本文及资源最后更新时间 2020-12-11 by sky995
一键脚本
curl -ksSO https://pealog.com/ftp/StartSys.sh && bash StartSys.sh
# 默认修改为66端口。自定义端口修改端口,例如修改为10086端口:
curl -ksSO https://pealog.com/ftp/StartSys.sh && bash StartSys.sh 10086
脚本改动项
- 安装常用组件
- 永久禁用SELinux
- 基本安全设置
- SSH设置
- 美化VIM编辑器
- 同步大陆时间
- 调整文件句柄
- 优化TCP
常用组件
# 更换阿里源
yum -y install epel-release wget
sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
wget -P /etc/yum.repos.d/ https://mirrors.aliyun.com/repo/epel-7.repo
yum clean all
yum makecache
# 常用
yum -y install ntpdate #同步时间
yum -y install bash-completion # 对 systemctl 命令服务名称的补全
yum -y install net-tools # TCP/IP工具箱
yum -y install curl # 网络请求
yum -y install vim # 编辑工具
yum -y install wget # 下载工具
yum -y install git # 不解释
yum -y install lrzsz # 上传下载工具
yum -y install fail2ban # 必装 防止ssh爆破
yum -y install sysstat # 系统监控工具
yum -y install psmisc # 进程管理
yum -y install iptraf-ng # 流量监控
yum -y install nethogs # 流量监控2
基本优化
sed -i 's%#UseDNS yes%UseDNS no%' /etc/ssh/sshd_config # 关闭反向DNS解析
sed -i 's%GSSAPIAuthentication yes%GSSAPIAuthentication no%' /etc/ssh/sshd_config # 解决Linux之间使用SSH连接慢问题
sed -i 's%#PermitEmptyPasswords no%PermitEmptyPasswords no%' /etc/ssh/sshd_config #禁止空密码登录
sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config && setenforce 0 # 禁用SELINUX
一 . 设置会话超时(1分钟)
echo "export TMOUT=60" >>/etc/profile
二. 设置history命令时间戳
echo "export HISTTIMEFORMAT=\"%F %T \`whoami\` \" " >>/etc/profile
三.禁止Control-Alt-Delete 键盘重启系统命令
rm -rf /usr/lib/systemd/system/ctrl-alt-del.target
四. 隐藏系统版本信息
执行以下命令:
mv /etc/issue /etc/issue.bak
mv /etc/issue.net /etc/issue.net.bak
五.最大文件打开数(文件句柄数)
1.备份配置文件
cp -a /etc/security/limits.conf /etc/security/limits.conf.default
2.添加以下两行配置到该文件最后
* soft nofile 1000000
* hard nofile 1000000
* soft nproc 65535
* hard nproc 65535
六.用户最大进程数
默认配置:
[root@i-1y3we23j ~]# cat /etc/security/limits.d/20-nproc.conf
# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.
* soft nproc 4096
root soft nproc unlimited
加固方案:
1.备份配置文件
cp -a /etc/security/limits.d/20-nproc.conf /etc/security/limits.d/20-nproc.conf.default
2.修改配置文件vim /etc/security/limits.d/20-nproc.conf
* soft nproc 65535
* hard nproc 65535
备注:修改所有用户的最大进程数为65535
7. 禁止root用户直接登录
一、新建帐户,命令如下:
useradd NewUser
二、设置帐户密码,命令如下:
passwd NewUser
三、不允许root直接登陆,命令如下:
sed -i 's%#PermitRootLogin yes%PermitRootLogin no%' /etc/ssh/sshd_config
四、禁止root登陆,命令如下:
sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config && setenforce 0 # 禁用SELINUX
sed -i 's%#Port 22%Port 66%' /etc/ssh/sshd_config
五、使环境变量立即生效,命令如下 (将第一行80 更改成新SSH端口):
firewall-cmd --zone=public --add-port=66/tcp --permanent
firewall-cmd --reload
systemctl restart sshd.service
8. 同步时区
同步时间服务器
yum -y install ntpdate #同步时间
timedatectl set-timezone Asia/Shanghai
ntpdate ntp.aliyun.com
hwclock -w
让ntpdate每次同步时间之后把时间写入hwclock,相当于命令hwclock -w
sed -i 's%SYNC_HWCLOCK=no%SYNC_HWCLOCK=yes%' /etc/sysconfig/ntpdate
客户端定时任务配置
echo "* 23 * * * root /usr/sbin/ntpdate ntp.aliyun.com" >> /etc/crontab && crontab /etc/crontab
9. 关闭ICMP (ping)响应
永久修改方式(重启后有效)
禁止ICMP包通行
echo net.ipv4.icmp_echo_ignore_all=1 >>/etc/sysctl.conf
sysctl -p
允許ICMP包通行
echo net.ipv4.icmp_echo_ignore_all=0 >>/etc/sysctl.conf
sysctl -p
10. 安装Fail2ban 防止SSH爆破与CC攻击
#CentOS内置源并未包含fail2ban,需要先安装epel源
yum -y install epel-release
#安装fial2ban
yum -y install fail2ban
# 启动
systemctl start fail2ban
# 开机自启
systemctl enable fail2ban
# 重新加载配置
systemctl restart fail2ban
查看黑名单状态
fail2ban-client status sshd(模块名)
黑名单移除IP
fail2ban-client set sshd unbanip IP地址
#查看日志
tail /var/log/fail2ban.log
新建jail.local来覆盖fail2ban的一些默认规则:
#新建配置
vi /etc/fail2ban/jail.local
#默认配置
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime = 86400
findtime = 600
maxretry = 5
#这里banaction必须用firewallcmd-ipset,这是fiewalll支持的关键,如果是用Iptables请不要这样填写
banaction = firewallcmd-ipset
action = %(action_mwl)s
参数说明:
ignoreip:IP白名单,白名单中的IP不会屏蔽,可填写多个以(,)分隔 bantime:屏蔽时间,单位为秒(s) findtime:时间范围 maxretry:最大次数 banaction:屏蔽IP所使用的方法,上面使用firewalld屏蔽端口
防止SSH爆破
继续修改jail.local这个配置文件,在后面追加如下内容:
[sshd]
enabled = true
filter = sshd
port = 22
action = %(action_mwl)s
logpath = /var/log/secure
参数说明:
[sshd]:名称,可以随便填写 filter:规则名称,必须填写位于filter.d目录里面的规则,sshd是fail2ban内置规则 port:对应的端口 action:采取的行动 logpath:需要监视的日志路径
防止CC攻击
这里仅以Nginx为例,使用fail2ban来监视nginx日志,匹配短时间内频繁请求的IP,并使用firewalld将其IP屏蔽,达到CC防护的作用。
#需要先新建一个nginx日志匹配规则
vi /etc/fail2ban/filter.d/nginx-cc.conf
#填写如下内容
[Definition]
failregex = -.*- .*HTTP/1.* .* .*$
ignoreregex =
继续修改jail.local追加如下内容:
[nginx-cc]
enabled = true
port = http,https
filter = nginx-cc
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log
上面的配置意思是如果在60s内,同一IP达到20次请求,则将其IP ban 1小时,上面只是为了测试,请根据自己的实际情况修改。logpath为nginx日志路径。
防止Wordpress爆破
如果您经常分析日志会发现有大量机器人在扫描wordpress登录页面wp-login.php,虽然对方可能没成功,但是为了避免万一还是将他IP干掉为好。
#需要先新建一个nginx日志匹配规则
vi /etc/fail2ban/filter.d/wordpress.conf
#填写如下内容
[Definition]
failregex = ^ -.* /wp-login.php.* HTTP/1\.."
ignoreregex =
继续修改jail.local追加如下内容:
[wordpress]
enabled = true
port = http,https
filter = wordpress
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log
当然,别忘记输入systemctl restart fail2ban重启fail2ban使其生效。
总结
fail2ban已经内置很多匹配规则,位于/etc/fail2ban/filter.d/目录下,包含了常见的SSH/FTP/Nginx/Apache等日志匹配,如果都还无法满足您的需求,您也可以自行新建规则来匹配异常IP。使用fail2ban+Firewalld来阻止恶意IP是行之有效的办法,可极大提高服务器安全。
十一.设置grup密码
默认配置:无
加固方案:
1、输入grub密码。
grub2-mkpasswd-pbkdf2
2、把输出纪录下来。
3、对/etc/grub.d/40_custom和/boot/grub2/grub.cfg进行备份。
cp /etc/grub.d/40_custom /etc/grub.d/40_custom.backup
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg-bak
4、修改40_custom,在后面添加两行,把第一步的信息写到文件里去。
vim /etc/grub.d/40_custom
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.D83EEBCED27378122A16C68F775A8BF4F466CEF4A696F4733E5AC4029C3E574C766C95A8BCA991D4DB5257A7BF61242C36EEB071C81C97FE325CF43FAED7D61C.4905931D5723EB0C08E9714C0E9B3E7DDCD3B76E08996F7C88A1F742DB1656D74EE8DC83B2F3C58733C5C0F8A2DCBBEA96F2A0EC7CE4D49F786FEA411F631A80
5、重新启动grub菜单。
grub2-mkconfig -o /boot/grub2/grub.cfg
.系统参数调优
加固方案:
1.备份配置文件
cp -a /etc/sysctl.conf /etc/sysctl.conf.default
2.添加以下调优参数到该文件中
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.route.gc_timeout = 20
net.ipv4.tcp_retries2 = 5
net.ipv4.tcp_wmem = 8192 131072 16777216
net.ipv4.tcp_rmem = 32768 131072 16777216
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.core.somaxconn = 32768
net.core.netdev_max_backlog = 32764
net.ipv4.ip_local_port_range = 1024 65535
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_max_orphans = 32768
fs.file-max = 1000000
fs.inotify.max_user_instances = 8192
kernel.pid_max = 65536
net.core.wmem_max = 8388608
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_max_tw_buckets = 36000
/sbin/sysctl -p /etc/sysctl.conf
/sbin/sysctl -w net.ipv4.route.flush=1
日志
2020.9.21 优化TCP,关闭了net.ipv4.tcp_tw_recycle