一键脚本

curl -ksSO https://pealog.com/ftp/StartSys.sh && bash StartSys.sh 

# 默认修改为66端口。自定义端口修改端口,例如修改为10086端口:
curl -ksSO https://pealog.com/ftp/StartSys.sh && bash StartSys.sh 10086

脚本改动项

  • 安装常用组件
  • 永久禁用SELinux
  • 基本安全设置
  • SSH设置
  • 美化VIM编辑器
  • 同步大陆时间
  • 调整文件句柄
  • 优化TCP

常用组件

# 更换阿里源
yum -y install epel-release wget
sudo mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.bak
wget -O /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-7.repo
wget -P /etc/yum.repos.d/ https://mirrors.aliyun.com/repo/epel-7.repo
yum clean all  
yum makecache  
 
# 常用
yum -y install ntpdate  #同步时间 
yum -y install bash-completion   # 对 systemctl 命令服务名称的补全
yum -y install net-tools  # TCP/IP工具箱
yum -y install curl  # 网络请求
yum -y install vim  # 编辑工具
yum -y install wget  # 下载工具
yum -y install git  # 不解释
yum -y install lrzsz  # 上传下载工具
yum -y install fail2ban  # 必装 防止ssh爆破
yum -y install sysstat   # 系统监控工具
yum -y install psmisc  # 进程管理
yum -y install iptraf-ng  # 流量监控
yum -y install nethogs  # 流量监控2

 基本优化

sed -i 's%#UseDNS yes%UseDNS no%' /etc/ssh/sshd_config    # 关闭反向DNS解析
sed -i 's%GSSAPIAuthentication yes%GSSAPIAuthentication no%' /etc/ssh/sshd_config  # 解决Linux之间使用SSH连接慢问题
sed -i 's%#PermitEmptyPasswords no%PermitEmptyPasswords no%' /etc/ssh/sshd_config  #禁止空密码登录
sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config  && setenforce 0  # 禁用SELINUX

一 . 设置会话超时(1分钟)

echo "export TMOUT=60" >>/etc/profile

二. 设置history命令时间戳

echo "export HISTTIMEFORMAT=\"%F %T \`whoami\` \" " >>/etc/profile

 三.禁止Control-Alt-Delete 键盘重启系统命令

rm -rf /usr/lib/systemd/system/ctrl-alt-del.target

四. 隐藏系统版本信息

执行以下命令: 
mv /etc/issue /etc/issue.bak 
mv /etc/issue.net /etc/issue.net.bak

五.最大文件打开数(文件句柄数)

1.备份配置文件
cp -a /etc/security/limits.conf  /etc/security/limits.conf.default
2.添加以下两行配置到该文件最后
*       soft    nofile  1000000  
*       hard    nofile  1000000  
*       soft    nproc  65535  
*       hard    nproc  65535

六.用户最大进程数

默认配置:

[root@i-1y3we23j ~]# cat /etc/security/limits.d/20-nproc.conf 
# Default limit for number of user's processes to prevent
# accidental fork bombs.
# See rhbz #432903 for reasoning.

*          soft    nproc     4096
root       soft    nproc     unlimited

加固方案:

1.备份配置文件
cp -a  /etc/security/limits.d/20-nproc.conf /etc/security/limits.d/20-nproc.conf.default
2.修改配置文件vim /etc/security/limits.d/20-nproc.conf

 *          soft     nproc     65535
 *          hard    nproc     65535

备注:修改所有用户的最大进程数为65535

7. 禁止root用户直接登录

一、新建帐户,命令如下:

useradd NewUser

二、设置帐户密码,命令如下:

passwd NewUser

三、不允许root直接登陆,命令如下:

sed -i 's%#PermitRootLogin yes%PermitRootLogin no%' /etc/ssh/sshd_config

四、禁止root登陆,命令如下:

sed -i '/SELINUX/s/enforcing/disabled/' /etc/selinux/config  && setenforce 0  # 禁用SELINUX
sed -i 's%#Port 22%Port 66%' /etc/ssh/sshd_config 

五、使环境变量立即生效,命令如下 (将第一行80 更改成新SSH端口):

firewall-cmd --zone=public --add-port=66/tcp --permanent  
firewall-cmd --reload
systemctl restart sshd.service

8. 同步时区

同步时间服务器

yum -y install ntpdate  #同步时间 
timedatectl set-timezone Asia/Shanghai
ntpdate ntp.aliyun.com
hwclock -w

让ntpdate每次同步时间之后把时间写入hwclock,相当于命令hwclock -w

sed -i 's%SYNC_HWCLOCK=no%SYNC_HWCLOCK=yes%' /etc/sysconfig/ntpdate

客户端定时任务配置

echo "* 23 * * * root /usr/sbin/ntpdate ntp.aliyun.com" >> /etc/crontab && crontab /etc/crontab 

9. 关闭ICMP (ping)响应

永久修改方式(重启后有效)
禁止ICMP包通行

echo net.ipv4.icmp_echo_ignore_all=1 >>/etc/sysctl.conf
sysctl -p

允許ICMP包通行

echo net.ipv4.icmp_echo_ignore_all=0 >>/etc/sysctl.conf
sysctl -p

10. 安装Fail2ban 防止SSH爆破与CC攻击

#CentOS内置源并未包含fail2ban,需要先安装epel源
yum -y install epel-release
#安装fial2ban
yum -y install fail2ban
# 启动
systemctl start fail2ban
# 开机自启
systemctl enable fail2ban
# 重新加载配置
systemctl restart fail2ban
查看黑名单状态
fail2ban-client status sshd(模块名)
黑名单移除IP
fail2ban-client set sshd unbanip IP地址
#查看日志
tail /var/log/fail2ban.log

新建jail.local来覆盖fail2ban的一些默认规则:

#新建配置
vi /etc/fail2ban/jail.local
#默认配置
[DEFAULT]
ignoreip = 127.0.0.1/8
bantime  = 86400
findtime = 600
maxretry = 5
#这里banaction必须用firewallcmd-ipset,这是fiewalll支持的关键,如果是用Iptables请不要这样填写
banaction = firewallcmd-ipset
action = %(action_mwl)s

参数说明:

ignoreip:IP白名单,白名单中的IP不会屏蔽,可填写多个以(,)分隔
bantime:屏蔽时间,单位为秒(s)
findtime:时间范围
maxretry:最大次数
banaction:屏蔽IP所使用的方法,上面使用firewalld屏蔽端口

防止SSH爆破

继续修改jail.local这个配置文件,在后面追加如下内容:

[sshd]
enabled = true
filter  = sshd
port    = 22
action = %(action_mwl)s
logpath = /var/log/secure

参数说明:

[sshd]:名称,可以随便填写
filter:规则名称,必须填写位于filter.d目录里面的规则,sshd是fail2ban内置规则
port:对应的端口
action:采取的行动
logpath:需要监视的日志路径

防止CC攻击

这里仅以Nginx为例,使用fail2ban来监视nginx日志,匹配短时间内频繁请求的IP,并使用firewalld将其IP屏蔽,达到CC防护的作用。

#需要先新建一个nginx日志匹配规则
vi /etc/fail2ban/filter.d/nginx-cc.conf
#填写如下内容
[Definition]
failregex =  -.*- .*HTTP/1.* .* .*$
ignoreregex =


继续修改jail.local追加如下内容:

[nginx-cc]
enabled = true
port = http,https
filter = nginx-cc
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log


上面的配置意思是如果在60s内,同一IP达到20次请求,则将其IP ban 1小时,上面只是为了测试,请根据自己的实际情况修改。logpath为nginx日志路径。

防止Wordpress爆破

如果您经常分析日志会发现有大量机器人在扫描wordpress登录页面wp-login.php,虽然对方可能没成功,但是为了避免万一还是将他IP干掉为好。

#需要先新建一个nginx日志匹配规则
vi /etc/fail2ban/filter.d/wordpress.conf
#填写如下内容
[Definition]
failregex = ^ -.* /wp-login.php.* HTTP/1\.."
ignoreregex =


继续修改jail.local追加如下内容:

[wordpress]
enabled = true
port = http,https
filter = wordpress
action = %(action_mwl)s
maxretry = 20
findtime = 60
bantime = 3600
logpath = /usr/local/nginx/logs/access.log


当然,别忘记输入systemctl restart fail2ban重启fail2ban使其生效。

总结

fail2ban已经内置很多匹配规则,位于/etc/fail2ban/filter.d/目录下,包含了常见的SSH/FTP/Nginx/Apache等日志匹配,如果都还无法满足您的需求,您也可以自行新建规则来匹配异常IP。使用fail2ban+Firewalld来阻止恶意IP是行之有效的办法,可极大提高服务器安全。

十一.设置grup密码

默认配置:无
加固方案:

1、输入grub密码。

grub2-mkpasswd-pbkdf2

2、把输出纪录下来。

3、对/etc/grub.d/40_custom和/boot/grub2/grub.cfg进行备份。

cp /etc/grub.d/40_custom /etc/grub.d/40_custom.backup
cp /boot/grub2/grub.cfg /boot/grub2/grub.cfg-bak

4、修改40_custom,在后面添加两行,把第一步的信息写到文件里去。

vim /etc/grub.d/40_custom
set superusers="root"
password_pbkdf2 root grub.pbkdf2.sha512.10000.D83EEBCED27378122A16C68F775A8BF4F466CEF4A696F4733E5AC4029C3E574C766C95A8BCA991D4DB5257A7BF61242C36EEB071C81C97FE325CF43FAED7D61C.4905931D5723EB0C08E9714C0E9B3E7DDCD3B76E08996F7C88A1F742DB1656D74EE8DC83B2F3C58733C5C0F8A2DCBBEA96F2A0EC7CE4D49F786FEA411F631A80


5、重新启动grub菜单。

grub2-mkconfig -o /boot/grub2/grub.cfg

.系统参数调优

加固方案:

1.备份配置文件
cp -a /etc/sysctl.conf /etc/sysctl.conf.default
2.添加以下调优参数到该文件中
net.ipv4.ip_forward = 1
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
kernel.sysrq = 0
kernel.core_uses_pid = 1
kernel.msgmnb = 65536
kernel.msgmax = 65536
kernel.shmmax = 68719476736
kernel.shmall = 4294967296
net.core.wmem_default = 8388608
net.core.rmem_default = 8388608
net.core.rmem_max = 16777216
net.core.wmem_max = 16777216
net.ipv4.route.gc_timeout = 20
net.ipv4.tcp_retries2 = 5
net.ipv4.tcp_wmem = 8192 131072 16777216
net.ipv4.tcp_rmem = 32768 131072 16777216
net.ipv4.tcp_mem = 94500000 915000000 927000000
net.core.somaxconn = 32768
net.core.netdev_max_backlog = 32764
net.ipv4.ip_local_port_range = 1024  65535
net.ipv4.tcp_timestamps = 0
net.ipv4.tcp_tw_recycle = 0
net.ipv4.tcp_keepalive_time = 1800
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_max_orphans = 32768

fs.file-max = 1000000
fs.inotify.max_user_instances = 8192
kernel.pid_max = 65536
net.core.wmem_max = 8388608
net.ipv4.tcp_window_scaling = 1
net.ipv4.tcp_max_syn_backlog = 16384
net.ipv4.tcp_syn_retries = 1
net.ipv4.tcp_synack_retries = 1


net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_fin_timeout = 30

net.ipv4.tcp_max_tw_buckets = 36000
/sbin/sysctl -p /etc/sysctl.conf  
/sbin/sysctl -w net.ipv4.route.flush=1

日志

2020.9.21 优化TCP,关闭了net.ipv4.tcp_tw_recycle

最后修改:2021 年 05 月 02 日 11 : 13 AM
如果觉得我的文章对你有用,请随意赞赏