Linux服务器通用安全加固指南

一 基本系统安全

1、保护引导过程(以Grub引导为例)

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin,以确保当切换到单用户模式时 运行级的配置要求输入 root 密码:

Linux服务器通用安全加固指南

 

 

 Linux服务器通用安全加固指南

2、关闭不使用的服务

chkconfig [--add][--del][--list][系统服务]

参数:

  • --add:增加所指定的系统服务,让 chkconfig 指令得以管理它,并同时在系统启动的叙述文件内增加相关数据。

  • --del:删除所指定的系统服务,不再由 chkconfig 指令管理,并同时在系统启动的叙述文件内删除相关数据。

  • --level:<等级代号>  指定读系统服务要在哪一个执行等级中开启或关毕。

首先查看哪些服务是开启的

Linux服务器通用安全加固指南

service 服务名 stop 用来关闭服务

关闭邮件服务,使用公司邮件服务器

Linux服务器通用安全加固指南

3、增强特殊文件权限

给下面的文件加上不可更改属性,从而防止非授权用户获得权限

Linux服务器通用安全加固指南

  • 注意:执行以上 chattr 权限修改之后,就无法添加删除用户了,如果修改不了上面设置过的文件,记得取消只读权限chattr -i。

如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。(记得重新设置只读)

4、强制实行配额和限制

Linux PAM(插入式认证模块,Pluggable Authentication Modules)可以强制实行一些实用的限制,在 /etc/security/limits.conf 文件中对此进行配置。

谨记,这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构: username|@groupname type resource limit。

为了与 username 区别,groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制(soft-limit)可以 被超出,通常只是警戒线,而硬限制(hard-limit)不能被超出。

resource 可以 是下面的关键字之一:

  • core - 限制内核文件的大小(KB)

  • data - 最大数据大小(KB)

  • fsize - 最大文件大小(KB)

  • memlock - 最大锁定内存地址空间(KB)

  • nofile - 打开文件的最大数目

  • rss - 最大持久设置大小(KB)

  • stack - 最大栈大小(KB)

  • cpu - 以分钟为单位的最多 CPU 时间

  • nproc - 进程的最大数目

  • as - 地址空间限制

  • maxlogins - 此用户允许登录的最大数目

Linux服务器通用安全加固指南

上面的代码示例中:

  • 所有用户每个会话都限制在 10 MB,并允许同时有四个登录。

  • 第三行禁用了每个人的内核转储。

  • 第四行除去了用户 bin 的所有限制。

  • ftp 允许有 10 个并发会话(对匿名 ftp 帐号尤其实用);

  • managers 组的成员的进程数目限制 为 40 个。

  • developers 有 64 MB 的 memlock 限制

  • wwwusers 的成员不能创建大于 50 MB 的文件。

要激活这些限制,需要在 /etc/pam.d/login 底部添加下面一行: session required /lib/security/pam_limits.so

Linux服务器通用安全加固指南

二 用户安全

1、禁用不使用的用户

Linux服务器通用安全加固指南

注释的用户名:

Linux服务器通用安全加固指南

注释掉的组:

Linux服务器通用安全加固指南

2、ssh登陆安全

(1)修改ssh的默认端口22,改成如20002这样的较大端口会大幅提高安全系数,降低ssh破解登录的可能性。

找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件,在“# Port 22”这一行下面添加 一行,内容为 port 端口号。

Linux服务器通用安全加固指南

 

 

 Linux服务器通用安全加固指南

(2)只允许wheel用户组的用户su切换

usermod -G wheel 用户名
vi /etc/pam.d/su
# Uncomment the following line to require a user to be in the "wheel" group.auth required
pam_wheel.so use_uid

Linux服务器通用安全加固指南

 

 

 Linux服务器通用安全加固指南

(3)登录超时

用户在线5分钟无操作则超时断开连接,在/etc/profile中添加:

export TMOUT=300
readonly TMOUT

Linux服务器通用安全加固指南

Linux服务器通用安全加固指南

(4) 禁止root直接远程登录

/etc/ssh/sshd_config中加PermitRootLogin no

Linux服务器通用安全加固指南

(5)限制登录失败次数并锁定

在/etc/pam.d/login后添加auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180

登录失败5次锁定180秒,根据需要设置是否包括root。

Linux服务器通用安全加固指南

3、减少history命令记录

执行过的历史命令记录越多,从一定程度上讲会给维护带来简便,但同样会伴随安全问题。

vi /etc/profile 找到 HISTSIZE=1000 改为 HISTSIZE=50。

Linux服务器通用安全加固指南

cmd中执行 source /etc/profile生效

Linux服务器通用安全加固指南

或每次退出时清理history命令:history –c。

Linux服务器通用安全加固指南

三、网络安全

1、禁用ipv6

IPv6是为了解决IPv4地址耗尽的问题,但我们的服务器一般用不到它,反而禁用IPv6不仅仅会加快网络,还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁用ipv6。

禁止加载IPv6模块:让系统不加载ipv6相关模块,这需要修改modprobe相关设定文件,为了管理方便,我们新建设定文件/etc/modprobe.d/ipv6off.conf,插入内容如下:

alias net-pf-10 off options ipv6 disable=1

Linux服务器通用安全加固指南

 

 

 Linux服务器通用安全加固指南

禁用基于IPv6网络,使之不会被触发启动:

Linux服务器通用安全加固指南

 

 Linux服务器通用安全加固指南

禁用网卡IPv6设置,使之仅在IPv4模式下运行: 

Linux服务器通用安全加固指南

 

 Linux服务器通用安全加固指南

关闭ip6tables:

Linux服务器通用安全加固指南

重启系统,验证是否生效:

lsmod l grep ipv6

ifconfig l grep -i inet6

如果没有任何输出就说明IPv6模块已被禁用,否则被启用。

2、防止一般网络攻击

(1)禁ping

阻止ping如果没人能ping通您的系统,安全性自然增加了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:

Linux服务器通用安全加固指南

(2)防止IP欺骗

编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击:

Linux服务器通用安全加固指南

 

 Linux服务器通用安全加固指南

(3)防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等

可以在/etc/security/limits.conf中添加如下几行:

Linux服务器通用安全加固指南

 

 Linux服务器通用安全加固指南

core 0 表示禁止创建core文件;nproc 128 把最多的进程数限制到20;nofile 64 表示把一个用户同时打开的最大文件数限制为64;* 表示登录到系统的所有用户,不包括root。

然后必须编辑/etc/pam.d/login文件检查session required pam_limits.so一行是否存在:

Linux服务器通用安全加固指南

3、定期做日志检查

将日志移动到专用的日志服务器里,这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处:

/var/ log/message -记录系统日志或当前活动日志。
/var/ log/auth.log -身份认证日志。
/var/ log/cron - Crond日志(cron任务).
/var/ log/maillog -邮件服务器日志。
/var/ log/secure -认证日志。
/var/log/wtmp 历史登录、注销、启动、停机日志和,lastb命令可以查看登录失败的用户
/var/run/utmp当前登录的用户信息日志,w、who命令的信息便来源与此
/var/ log/yum.log Yum日志。

 

Linux服务器通用安全加固指南

上一篇:2021 M1 iMac 的 8 个最佳功能


下一篇:python题目