开启TCP-SYNcookie保护
在 /etc/sysctl.conf 文件中添加 net.ipv4.tcp_syncookies=1 然后执行命令sysctl -p生效配置
启用SSH登录超时配置
在 /etc/ssh/sshd_config 文件中设置 LoginGraceTime 为60
安全套接字加密远程管理ssh
在 /etc/ssh/sshd_config 文件中添加或修改Protocol 2 随后执行命令systemctl restart sshd重启进程
设置SSH空闲超时
SSH空闲超时时间建议为:600-900
在 /etc/ssh/sshd_config 文件中设置 ClientAliveInterval 设置为600到900之间。
配置命令行超时退出
在文件 /etc/profile 中添加 export TMOUT=300 要求不大于600秒。执行命令 source /etc/profile 使配置生效。
PASS_MIN_DAYS
在 /etc/login.defs 文件中把 PASS_MIN_DAYS 大于等于7,需同时执行命令设置root 密码失效时间 命令如下:
chage --mindays 7 root
VPS建议卸载telnet客户端
telnet协议不安全且未加密。使用未加密的传输媒介可能导致未经授权的用户窃取凭证。 ssh包提供加密会话和更强的安全性,并且包含在大多数Linux发行版中。
#/usr/bin/telnet,/bin/telnet
#卸载(Debian/Ubuntu)
apt-get remove telnet
#卸载(CentOS/RHEL)
yum remove telnet
对核心转储做限制
避免出现出现信息泄露的情况,操作如下:
sysctl -w fs.suid_dumpable=0
检查是否存在特权文件
检查以下文件是否存在suid特权:
/usr/bin/gpasswd、/usr/bin/chfn、/usr/bin/chsh、/usr/bin/newgrp、/bin/mount、/bin/umount
检查以下文件是否存在sgid特权:
/usr/bin/chage
使用chmod u-s 【文件名】命令去除suid权限;使用chmod g-s 【文件名】去除sgid权限
关闭PHP错误信息提示
PHP错误提示可能会泄露网站程序的敏感信息;此方案通过关闭【display_errors】选项,防止网站信息泄露。
堡塔面板:软件商店-在PHP配置修改页面,将display_errors设置为关闭并保存
FTP访问安全配置
配置文件:
/pure-ftpd/etc/pure-ftpd.conf
在配置文件中修改Umask的值为177:077
可以增强对FTP服务器的防护,降低服务器被入侵的风险。
检查是否允许空密码sudo提权
当 sudo 使用 NOPASSWD 标记时,允许用户使用 sudo 执行命令,而无需进行身份验证。这种不安全的配置可能导致黑客夺取服务器的高级权限。检查是否允许空密码sudo提权。
检查:
1、打开/etc/sudoers或是/etc/sudoers.d下的文件
2、删除或注释“NOPASSWD”标记所在行
