注：建议在修改相关配置文件时，首先对需要修改文件进行备份。
1、ssh远程连接
vi /etc/sshd/sshd_config
Port 65531
#修改ssh端口，默认22
ListenAddress 192.168.1.X
#允许ssh登录的IP地址
PermitRootLogin no
#禁止root通过ssh连接）
AllowUsers [email protected]*
#允许用户test从IP为192.168.1.*客户端登陆访问）
修改完成后重启ssh服务
service sshd restart

2、用户认证
在/etc/pam.d/system-auth文件中加入下面两行：
用户尝试登录5次失败，锁住这个用户（faillog -u <用户名> -r解锁）
auth required /lib/security/pam_tally.so onerr=fail no_magic_root
account required /lib/security/pam_tally.so deny=5 no_magic_root reset

3、增强内核及TCP/IP安全
在/etc/sysctl.conf文件中添加如下内容：
调整如下内核参数，以提高系统防止IP欺骗及DOS攻击的能力：
net.ipv4.ip_forward = 0
#对于LVS，网关或v*n服务器，要设置为1
net.ipv4.conf.all.accept_source_route = 0
#丢弃源路由包
net.ipv4.conf.all.accept_redirects = 0
#禁止接受重定向
net.ipv4.conf.all.rp_filter = 1
对于LVS 后端服务器，要设置为0
net.ipv4.icmp_echo_ignore_broadcasts = 1
#禁止相应广播icmp echo 请求
net.ipv4.icmp_echo_ignore_all = 1
#系统关闭ping
net.ipv4.tcp_syncookies = 1
#对TCP SYN Cookie的保护，防止SYN FLood攻击
设置完成后使用执行：sysctl -p

4、口令安全
更改文件:/etc/login.defs配置默认口令属性：
PASS_MAX_DAYS 90
#设置密码过期日期90天
PASS_MIN_DAYS 30
#设置密码最少更改日期
PASS_MIN_LEN 10
#设置密码最小长度
PASS_WARN_AGE 7
#设置过期提前警告天数

5、系统参数、属性设置
修改/etc/profile文件，加入如下内容：
export TMOUT=600
#无交互操作10分钟后退出
HISTFILESIZE=5
#定义.bash_history中保存的命令数
HISTSIZE=5
#定义history保存命令数

6、对su权限的设置
只允许特定用户组使用su命令成为root
编辑/etc/pam.d/su文件，在此允许test用户组，在文件头部加上
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=test
设置用户属组
usermod -G test test1 来将用户加入test组

7、删除不必要的系统用户和组
(先备份文件/etc/passwd、/etc/shadow）
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel pcap
userdel mail
userdel vcsa
userdel uucp
userdel operator
userdel games # 如果不使用X window，则删除
userdel gopher
userdel ftp #如果不使用ftp服务则删除
删除无用组（先备份/etc/group、/etc/gshadow）
groupdel gamer
groupdel pcap
groupdel rpcuser
groupdel vcsa
groupdel smmsp
groupdel mailnull
groupdel lp
groupdel wheel
groupdel mail
groupdel news

8、设置允许登录的机器
在/etc/hosts.allow文件中添加
sshd:192.168.1.10:allow
#允许192.168.1.10地址登录
sshd:192.168.1.*:allow
#允许192.168.1.*网段地址登录
sshd:all:deny
#禁止

9、禁止除root外帐户使用at/cron
添加root到cron.allow和at.allow，并删除cron.deny和at.deny
rm -f cron.deny at.deny
echo root > cron.allow
echo root > at.allow
chown root:sys cron.allow at.allow
chmod 400 cron.allow at.allow

10、设置远程日志服务器
/etc/syslog.conf
修改配置：
vi /etc/syslog.conf
. @192.168.1.10
可以将*.替换为实际需要的日志信息，如：kern. mail.*等
重启syslog服务：
service syslog restart

11、修改文件权限
修改shadow、group、passwd、gshadow文件不可改变位
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
修改脚本文件在"/etc/rc.d/init.d"目录下的权限，只允许root使用Read、Write、Execute
chmod -R 700 /etc/rc.d/init.d/*