通用 CentOS 6 服务器安全配置指南：http://segmentfault.com/a/1190000002532945
让 Linux 更安全，第 3 部分: 加固系统: http://www.ibm.com/developerworks/cn/linux/l-seclnx3/
Linux磁盘配额：http://hetianlab.com/expc.do?w=exp_ass&ec=ECID172.19.104.182014120311052400001
深度解析CentOS通过日志反查入侵：http://linux.it.net.cn/CentOS/safe/2014/0429/985.html
小提示：修改任何配置文件之前记得先备份一份。

Linux安全

基本系统安全

1、保护引导过程（以Grub引导为例）

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时运行级的配置（重启等操作）要求输入 root 密码：

防止用户使用 Ctrl-Alt-Del 进行重新引导：
在RHEL6.X和CentOS 6.X下, 该热键的行为由’/etc/init/control-alt-delete.conf’控制。
注释掉原来的改成：exec /usr/bin/logger -p authpriv.notice -t init “Ctrl-Alt-Del was pressed and ignored”，这个配置会在每次按下Ctrl-Alt-Del 时输出日志。

2、关闭不使用的服务

3、增强特殊文件权限：

可以通过上述操作实现禁止添加用户
取消只读权限chattr -i

4、强制实行配额和限制：

Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。
这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构： username|@groupname type resource limit。
为了与 username 区别，groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制（soft-limit）可以被超出，通常只是警戒线，而硬限制（hard-limit）不能被超出。resource 可以是下面的关键字之一：

core - 限制内核文件的大小（KB）
data - 最大数据大小（KB）
fsize - 最大文件大小（KB）
memlock - 最大锁定内存地址空间（KB）
nofile - 打开文件的最大数目
rss - 最大持久设置大小（KB）
stack - 最大栈大小（KB）
cpu - 以分钟为单位的最多 CPU 时间
nproc - 进程的最大数目
as - 地址空间限制
maxlogins - 此用户允许登录的最大数目

下面的代码示例中，所有用户每个会话都限制在 10 MB，并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制为 40 个。developers 有 64 MB 的 memlock 限制，wwwusers 的成员不能创建大于 50 MB 的文件。
服务限制强度限制类型限额

用户安全

1. 禁用不使用的用户

注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user 锁定。
禁用时在/etc/passwd下把用户名或组注释掉即可

2、ssh登陆安全

（1）修改/etc/sshd_config文件的#port 22值然后重启ssh服务，就可以改变ssh开放端口，增强安全性
（2）只允许wheel用户组的用户su切换(这里只是举例，不一定要用这个用户组名字)

（3）登录超时
用户在线5分钟无操作则超时断开连接，在/etc/profile中添加：

export TMOUT=300 #设置登录超市闲置时间为300s
readonly TMOUT

source /etc/profile立即生效
（4）禁止root直接远程登录
将/etc/ssh/sshd_config的PermitRootLogin值修改为no
（5）限制登录失败次数并锁定
在/etc/pam.d/login后添加:

auth	required	pam_tally2.so	deny=6	unlock_time=180	even_deny_root	root_unlock_time=180

登录失败5次锁定180秒，根据需要设置是否包括root。

3、减少history命令记录

执行过的历史命令记录越多，从一定程度上讲会给维护带来简便，但同样会伴随安全问题。
vim /etc/profile中的HISTSIZE=50 就会将history保存条数修改为50
或每次退出时清理history命令：history –c

网络安全

禁用ipv6

禁用IPv6不仅仅会加快网络，还会有助于减少管理开销和提高安全级别。
禁止加载IPv6模块：让系统不加载ipv6相关模块，这需要修改modprobe相关设定文件，为了管理方便，我们新建设定文件/etc/modprobe.d/ipv6off.conf

让系统不加载ipv6相关模块:
$ vim /etc/modprobed.d/ipv6off.conf
$ alias net-pf-10 off
$	options ipv6 disable=1

禁用基于IPv6网络，使之不会被触发启动：
$ vim /etc/sysconfig/network
添加一行:  NETWORKING_IPV6=no

禁用网卡IPv6设置，使之仅在IPv4模式下运行：
$ vim /etc/sysconfig/network-scripts/ifcfg-eth0
添加
IPV6INIT=no
IPV6_AUTOCONF=no

关闭 ip6tables 服务
$ chkconfig ip6tables off

防止一般网络攻击

禁止ping

在/etc/rc.d/rc.local文件中增加如下一行# echo 1 > /proc/sys/net/icmp_echo_ignore_all

或者使用iptables
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP
不允许ping其他主机
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
（2）防止IP欺骗
编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击：

order hosts,bin	 #名称解释顺序
multi on				#允许主机拥有多个ip
nospoof on			#禁止IP地址欺骗

（3）防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。
可以在/etc/security/limits.conf中添加如下几行：

*	soft	core	0
* soft	nproc	2048
*	hard	nproc	16384
*	soft	nofile	1024
*	hard	nofile	65536

core 0 表示禁止创建core文件；nproc 128 把最多的进程数限制到20；nofile 64 表示把一个用户同时打开的最大文件数限制为64；* 表示登录到系统的所有用户，不包括root。
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在：

session	required	pam_limits.so

limits.conf参数的值需要根据具体情况调整。
3、定期做日志检查
将日志移动到专用的日志服务器里，这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处：

/var/log/message		记录系统日志或当前活动日志
/var/log/auth.log		身份认证日志记录
/var/log/cron				crond日志服务
/var/log/maillog		邮件服务器日志
/var/log/secure			认证日志
/var/log/wtmp				历史注销，启动，停机日志。lastb可以查看登录失败的用户
/var/log/utmp				查看当前登录的用户信息日志
/var/log/yum.log		yum日志

Window Server 2008

windows server 2008 不仅系统和网络功能有了一定的扩展，更重要的是安全性也有了很大提高。Windows Updata 、windows 防火墙、安全配置向导、防间谍软件等功能，可以帮助用户做好基本的安全防护工作。

账号安全：更改管理员账号

修改密码

安装windows server 2008 后，默认会自动创建一个系统管理员账号，即Administrator。
开始->运行->compmgmt.msc（计算机管理）->本地用户和组->用户右键修改密码

禁用账户

如果更改帐户名仍然无法满足安全需求，可以选择将其禁用，然后创建一个普通的管理员账户，用户实现基本的系统或者网络管理、维护功能。

一定要记得重建一个普通的管理员账户，不然将会无法登陆windows。

删除多余账户

net user <username> /del删除用户

net user <username> /active:no锁定账户

修改密码策略

开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->密码策略

账户锁定策略

账户锁定策略可以防止暴力破解的攻击方式
开始->运行->secpol.msc （本地安全策略）->安全设置->账户策略->账户锁定策略

文件系统安全：使用NTFS文件系统

查看每个系统驱动器是否使用NTFS文件系统，如果不是，使用转换命令：convert <驱动器盘符>: /fs:ntfs
在NTFS分区上，可以为共享资源、文件夹以及文件设置访问许可权限。
Windows server 2008 操作系统对NTFS 卷及其包含的目录或者文件提供了权限设置，分别是完全控制、修改、读取和运行、列出文件夹目录、读取、写入和特殊权限7个权限。

检测Everyone权限

如果Everyone 组的用户具备完全控制权，则可以对该文件夹或者文件进行所有的文件操作，建议取消Everyone组的完全控制权限。
右键磁盘->属性->安全->修改对应账户/组的权限

限制命令权限

WScript.Shell 、Shell.application 这两个组件一般一些ASP木马或一些恶意程序都会使用到。为了服务器安全，应该卸载这些不安全组件。
regsvr32 /u C:\WINDOWS\System32\wshom.ocx

regsvr32 /u C:\WINDOWS\system32\shell32.dll

除了卸载不安全组件外，我们还应该对一些命令做限制。建议对以下命令做限制，只允许system、Administrator组访问：

网络服务安全

关闭服务

关闭不必要的服务：开始->运行->services.msc。

关闭端口

查看端口使用情况：cmd:netstat
使用netstat 来查看端口使用情况，加上 –a 选项显示所有的连接和监听端口，加上-n以后以数字形式显示地址和端口号。 Listening 状态的表示正在监听，等待连接。

开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机
右键空白处创建

网络限制

开始->运行->secpol.msc （本地安全策略）-> IP安全策略，在本地计算机
设置完以后，执行gpupdate /force 是策略立即生效。

日志及审计的安全性

Windows Server 2008 系统日志包括：

1、应用程序日志。应用程序日志包含由应用程序或系统程序记录的时间。
2、安全日志。安全日志记录着有效和无效的登陆事件，以及与文件操作的其他事件。
3、系统日志。系统日志包含Windows 系统组件记录的事件。
4、安装程序日志。安装程序日志，记录在系统安装或者安装微软公司产品时，产生的日志。
在cmd输入eventvwr.msc 来打开事件查看器

增强审核

对系统事件进行审核，在日后出现故障时用于排查故障。
开始->运行->secpol.msc ->安全设置->本地策略->审核策略
建议设置