117笔记问答CentOS Stream 8的安全设置可以通过一系列步骤来实现,旨在提高系统的整体安全性。以下是一些关键的安全配置措施:
账户安全及权限管理
-
禁用非必要的超级用户:
- 检测具有超级用户权限的账户:
cat /etc/passwd | awk -F ':' '{print$1,$3}' | grep '0$' - 备份并锁定或解锁账户:
cp -p /etc/passwd /etc/passwd_bak,passwd -l <用户名>,passwd -u <用户名> - 删除不必要的账户:如adm, lp, sync等,使用
userdel username groupdel groupname命令。
- 检测具有超级用户权限的账户:
-
强化用户口令:
- 设置复杂的口令,包含大写字母、小写字母、数字和特殊字符,长度大于10位。
- 修改
/etc/login.defs文件:PASS_MIN_LEN 10 - 检查并强化空口令账户:
awk -F ":" '(2 "" ) {print 1}' /etc/shadow。
-
口令文件加锁:
- 使用
chattr +i命令给/etc/passwd,/etc/shadow,/etc/group, 和/etc/gshadow文件加上不可更改属性。
- 使用
系统服务配置
-
关闭不需要的服务:
- 停止并禁用不需要的服务,如
acpid,autofs,bluetooth,cpuspeed,cups,ip6tables等。
- 停止并禁用不需要的服务,如
-
限制开机启动服务权限:
- 设置
/etc/rc.d/init.d/目录下所有文件的权限,确保只有root用户可以操作这些服务。
- 设置
网络安全配置
-
网络访问控制:
- 编辑
/etc/exports文件,设置最严格的访问权限。 - 通过
/etc/securetty文件限制root用户只能在特定的tty设备上登录。
- 编辑
-
防止IP欺骗和DoS攻击:
- 编辑
host.conf文件,增加防止IP欺骗的配置。 - 设置资源限制,如最大进程数和内存使用量,以防止DoS攻击。
- 编辑
系统更新和维护
- 定期更新系统补丁:
- 使用
dnf update命令更新系统,确保系统始终保持最新状态。 - 配置自动更新功能,安装
dnf-automatic包并设置自动下载和安装更新。
- 使用
通过上述步骤,可以显著提高CentOS Stream 8系统的安全性。建议定期审查和更新安全配置,以应对不断变化的安全威胁。