一、实验简介

实验所属系列：Linux服务器搭建/Linux服务安全 

实验对象： 本科/专科信息安全专业 

相关课程及专业： Linux基础，Linux进阶 

实验时数（学分）：2学时

实验类别：实践类

二、预备知识

本实验参考资料：

通用 CentOS 6 服务器安全配置指南：http://segmentfault.com/a/1190000002532945

让 Linux 更安全，第 3 部分: 加固系统:http://www.ibm.com/developerworks/cn/linux/l-seclnx3/

Linux磁盘配额：http://hetianlab.com/expc.do？w=exp_ass&ec=ECID172.19.104.182014120311052400001

深度解析CentOS通过日志反查入侵：http://linux.it.net.cn/CentOS/safe/2014/0429/985.html

小提示：修改任何配置文件之前记得先备份一份。 

 三、实验目的

1、基本系统安全

2、用户安全

3、网络安全

四、实验环境

五、实验步骤

1）

保护引导过程（以Grub引导为例）

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时 运行级的配置要求输入 root 密码： 

      防止用户使用 Ctrl-Alt-Del 进行重新引导：

      在RHEL6.X和CentOS 6.X下, 该热键的行为由‘/etc/init/control-alt-delete.conf‘控制。

      注释掉原来的改成：exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored"，这个配置会在每次按下Ctrl-Alt-Del 时输出日志。

      小提示：在终端登录的情况下，看不到效果，只有在机器面前，按下键盘上的Ctrl+Alt+del键，才会在/var/log/message里面看到输出日志

关闭不使用的服务

      首先查看哪些服务是开启的：

      关闭邮件服务，使用公司邮件服务器：

      关闭nfs服务及客户端：

      当然还有其他的，根据你服务器的实际情况来关闭不必要的服务。

增强特殊文件权限：

      给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

注意：执行以上 chattr 权限修改之后，就无法添加删除用户了。在后面的实验过程中，如果修改不了上面设置过的文件，记得取消只读权限chattr -i。

      如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作，例如取消只读权限chattr -i /etc/passwd。（记得重新设置只读）

强制实行配额和限制：

      Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。

      谨记，这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构： username|@groupname type resource limit。

      为了与 username 区别，groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制（soft-limit）可以 被超出，通常只是警戒线，而硬限制（hard-limit）不能被超出。resource 可以 是下面的关键字之一：

      core - 限制内核文件的大小（KB）

      data - 最大数据大小（KB）

      fsize - 最大文件大小（KB）

      memlock - 最大锁定内存地址空间（KB）

      nofile - 打开文件的最大数目

      rss - 最大持久设置大小（KB）

      stack - 最大栈大小（KB）

      cpu - 以分钟为单位的最多 CPU 时间

      nproc - 进程的最大数目

      as - 地址空间限制

      maxlogins - 此用户允许登录的最大数目

      下面的代码示例中，所有用户每个会话都限制在 10 MB，并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制 为 40 个。developers 有 64 MB 的 memlock 限制，wwwusers 的成员不能创建大于 50 MB 的文件。

      要激活这些限制，您需要在 /etc/pam.d/login 底部添加下面一行： session required /lib/security/pam_limits.so。

2）

禁用不安全的账户

　　注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user 锁定。

  　　注释掉的用户名：

ssh登录安全

　    修改ssh的默认端口22，改成如20002这样的较大端口会大幅提高安全系数，降低ssh破解登录的可能性。（注意：本实验环境不允许修改ssh端口，否则会造成服务断开）

        找到ssh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件，在“# Port 22”这一行下面添加一行，内容为 port 端口号。

 然后重启ssh服务即可

 只允许wheel用户组的用户su切换(这里只是举例，不一定要用这个用户组名字)

登录超时（本实验环境不允许这样操作！！！)

　　用户在线5分钟无操作则超时断开连接，在/etc/profile中添加：

禁止root直接远程登录（本实验环境不允许这样操作！！！）

限制登录失败次数并锁定

 　　　  在/etc/pam.d/login后添加:

登录失败5次锁定180秒，根据需要设置是否包括root。

减少history命令记录

　　执行过的历史命令记录越多，从一定程度上讲会给维护带来简便，但同样会伴随安全问题。

      vi /etc/profile

      找到 HISTSIZE=1000 改为 HISTSIZE=50。

      执行 source /etc/profile生效

      或每次退出时清理history命令：history –c。

 3）

Linux服务器通用安全加固指南