开启TCP-SYNcookie保护
在 /etc/sysctl.conf 文件中添加 net.ipv4.tcp_syncookies=1 然后执行命令sysctl -p生效配置
启用SSH登录超时配置
在 /etc/ssh/sshd_config 文件中设置 LoginGraceTime 为60
安全套接字加密远程管理ssh
在 /etc/ssh/sshd_config 文件中添加或修改Protocol 2 随后执行命令systemctl restart sshd重启进程
设置SSH空闲超时
SSH空闲超时时间建议为:600-900
在 /etc/ssh/sshd_config 文件中设置 ClientAliveInterval 设置为600到900之间。
配置命令行超时退出
在文件 /etc/profile 中添加 export TMOUT=300 要求不大于600秒。执行命令 source /etc/profile 使配置生效。
PASS_MIN_DAYS
在 /etc/login.defs 文件中把 PASS_MIN_DAYS 大于等于7,需同时执行命令设置root 密码失效时间 命令如下:
chage --mindays 7 root
VPS建议卸载telnet客户端
#/usr/bin/telnet,/bin/telnet
#卸载(Debian/Ubuntu)
apt-get remove telnet
#卸载(CentOS/RHEL)
yum remove telnet
对核心转储做限制
避免出现出现信息泄露的情况,操作如下:
sysctl -w fs.suid_dumpable=0
检查是否存在特权文件
检查以下文件是否存在suid特权:
/usr/bin/gpasswd、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/bin/mount、/bin/umount
检查以下文件是否存在sgid特权:
/usr/bin/chage
使用chmod u-s 【文件名】命令去除suid权限;使用chmod g-s 【文件名】去除sgid权限
