【OS】CentOS7 系统服务器初始化配置、安全加固、内核升级优化

我国实行网络安全等级保护制度，等级保护对象分为五个级别，由一到五级别逐渐升高，每一个级别的要求存在差异，级别越高，要求越严格。

第一级，自主保护级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益；一般适用于小型私营、个体企业、中小学，乡镇所属信息系统、县级单位中一般的信息系统。

第二级，指导保护级：信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全；一般适用于县级其些单位中的重要信息系统；地市级以上国家机关、企事业单位内部一般的信息系统。例如非涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统等。

第三级，监督保护级：信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害；一般适用于地市级以上国家机关、企业、事业单位内部重要的信息系统，例如涉及工作秘密、商业秘密、敏感信息的办公系统和管理系统；跨省或全国联网运行的用于生产、调度、管理、指挥、作业、控制等方面的重要信息系统以及这类系统在省、地市的分支系统；中央各部委、省（区、市）门户网站和重要网站；跨省连接的网络系统等。

第四级，强制保护级：信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害；一般适用于国家重要领域、重要部门中的特别重要系统以及核心系统。例如电力、电信、广电、铁路、民航、银行、税务等重要、部门的生产、调度、指挥等涉及国家安全、国计民生的核心系统。

第五级，专控保护级：信息系统受到破坏后，会对国家安全造成特别严重损害。一般适用于国家重要领域、重要部门中的极端重要系统。

三级等保指信息系统经过定级、备案这一流程之后，确定为第三级的信息系统，那么就需要做三级等保。

在我国，“三级等保”是对非银行机构的最高等级保护认证，一般定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云（服务商）平台和其他重要系统。

这一认证由公安机关依据国家信息安全保护条例及相关制度规定，按照管理规范和技术标准，对各机构的信息系统安全等级保护状况进行认可及评定。

一般我们生活中接触多的定级为等保三级的系统有互联网医院平台、P2P金融平台、网约车平台、云（服务商）平台和其他重要系统。

根据《信息系统安全等级保护基本要求》，三级等保的测评内容涵盖等级保护安全技术要求的5个层面和安全管理要求的5个层面，包含信息保护、安全审计、通信保密等在内的近300项要求，共涉及测评分类73类。

通过“三级等保”认证，表明企业的信息安全管理能力达到国内最高标准。

CentOS7 系统服务器初始化配置、安全加固、内核升级优化

>使用下面命令，查看系统是否含有pam_tally2so模块，如果没有就需要使用pam_tallyso模块，两个模块的使用方法不太一样，需要区分开来。

编辑系统/etc/pamd/system-auth 文件，一定要在pam_envso后面添加如下策略参数：

上面只是限制了从终端su登陆，如果想限制ssh远程的话，要改的是/etc/pamd/sshd这个文件，添加的内容跟上面一样！

编辑系统/etc/pamd/sshd文件，注意添加地点在#%PAM-10下一行，即第二行添加内容

ssh锁定用户后查看：

编辑系统 /etc/pamd/login 文件，注意添加地点在#%PAM-10的下面,即第二行，添加内容

tty登录锁定后查看：

编辑 /etc/pamd/remote文件，注意添加地点在pam_envso后面,参数和ssh一致

关于IIS服务器的安全主要包括六步：
1、使用安全配置向导（Security Configuration Wizard）来决定web服务器所需的最小功能，然后禁止其他不需要的功能。具体地说，它能帮你
1》禁止不需要的服务
2》堵住不用的端口
3》至于打开的端口，对可以访问的地址和其他安全做进一步的限制
4》如果可行，禁止不需要的IIS的web扩展
5》减小对SMB，LAN Manager，和LDAP协议的显露
6》定义一个高信噪比的对策
2、把网站文件放在一个非系统分区（partition）上，防止directory traversal的缺陷，对内容进行NTFS权限稽查（Audit）。
3、对自己的系统定期做安全扫描和稽查，在别人发现问题前尽早先发现自己的薄弱处。
4、定期做日志分析，寻找多次失败的登陆尝试，反复出现的404，401，403错误，不是针对你的网站的请求记录等。
5、如果使用IIS 6的话，使用Host Headers ，URL扫描，实现自动网站内容和IIS Metabase的Replication，对IUSR_servername帐号户使用标准的名称等。
6、总的web架构的设计思路：别把你的外网web服务器放在内网的活动目录（Active Directory）里，别用活动目录帐号运行IIS匿名认证，考虑实时监测，认真设置应用池设置，争取对任何活动做日志记录，禁止在服务器上使用Internet Explorer等。

---