CentOS 7服务器的安全设置

2024年6月10日发(作者：)

责任编辑：赵志远 投稿信箱：

netadmin@

信息安全

Security

CentOS 7服务器的安全设置

■ 河北科技师范学院 赵学作 秦皇岛市睿讯网络科技有限公司 赵少农

CentOS（社

编者按： CentOS 7作为服务器的常用系统，其安全性至

登录（白名单）。

在/etc/

ssh/sshd_

config配置文

区企业操作系统）

关重要，因此本文将讨论一系列CentOS 7服务器的安全

是一个基于Red

设置，以最大化确保其安全。

Hat Linux提供

的可自由使用源代码的企

业级Linux发行版本，其

最新版本为CentOS 7.6。

CentOS 7在内核层面支持

图1 修改root用户名

件中设置 AllowUsers选

项，（配置完成需要重启

SSHD服务）格式如下：

AllowUsers qhdedu

test@192.168.1.1

再修改sshd_config：

# vi /etc/ssh/sshd_

config

在文件中加入一行：

Port=2019 #即把默

认的22端口改成2019

保存文件后执行以下命令：

# systemctl restart

sshd

# systemctl restart

#允许qhdedu和从

192.168.1.1登录的test帐

户通过SSH登录系统。

2.只拒绝指定用户进行

登录（黑名单）。

在/etc/ssh/sshd_

config配置文件中设置

DenyUsers选项，（配置完成需

要重启SSHD服务）格式如下：

DenyUsers qhdedua

qhdedub #拒绝CentOs系

统账户qhdedua、qhdedub通

过SSH登录系统

Docker容器技术，可以提高

Docker稳定性和可靠性，也

正因此CentOS 7成了服务

器系统的最佳首选。

我们都知道配置任何服

务器，都必须把不用的服务

关闭、把系统权限设置到最

小化，这样才能保证服务器

最大的安全，CentOS 7服务

器安全设置也是如此。

修改SSH默认的22端口

用以下命令修改防火墙

设置：

# firewall-cmd

--zone=public --add-

port=2019/tcp –permanent

# semanage port -a -t

ssh_port_t -p tcp 2019

# semanage port -l |

grep ssh

e

# systemctl restart

e

修改root用户名

以root身份登录终端，

执行如图1所示命令。

限制IP SSH登录

除了可以禁止某个用

户登录，我们还可以针对

固定的IP进行禁止登录，

限制用户SSH 登录

1.只允许指定用户进行

CentOS服务器通过设置/

etc/和/etc/

2019.05

117

Security

信息安全

责任编辑：赵志远 投稿信箱：

netadmin@

这个两个文件

来进行控制，

许可大于，可以

限制或者允许某个或者某

段IP地址远程SSH登录服

务器。方法比较简单，具体

如图2所示。

图3 设置系统口令策略

图2 限制或允许某IP远程SSH登录服务器

修改别名文件

# vi /etc/aliases

#建议注释掉不要的

#games: root

#ingres: root

#system: root

#toor: root

#uucp: root

#manager: root

#dumper: root

#operator: root

设置系统口令策略

如图3所示。

防止IP SPOOF（欺骗）

# vi /etc/

添加： nospoof on

不允许服务器对IP地址

进行欺骗。

图4 建议关闭的用户

#decode: root

#root: marc

修改后执行“/usr/

bin/newaliases”。

禁止使用Ctrl+Alt+Del

注释掉系统不需要的用户

和用户组

# vi /etc/passwd

在这个文件中，每行表示

一个用户，在前面加上#注

释掉此行，即暂时关闭此用

户，不建议直接删除，待有需

要时，去掉注释即可，建议关

闭的用户如图4所示。

# vi /etc/group #

编辑用户组，在前面加上#

注释掉此行，建议关闭的用

户组有：

#adm:x:4:root,adm,

daemon

#lp:x:7:daemon,lp

#uucp:x:14:uucp

#games:x:20:

#dip:x:40:

图5 关闭系统一些不需要的服务

快捷键重启服务器

# cp /usr/lib/

systemd/system/ctrl-alt-

/usr/lib/

systemd/system/ctrl-alt-

#修改前

根据实际需要，关闭系统一

些不需要的服务

如图5所示。

若想恢复某个服务，可

使用“service servicename

start”命令，如启用蓝牙服

务：

# service Bluetooth

start chkconfig Bluetooth

on

备份

直接编辑/usr/lib/

systemd/system/ctrl-alt-

这个文件，按以

往设置关闭这个功能的方

式去操作：全部注释掉文件

中的内容即可。但由于此

文件是/usr/lib/systemd/

system/的软

链接文件，这样会使reboot

118

2019.05

责任编辑：赵志远 投稿信箱：

netadmin@

信息安全

Security

命令失效。因此要想解决

这个问题，只需删除文件“/

usr/lib/systemd/system/

”即

可，同时执行#init q重

新加载配置文件使配置生

效，此时Ctrl+Alt+Del失

效，同时reboot也能用，恢

复ctrl+ALt+Del只需将

文件软链接

成“”

即可。即：

# ln -s /usr/lib/

systemd/system/reboot.

target /usr/lib/systemd/

system/ctrl-alt-del.

target

备份

# vi /etc/profile

找到 HISTSIZE=1000 改

为 HISTSIZE=50

图6 限制不同文件的权限

rc.d/init.d/*

# chmod -R 777 /etc/

rc.d/init.d/* #恢复

默认设置

给下面的文件加上不可更

改属性，从而防止非授权用

户获得权限

# chattr +i /etc/

passwd

# chattr +i /etc/

隐藏服务器系统信息

默认情况下登录到

CentOS系统时，它会告诉

该CentOS发行版的名称、版

本、内核版本、服务器的名

称。为了不让这些默认的信

息泄露出来，我们要进行下

shadow

# chattr +i /etc/

group

# chattr +i /etc/

gshadow

# chattr +i /etc/

services #给系统服务端

口列表文件加锁,防止未经

许可的删除或添加服务

# lsattr /etc/passwd

/etc/shadow /etc/group

/etc/gshadow /etc/

services #显示文件的属

性

注意：执行以上权限修

改之后，就无法添加删除用

户了。

如果再要添加删除用户，

服务器禁止ping

# cp /etc/rc.d/

/etc/rc.d/

ak #修改前备份

# vi /etc/rc.d/

#修改文件，在文

件末尾增加下面这一行

echo 1 > /proc/sys/

net/ipv4/icmp_echo_

ignore_all 　#参数0表示

允许，1表示禁止

面的操作，让它只显示一个

“login:”提示符。

删除/etc/issue和/

etc/这两个文件，

或者把这两个文件改名，效

果是一样的。

# mv /etc/issue /

etc/issuebak

# mv /etc/

/etc/

禁止非root用户执行/

修改history命令记录

# cp /etc/profile /

etc/profilebak #修改前

需要先取消上面的设置，等

用户添加删除完成之后，再

执行上面的操作。

# chattr

【下转第120页】

etc/rc.d/init.d/下的系

统命令

# chmod -R 700 /etc/

2019.05

119

Security

信息安全

责任编辑：赵志远 投稿信箱：

netadmin@

基于堆叠自编码器的

恶意域名检测

■ 甘肃省公安厅网络安全保卫总队 张生顺

恶意域名网

站给网络用户和

企业带来巨大的

财产损失和安全

威胁，而且由于

速变域名和域名生成算法

（DGA）技术的不断发展，恶意

域名更加难以被检测识别。

最初检测方法是利用域名黑

名单匹配域名字符串，并使

用高匹配来阻止域名，但黑

名单需要不断更新，更新速

度可能较慢，提高检测精度

已经成为现下维护网络安全

的主要任务。

目前国内外主要基于统

计和机器学习两个方面来

对恶意域名进行检测。例

如，2007年Honeynet实验

组提出了速变域名的概念。

Passerini等人提取了域名

的TTL值等一系列特征值来

分析检测恶意域名。Notos

系统使用字符串统计特征信

息和域名历史记录来确定是

否是恶意域名。基于机器学

习的方法主要通过对恶意域

名大数据的分析提取特征值，

得出一套检测规则用于分类。

图1 含两个隐藏层的堆叠自编码器

编者按： 本文提出了一种基于堆叠自编码器的恶意域

名检测模型，通过域名生成算法（DGA）生成C&C域名作

为恶意域名集合，最后再将堆叠自编码器和识别分类的

功能结合起来进行测试，检测精度达到97.3%。

FluxBuster系

统第一次将聚

类算法应用于

速变域名的检

测。国内有利

用支持向量机和神经网络去

检测恶意域名，或通过随机森

林算法完成速变域名检测模

型的构建。

堆叠自编码器

自编码器是一种无监督

学习算法，包括输入层、隐藏

层、输出层。自编码器是一

种理想状态下输出和输入相

同的特殊神经网络算法，输

出向量是对输入向量的复

现。整个输入层和隐藏层称

为编码器，输入向量映射到

具有不同隐藏层维度的向

量。整个隐藏层和输出层称

【上接第119页】

-i /etc/

passwd #取消权限锁定设

置

# chattr -i /etc/

shadow

# chattr -i /etc/

group

# chattr -i /etc/

gshadow

# chattr -i /etc/

services #取消系统服务

端口列表文件加锁

现在可以进行添加删除

用户了，操作完之后再锁定

目录文件。

限制不同文件的权限

如图6所示。

120

2019.05