tally2.so onerr=fail deny=10 no magic root unlock time=300
注意：一定要加在#%PAM-1.0下面一行

参数说明：

• deny[=n] 最大尝试次数，超过锁定
• unlock_time 解锁时间
• even_deny_root 同时限制root用户
• root_unlock_time[=n] 设定root锁定后，多少时间解锁
• quiet 不对已锁定用户发出提示消息
  root策略建议谨慎设置，否则很容易导致无法解锁root

设置了unlock_time会自动解锁。否则需要手动解锁。

运行命令pam_tally2 -u 用户 -r

more /etc/ssh/sshd_config

设置LoginGraceTime 15m #账号锁定时间15分钟
MaxAuthTries 3 #账号锁定阈值

通过修改 /etc/ssh/sshd_config，将参数修改#PermitRootLogin no
重启ssh服务

service sshd restart

通过命令 usermod -s /sbin/nologin 用户 --禁止用户远程登录
通过命令 usermod -s /bin/bash 用户名 --恢复允许用户远程登录
查看/etc/passwd 表示用户是否可以登录。

通过命令 awk -F: '($3==0){print $1}' /etc/passwd --输出当前uid=0的用户

设置ssh用户白名单、黑名单

vi /etc/ssh/sshd_config

增加用户（允许、白名单）
AllowUsers 用户1 用户2
或
添加用户组
AllowGroups 组1 组2

PS:取交集，意思两个同时允许才可以。其他禁止

取消用户（禁止、黑名单）
DenyUsers 用户1
或
DenyGroups 组1
PS：取并集,有一个设置了不允许都会不允许。

通过umask，权限掩码值检查当前用户新建文件、文件夹默认权限。root用户正常是022。
022的意思是，用文件夹最大权限777(rwxrwxrwx)-当前设置权限755(rwx-r-xr-x) = 022，为什么文件夹默认配置了执行-x权限，因为文件夹没执行的话进不去，就没意义了。
而文件权限默认都没有执行，所以就是默认最大666(rw-rw-rw)-644(rw-r–r–=002)。
普通用户默认值是002

如/etc/shadow /etc/passwd(744)
/etc/group
/etc/inittab
/etc/lilo.conf
/etc/grub.conf
/etc/xinetd.conf
/etc/crontab
/etc/securetty
/etc/rc.d/init.d
/var/log/messages
/var/log/wtmp
/var/run/utmp
/var/spool/cron
/usr/sbin/init

/etc/login.defs(644)
/etc/*.conf
/sbin/bin
/etc/init.d
/etc/xinetd.d 等等

本地安全审计日志功能是否正常打开运行
安装第三方工具等

[root@localhost selinux]# ps -ef |grep syslogd --查看进程服务情况
[root@localhost selinux]# ps aux|grep syslogd
[root@localhost selinux]# ps -ef|grep auditd  --查看守护进程情况

查看/etc/rsyslog.conf配置文件。

命令lastlog --查询登录用户、端口、时间等
命令last -x --显示系统关闭、用户登录和退出的历史
命令lastb --列出失败尝试的登录信息

能记录、检测到入侵行为，能记录入侵者ip、主机名、时间等。建议有条件安装第三方设备如HIDS、NIDS等。

通过查看日志，可疑识别非法访问或可疑的暴力破解。

 more /var/log/secure | grep fail

命令service --status-all --检查是否有非必要服务，如ftp、smtp等

netstat-lp(查看开启服务）
netstat -an(查看开启的端口）
netstat-anlp(查看开启的端口及服务）

通过设置/etc/hosts.allow和/etc/hosts.deny文件

顺序：
1./etc/hosts.allow
2./etc/hosts.deny
3.以上都不符合，则放行

/etc/hosts.allow#ssh允许单个ip
sshd:192.168.220.1#ssh允许ip段
sshd:192.168.220.#telnet允许单个ip
in.telnetd:192.168.220.1#telnet允许ip段
in.telnetd:192.168.221.

/etc/hosts.deny
sshd:ALL
in.telnetd:ALL
#禁止相关服务

通过命令查看cat /etc/profile |grep TMOUT

vi /etc/profile 添加export TMOUT=600 --600秒超时

进入 /etc/security/limits.conf 文件下，

增加代码

roxy soft nproc 10240 
roxy hard nproc 10240 
roxy soft nofile 10240 
roxy hard nofile 10240

注：roxy 为需要修改线程数的用户名，10240 为设置的进程数和文件数限制，可根据需要修改。

也可以用ulimit命令

在vi /etc/modprobe.d/blacklist.conf里添加一行：

blacklist usb-storage

执行命令生效modprobe -r usb-storage