Server-Sicherheit · 4 min read · Jan 08, 2026

Sichern des CentOS-Servers mit Bastille und PSAD

Dieser Artikel zeigt, wie man einen CentOS-Server mit psad, Bastille und einigen anderen Anpassungen sichert. psad ist ein Tool, das hilft, Portscans und anderen verdächtigen Datenverkehr zu erkennen, und das Bastille-Härtungsprogramm sperrt ein Betriebssystem, indem es das System proaktiv für erhöhte Sicherheit konfiguriert und seine Anfälligkeit für Kompromisse verringert.

Erstellen eines zusätzlichen Kontos für die Systemadministration

Der Befehl “adduser” erstellt ein Konto.

adduser service

Der Befehl “passwd” setzt das Passwort für das “service”-Konto.

passwd service

Erstellen eines Verzeichnisses für Downloads.

Dies wird ein Verzeichnis erstellen, um die RPMs und andere Dateien herunterzuladen.

mkdir /downloads  
cd /downloads

Installation von PSAD

psad ist eine Sammlung von drei leichten System-Daemons (zwei Haupt-Daemons und ein Hilfs-Daemon), die auf Linux-Maschinen laufen und Netfilter-Protokollnachrichten analysieren, um Portscans und anderen verdächtigen Datenverkehr zu erkennen. Weitere Informationen finden Sie hier.

wget http://www.cipherdyne.com/psad/download/psad-2.4.6.tar.gz  
tar xfz psad-2.4.6.tar.gz  
cd psad-2.4.6  
./install.pl

Installation von Bastille

Das Bastille-Härtungsprogramm “sperrt” ein Betriebssystem, indem es das System proaktiv für erhöhte Sicherheit konfiguriert und seine Anfälligkeit für Kompromisse verringert. Bastille kann auch den aktuellen Zustand der Härtung eines Systems bewerten und detailliert über jede der Sicherheitskonfigurationen berichten, mit denen es arbeitet. Weitere Informationen finden Sie hier.

wget https://downloads.sourceforge.net/project/bastille-linux/bastille-linux/3.2.1/Bastille-3.2.1-0.1.noarch.rpm  
  
rpm -ivh Bastille-3.2.1-0.1.noarch.rpm

Ausführen von Bastille

Dies wird die interaktive Eingabeaufforderung starten.

/usr/sbin/bastille -c

Antwort der interaktiven Eingabeaufforderung

Diese Einstellungen sind Empfehlungen für die Installation von Perfect Setup. Es kann bestimmte Werte geben, die geändert werden müssen, wenn andere Software oder Pakete installiert wurden.

accept  
  
  
  
Möchten Sie restriktivere Berechtigungen für die Administrationswerkzeuge festlegen? -> JA  
  
  
  
Möchten Sie den SUID-Status für mount/umount deaktivieren? -> JA  
Möchten Sie den SUID-Status für ping deaktivieren? -> JA  
Möchten Sie den SUID-Status für at deaktivieren? -> JA  
Möchten Sie die r-Tools deaktivieren? -> JA  
Möchten Sie den SUID-Status für usernetctl deaktivieren? -> JA  
Möchten Sie den SUID-Status für traceroute deaktivieren? -> JA  
Soll Bastille die Klartext-r-Protokolle, die IP-basierte Authentifizierung verwenden, deaktivieren? -> JA  
Möchten Sie die Passwortalterung durchsetzen? -> JA  
Möchten Sie die Standard-Umask festlegen? -> JA   
Welche Umask möchten Sie für Benutzer im System festlegen? -> 007  
Soll der Root-Login auf tty's 1-6 verboten werden? -> NEIN  
Soll Bastille Sie nach überflüssigen Konten fragen, die gelöscht werden sollen? -> NEIN  
Möchten Sie die GRUB-Eingabeaufforderung mit einem Passwort schützen? -> NEIN  
Möchten Sie das Neustarten mit CTRL-ALT-DELETE deaktivieren? -> JA  
Möchten Sie den Einzelbenutzermodus mit einem Passwort schützen? -> NEIN  
Möchten Sie eine Standardverweigerung für TCP Wrappers und xinetd festlegen? -> NEIN  
Möchten Sie "Autorisierte Nutzung"-Nachrichten beim Anmelden anzeigen? -> JA  
Wer ist verantwortlich für die Erteilung der Erlaubnis zur Nutzung dieser Maschine? -> IHR FIRMENNAME  
Möchten Sie Einschränkungen für die Nutzung von Systemressourcen festlegen? -> JA  
  
  
  
Sollten wir den Konsolenzugang auf eine kleine Gruppe von Benutzerkonten beschränken? -> JA  
Welche Konten sollten sich an der Konsole anmelden können? -> root  
Möchten Sie die Prozessabrechnung einrichten? -> NEIN  
  
  
  
Möchten Sie acpid und/oder apmd deaktivieren? -> JA  
Möchten Sie die PCMCIA-Dienste deaktivieren? -> JA  
Möchten Sie GPM deaktivieren? -> JA  
Möchten Sie das HP OfficeJet (hpoj)-Skript auf dieser Maschine deaktivieren? -> JA  
Möchten Sie das ISDN-Skript auf dieser Maschine deaktivieren? -> JA  
Möchten Sie kudzus Ausführung beim Booten deaktivieren? -> JA  
Möchten Sie verhindern, dass sendmail im Daemon-Modus läuft? -> JA  
Möchten Sie named vorerst deaktivieren? -> NEIN  
Möchten Sie den Apache-Webserver deaktivieren? -> NEIN  
Möchten Sie den Webserver so binden, dass er nur auf localhost hört? -> NEIN  
Möchten Sie den Webserver an eine bestimmte Schnittstelle binden? -> NEIN  
  
  
  
Möchten Sie das Folgen von symbolischen Links deaktivieren? -> JA  
Möchten Sie das Drucken deaktivieren? -> JA  
Möchten Sie TMPDIR/TMP-Skripte installieren? -> NEIN  
Möchten Sie das Paketfilter-Skript ausführen? -> JA  
  
  
  
Benötigen Sie die erweiterten Netzwerkoptionen? -> NEIN  
DNS-Server: [0.0.0.0/0] -> STANDARD BELASSEN  
Öffentliche Schnittstellen: -> eth+  
TCP-Dienste zur Prüfung: -> telnet ftp imap pop3 finger sunrpc exec login linuxconf ssh  
UDP-Dienste zur Prüfung: -> 31337  
ICMP-Dienste zur Prüfung: -> LEER  
TCP-Dienstnamen oder Portnummern, die auf öffentlichen Schnittstellen erlaubt sind: -> 21 22 25 53 80 110 111 143 443 631 953 993 995 3306  
UDP-Dienstnamen oder Portnummern, die auf öffentlichen Schnittstellen erlaubt sind: -> LEER  
Passive Mode erzwingen? -> JA  
TCP-Dienste blockieren: -> 2049 2065:2090 6000:6020 7100  
UDP-Dienste blockieren: -> 2049 6770  
Erlaubte ICMP-Typen: -> destination-unreachable echo-reply time-exceeded  
Quelladresse überprüfen? -> JA  
Ablehnungsmethode: -> VERWEIGERN  
Schnittstellen für DHCP-Anfragen: -> LEER  
NTP-Server, die abgefragt werden sollen: -> LEER  
ICMP-Typen, die ausgehende Verbindungen verbieten sollen: -> destination-unreachable time-exceeded  
Soll Bastille die Firewall aktivieren und beim Booten aktivieren? -> JA  
Möchten Sie psad einrichten? -> JA  
psad-Prüfintervall: -> 15  
Schwellenwert für Portbereichsscans: -> 1  
Scanpersistenz aktivieren? -> NEIN  
Scan-Timeout: -> 3600  
Alle Scan-Signaturen anzeigen? -> NEIN  
Gefahrenstufen: -> 5 50 1000 5000 10000  
E-Mail-Adressen: -> root@localhost  
E-Mail-Alarm-Gefahrenstufe: -> 1  
Alarm bei allen neuen Paketen? -> JA  
Automatische Blockierung von scannenden IPs aktivieren? -> NEIN  
Soll Bastille psad beim Booten aktivieren? -> JA  
Sind Sie fertig mit der Beantwortung der Fragen, d.h. dürfen wir die Änderungen vornehmen? -> JA

SSH-Konfiguration bearbeiten

Dies wird einen zusätzlichen Schritt zur Sicherung von SSH erfordern. Die folgenden Einstellungen werden:

  • sicherstellen, dass SSHv2 verwendet wird
  • der Root-Benutzer kann sich nicht direkt über SSH anmelden
  • Konten ohne Passwörter dürfen sich nicht anmelden
  • ein Anmeldebanner wird angezeigt.
vi /etc/ssh/sshd_config

Bearbeiten Sie die folgenden Zeilen und entfernen Sie den Kommentar. Vergessen Sie nicht, zu speichern und zu beenden.

#Protocol 2,1 -> Protocol 2  
#PermitRootLogin yes -> PermitRootLogin no  
#PermitEmptyPasswords no -> PermitEmptyPasswords no  
#Banner /some/path -> Banner /etc/issue

System neu starten

Bitte starten Sie das System als letzte Überprüfung neu. Stellen Sie sicher, dass alles ordnungsgemäß startet.

reboot
Share: X/Twitter LinkedIn
#Server-Sicherheit

Erhalte neue Beiträge in deinem Posteingang.

Kein Spam. Jederzeit abmelden.