CentOS7&8个性化设置一键脚本

本文及资源最后更新时间 2020-12-11 by sky995

一键脚本

curl -ksSO https://pealog.com/ftp/StartSys.sh && bash StartSys.sh 

# 默认修改为66端口。自定义端口修改端口，例如修改为10086端口：
curl -ksSO https://pealog.com/ftp/StartSys.sh && bash StartSys.sh 10086

脚本改动项

• 安装常用组件
• 永久禁用SELinux
• 基本安全设置
• SSH设置
• 美化VIM编辑器
• 同步大陆时间
• 调整文件句柄
• 优化TCP

常用组件

# 更换阿里源
yum -y install epel-release wget
sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
wget -P /etc/yum.repos.d/ https://mirrors.aliyun.com/repo/epel-7.repo
yum clean all  
yum makecache  
 
# 常用
yum -y install ntpdate  #同步时间 
yum -y install bash-completion   # 对 systemctl 命令服务名称的补全
yum -y install net-tools  # TCP/IP工具箱
yum -y install curl  # 网络请求
yum -y install vim  # 编辑工具
yum -y install wget  # 下载工具
yum -y install git  # 不解释
yum -y install lrzsz  # 上传下载工具
yum -y install fail2ban  # 必装 防止ssh爆破
yum -y install sysstat   # 系统监控工具
yum -y install psmisc  # 进程管理
yum -y install iptraf-ng  # 流量监控
yum -y install nethogs  # 流量监控2

 基本优化

sed -i 's%#UseDNS yes%UseDNS no%' /etc/ssh/sshd_config    # 关闭反向DNS解析
sed -i 's%GSSAPIAuthentication yes%GSSAPIAuthentication no%' /etc/ssh/sshd_config  # 解决Linux之间使用SSH连接慢问题
sed -i 's%#PermitEmptyPasswords no%PermitEmptyPasswords no%' /etc/ssh/sshd_config  #禁止空密码登录
sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config  && setenforce 0  # 禁用SELINUX

一 . 设置会话超时（1分钟）

echo "export TMOUT=60" >>/etc/profile

二. 设置history命令时间戳

echo "export HISTTIMEFORMAT=\"%F %T \`whoami\` \" " >>/etc/profile

 三.禁止Control-Alt-Delete 键盘重启系统命令

rm -rf /usr/lib/systemd/system/ctrl-alt-del.target

四. 隐藏系统版本信息

执行以下命令： 
mv /etc/issue /etc/issue.bak 
mv /etc/issue.net /etc/issue.net.bak

五.最大文件打开数（文件句柄数）

1.备份配置文件
cp -a /etc/security/limits.conf  /etc/security/limits.conf.default
2.添加以下两行配置到该文件最后
*       soft    nofile  1000000  
*       hard    nofile  1000000  
*       soft    nproc  65535  
*       hard    nproc  65535

六.用户最大进程数

默认配置:

[root@i-1y3we23j ~]# cat /etc/security/limits.d/20-nproc.conf 
# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.

*          soft    nproc     4096
root       soft    nproc     unlimited

加固方案:

1.备份配置文件
cp -a  /etc/security/limits.d/20-nproc.conf /etc/security/limits.d/20-nproc.conf.default
2.修改配置文件vim /etc/security/limits.d/20-nproc.conf

 *          soft     nproc     65535
 *          hard    nproc     65535

备注:修改所有用户的最大进程数为65535

7. 禁止root用户直接登录

一、新建帐户，命令如下：

useradd NewUser

二、设置帐户密码，命令如下：

passwd NewUser

三、不允许root直接登陆，命令如下：

sed -i 's%#PermitRootLogin yes%PermitRootLogin no%' /etc/ssh/sshd_config

四、禁止root登陆，命令如下：

sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config  && setenforce 0  # 禁用SELINUX
sed -i 's%#Port 22%Port 66%' /etc/ssh/sshd_config 

五、使环境变量立即生效，命令如下 （将第一行80 更改成新SSH端口）：

firewall-cmd --zone=public --add-port=66/tcp --permanent  
firewall-cmd --reload
systemctl restart sshd.service

8. 同步时区

同步时间服务器

yum -y install ntpdate  #同步时间 
timedatectl set-timezone Asia/Shanghai
ntpdate ntp.aliyun.com
hwclock -w

让ntpdate每次同步时间之后把时间写入hwclock，相当于命令hwclock -w

sed -i 's%SYNC_HWCLOCK=no%SYNC_HWCLOCK=yes%' /etc/sysconfig/ntpdate

客户端定时任务配置

echo "* 23 * * * root /usr/sbin/ntpdate ntp.aliyun.com" >> /etc/crontab && crontab /etc/crontab 

9. 关闭ICMP （ping）响应

永久修改方式(重启后有效)
禁止ICMP包通行

echo net.ipv4.icmp_echo_ignore_all=1 >>/etc/sysctl.conf
sysctl -p

允許ICMP包通行

echo net.ipv4.icmp_echo_ignore_all=0 >>/etc/sysctl.conf
sysctl -p

10. 安装Fail2ban 防止SSH爆破与CC攻击

#CentOS内置源并未包含fail2ban，需要先安装epel源
yum -y install epel-release
#安装fial2ban
yum -y install fail2ban
# 启动
systemctl start fail2ban
# 开机自启
systemctl enable fail2ban
# 重新加载配置
systemctl restart fail2ban
查看黑名单状态
fail2ban-client status sshd(模块名)
黑名单移除IP
fail2ban-client set sshd unbanip IP地址
#查看日志
tail /var/log/fail2ban.log

新建jail.local来覆盖fail2ban的一些默认规则：

#新建配置
vi /etc/fail2ban/jail.local
#默认配置
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
#这里banaction必须用firewallcmd-ipset,这是fiewalll支持的关键，如果是用Iptables请不要这样填写
banaction = firewallcmd-ipset
action = %(action_mwl)s

参数说明：

ignoreip：IP白名单，白名单中的IP不会屏蔽，可填写多个以（,）分隔
bantime：屏蔽时间，单位为秒（s）
findtime：时间范围
maxretry：最大次数
banaction：屏蔽IP所使用的方法，上面使用firewalld屏蔽端口

防止SSH爆破

继续修改jail.local这个配置文件，在后面追加如下内容：

[sshd]
enabled = true
filter  = sshd
port    = 22
action = %(action_mwl)s
logpath = /var/log/secure

参数说明：

[sshd]：名称，可以随便填写
filter：规则名称，必须填写位于filter.d目录里面的规则，sshd是fail2ban内置规则
port：对应的端口
action：采取的行动
logpath：需要监视的日志路径

防止CC攻击

这里仅以Nginx为例，使用fail2ban来监视nginx日志，匹配短时间内频繁请求的IP，并使用firewalld将其IP屏蔽，达到CC防护的作用。

#需要先新建一个nginx日志匹配规则
vi /etc/fail2ban/filter.d/nginx-cc.conf
#填写如下内容
[Definition]
failregex =  -.*- .*HTTP/1.* .* .*$
ignoreregex =

继续修改jail.local追加如下内容：

[nginx-cc]
enabled = true
port = http,https
filter = nginx-cc
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log

上面的配置意思是如果在60s内，同一IP达到20次请求，则将其IP ban 1小时，上面只是为了测试，请根据自己的实际情况修改。logpath为nginx日志路径。

防止Wordpress爆破

如果您经常分析日志会发现有大量机器人在扫描wordpress登录页面wp-login.php，虽然对方可能没成功，但是为了避免万一还是将他IP干掉为好。

#需要先新建一个nginx日志匹配规则
vi /etc/fail2ban/filter.d/wordpress.conf
#填写如下内容
[Definition]
failregex = ^ -.* /wp-login.php.* HTTP/1\.."
ignoreregex =

继续修改jail.local追加如下内容：

[wordpress]
enabled = true
port = http,https
filter = wordpress
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log

当然，别忘记输入systemctl restart fail2ban重启fail2ban使其生效。

总结

fail2ban已经内置很多匹配规则，位于/etc/fail2ban/filter.d/目录下，包含了常见的SSH/FTP/Nginx/Apache等日志匹配，如果都还无法满足您的需求，您也可以自行新建规则来匹配异常IP。使用fail2ban+Firewalld来阻止恶意IP是行之有效的办法，可极大提高服务器安全。

十一.设置grup密码

默认配置:无
加固方案:

1、输入grub密码。

grub2-mkpasswd-pbkdf2

2、把输出纪录下来。

3、对/etc/grub.d/40_custom和/boot/grub2/grub.cfg进行备份。

cp /etc/grub.d/40_custom /etc/grub.d/40_custom.backup
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg-bak

4、修改40_custom，在后面添加两行，把第一步的信息写到文件里去。

vim /etc/grub.d/40_custom
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.D83EEBCED27378122A16C68F775A8BF4F466CEF4A696F4733E5AC4029C3E574C766C95A8BCA991D4DB5257A7BF61242C36EEB071C81C97FE325CF43FAED7D61C.4905931D5723EB0C08E9714C0E9B3E7DDCD3B76E08996F7C88A1F742DB1656D74EE8DC83B2F3C58733C5C0F8A2DCBBEA96F2A0EC7CE4D49F786FEA411F631A80

5、重新启动grub菜单。

grub2-mkconfig -o /boot/grub2/grub.cfg

.系统参数调优

加固方案:

1.备份配置文件
cp -a /etc/sysctl.conf /etc/sysctl.conf.default
2.添加以下调优参数到该文件中
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.route.gc_timeout = 20
net.ipv4.tcp_retries2 = 5
net.ipv4.tcp_wmem = 8192 131072 16777216
net.ipv4.tcp_rmem = 32768 131072 16777216
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.core.somaxconn = 32768
net.core.netdev_max_backlog = 32764
net.ipv4.ip_local_port_range = 1024  65535
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_max_orphans = 32768

fs.file-max = 1000000
fs.inotify.max_user_instances = 8192
kernel.pid_max = 65536
net.core.wmem_max = 8388608
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1


net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30

net.ipv4.tcp_max_tw_buckets = 36000

/sbin/sysctl -p /etc/sysctl.conf  
/sbin/sysctl -w net.ipv4.route.flush=1

日志

2020.9.21 优化TCP，关闭了net.ipv4.tcp_tw_recycle