VPS安全配置基于Centos5.5_x86_64

hackin · 发表于 2010-7-17 23:18:19

[root@inode2 ~]#vi /etc/ssh/sshd_config                #修改ssh端口和监听地址

找到
---------------------------------------------
#Protocol 2,1
#Port 22
#ListenAddress :
#PermitRootLogin yes
-------------------------------------------
修改为port大于1000以上的端口
Protocol 2                                  协议2更安全
port  10009
ListenAddress 74.117.56.222
PermitRootLogin no                   #禁止root登录
一般的VPS都会有两个IP地址
一个专门做ssh ftp之类的监听用，一个用做web服务

[root@inode2 ~]#/etc/init.d/sshd restart       #重启服务

设置权限
-------------------------------------------------------------------------------------
[root@inode2 ~]#chmod 750 /usr/bin/*cc*
[root@inode2 ~]#chmod 750 /usr/bin/*++*
[root@inode2 ~]#chmod 750 /usr/bin/*ld*
[root@inode2 ~]#chmod 750 /usr/bin/*as*
[root@inode2 ~]#chmod 700 /usr/bin/who
[root@inode2 ~]#chmod 700 /usr/bin/w
[root@inode2 ~]#chmod 700 /usr/bin/locate
[root@inode2 ~]#chmod 700 /usr/bin/whereis
[root@inode2 ~]#chmod 700 /bin/vi
[root@inode2 ~]#chmod 700 /usr/bin/vim
[root@inode2 ~]#chmod 700 /usr/bin/gcc
[root@inode2 ~]#chmod 700 /usr/bin/make
[root@inode2 ~]#chmod 700 /bin/rpm
[root@inode2 ~]#chmod 700 /usr/bin/yum
[root@inode2 ~]#chmod 700 /bin/cat
[root@inode2 ~]#chmod 700 /usr/bin/less
[root@inode2 ~]#chmod 700 /usr/bin/tail
[root@inode2 ~]#chmod 700 /usr/bin/head

-------------------------------------------------------------------------------------

密码安全

-----------------------------------------------------------------------------------

[root@inode2 ~]#vi /etc/login.defs
PASS_MIN_LEN 8                                  #修改为8

----------------------------------------------------------------------------------------

删除不用的账号

--------------------------------------------------------------------------------------------

[root@inode2 ~]#userdel news
[root@inode2 ~]#userdel lp
[root@inode2 ~]#userdel sync
[root@inode2 ~]#userdel shutdown
[root@inode2 ~]#userdel uucp
[root@inode2 ~]#userdel games
[root@inode2 ~]#userdel halt

-------------------------------------------------------------------------------------------------

history安全
-----------------------------------------------------------------------------------------
[root@inode2 ~]#chattr +a .bash_profile
[root@inode2 ~]#chattr +i .bash_profile

这个是避免删除.bash_history或者重定向到/dev/null
因此不能清除或者删除执行的命令
---------------------------------------------------------------------------------------------

删除版本信息

---------------------------------------------------------------------------------------

[root@inode2 ~]#rm -rf /etc/redhat-release
[root@inode2 ~]#rm -rf /etc/issue

登录信息可以在/etc/motd下设置

-----------------------------------------------------------------------------------------------

root邮件通知
------------------------------------------------------------------------------------------------

编辑vi .bashrc最后添加，当有root权限的用户登录时发送邮件通知

echo 'ALERT -Root Shell Access(Server Name) on:' `date` `who` | mail -s "Alert:Root Access from `who cut -d`" (" -f2 |cut -d")" -f1`"your@email.com

--------------------------------------------------------------------------------------------------

今天就写这么多明天晚上继续更新

[ 本帖最后由 hackin 于 2010-7-17 23:48 编辑 ]

54wz · 发表于 2010-7-28 20:46:37

PASS_MIN_LEN 8 解释一下这是什么意思？

54wz · 发表于 2010-7-28 20:51:47

SSH 我禁用root，用户生成KEY，只有KEY才能登录。

		自动登录	找回密码
密码			注册