Linux服务器通用安全加固指南

预备知识:

      Linux 是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux 系统,或者盗取 Linux 系统上的重要信息。不过,只要我们仔细地设定 Linux 的各种系统功能,并且加上必要的安全措施,就能让黑客们无机可乘。一般来说,对 Linux 系统的安全设定包括取消不必要的服务、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经常性的安全检查等。

       Linux 系统上基本的安全加固方法。

      Linux服务器通用安全加固指南

参考资料:

通用 CentOS 6 服务器安全配置指南:http://segmentfault.com/a/1190000002532945

让 Linux 更安全,第 3 部分: 加固系统: http://www.ibm.com/developerworks/cn/linux/l-seclnx3/

Linux磁盘配额:http://hetianlab.com/expc.do?w=exp_ass&ec=ECID172.19.104.182014120311052400001

深度解析CentOS通过日志反查入侵:http://linux.it.net.cn/CentOS/safe/2014/0429/985.html

小提示:修改任何配置文件之前记得先备份一份。

实验截图:
保护引导过程
Linux服务器通用安全加固指南
 
 
Linux服务器通用安全加固指南

 

 查看开启服务

Linux服务器通用安全加固指南

 

关闭邮件服务,使用公司邮件服务器

 

Linux服务器通用安全加固指南

 

增强特殊文件属性:

 

Linux服务器通用安全加固指南

 

禁用不使用的用户,注释的用户名:

 

Linux服务器通用安全加固指南

 

 Linux服务器通用安全加固指南

网络安全,防止一般网络攻击,禁ping

Linux服务器通用安全加固指南

 

 

 

 

实验笔记:

一、基本系统安全

1、保护引导过程(以Grub引导为例)

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin,以确保当切换到单用户模式时 运行级的配置要求输入 root 密码:

      Linux服务器通用安全加固指南

       Linux服务器通用安全加固指南

      防止用户使用 Ctrl-Alt-Del 进行重新引导:

      在RHEL6.X和CentOS 6.X下, 该热键的行为由‘/etc/init/control-alt-delete.conf‘控制。

      注释掉原来的改成:exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored",这个配置会在每次按下

      Ctrl-  Alt-Del 时输出日志。

      Linux服务器通用安全加固指南

小提示:在终端登录的情况下,看不到效果,只有在机器面前,按下键盘上的Ctrl+Alt+del键,才会在/var/log/message里面看到输出日志

2、关闭不使用的服务(可据实际情况关闭自己想关闭的服务)

      查看哪些服务是开启的方法:  Linux服务器通用安全加固指南

      关闭邮件服务,使用公司邮件服务器方法:  Linux服务器通用安全加固指南

      关闭nfs服务及客户端:

      Linux服务器通用安全加固指南

3、增强特殊文件权限:给下面的文件加上不可更改属性,从而防止非授权用户获得权限。

      Linux服务器通用安全加固指南

注意:执行以上 chattr 权限修改之后,就无法添加删除用户了。在后面的实验过程中,如果修改不了上面设置过的文件,记得取消只读权限chattr -i。

      如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。(记得重新设置只读)

4、强制实行配额和限制:

      Linux PAM(插入式认证模块,Pluggable Authentication Modules)可以强制实行一些实用的限制,在 /etc/security/limits.conf 文件中对此进行配置。

      谨记,这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构: username|@groupname type resource limit。

      为了与 username 区别,groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制(soft-limit)可以 被超出,通常只是警戒线,而硬限制(hard-limit)不能被超出。resource 可以 是下面的关键字之一:

      core - 限制内核文件的大小(KB)

      data - 最大数据大小(KB)

      fsize - 最大文件大小(KB)

      memlock - 最大锁定内存地址空间(KB)

      nofile - 打开文件的最大数目

      rss - 最大持久设置大小(KB)

      stack - 最大栈大小(KB)

      cpu - 以分钟为单位的最多 CPU 时间

      nproc - 进程的最大数目

      as - 地址空间限制

      maxlogins - 此用户允许登录的最大数目

二、用户安全

1. 禁用不使用的用户

注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user 锁定。

      Linux服务器通用安全加固指南

2、ssh登陆安全

      (1)修改ssh的默认端口22,改成如20002这样的较大端口会大幅提高安全系数,降低ssh破解登录的可能性。(注意:本实验环境不允许修改ssh端口,否则会造成服务断开)

      找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件,在“# Port 22”这一行下面添加一行,内容为 port 端口号。

      Linux服务器通用安全加固指南 

      然后重启ssh服务即可。

      (2)只允许wheel用户组的用户su切换(这里只是举例,不一定要用这个用户组名字)

      Linux服务器通用安全加固指南

      其他用户切换root,即使输对密码也会提示 su: incorrect password

      (3)登录超时(本实验环境不允许这样操作!!!)

      用户在线5分钟无操作则超时断开连接,在/etc/profile中添加:

      Linux服务器通用安全加固指南

      (4) 禁止root直接远程登录(本实验环境不允许这样操作!!!)

      Linux服务器通用安全加固指南

      (5)限制登录失败次数并锁定

      在/etc/pam.d/login后添加:

      Linux服务器通用安全加固指南

      登录失败5次锁定180秒,根据需要设置是否包括root。

3、减少history命令记录

      执行过的历史命令记录越多,从一定程度上讲会给维护带来简便,但同样会伴随安全问题。

      vi /etc/profile

      找到 HISTSIZE=1000 改为 HISTSIZE=50。

      执行 source /etc/profile生效

      或每次退出时清理history命令:history –c。

三、网络安全

1、禁用ipv6

      IPv6是为了解决IPv4地址耗尽的问题,但我们的服务器一般用不到它,反而禁用IPv6不仅仅会加快网络,还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁用ipv6。

      禁止加载IPv6模块:

      让系统不加载ipv6相关模块,这需要修改modprobe相关设定文件,为了管理方便,我们新建设定文件/etc/modprobe.d/ipv6off.conf,内容如下:

      Linux服务器通用安全加固指南

      禁用基于IPv6网络,使之不会被触发启动:

      Linux服务器通用安全加固指南

      禁用网卡IPv6设置,使之仅在IPv4模式下运行:

      Linux服务器通用安全加固指南

      关闭ip6tables:

      Linux服务器通用安全加固指南

      重启系统,验证是否生效:

      Linux服务器通用安全加固指南

      如果没有任何输出就说明IPv6模块已被禁用,否则被启用。

2、防止一般网络攻击(网络攻击不是几行设置就能避免的,以下都只是些简单的将可能性降到最低,增大攻击的难度但并不能完全阻止。)

(1)禁ping

      阻止ping如果没人能ping通您的系统,安全性自然增加了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:

      注意 1 后面是有空格的

      Linux服务器通用安全加固指南

      或使用iptable禁ping,当然前提是你启用了iptables防火墙。

      Linux服务器通用安全加固指南

(2)防止IP欺骗

      编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击:

      Linux服务器通用安全加固指南

(3)防止DoS攻击

      对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。

      可以在/etc/security/limits.conf中添加如下几行:

      Linux服务器通用安全加固指南

      core 0 表示禁止创建core文件;nproc 128 把最多的进程数限制到20;nofile 64 表示把一个用户同时打开的最大文件数限制为64;* 表示登录到系统的所有用户,不包括root。

      然后必须编辑/etc/pam.d/login文件检查下面一行是否存在:

      Linux服务器通用安全加固指南

      limits.conf参数的值需要根据具体情况调整。

3、定期做日志检查

      将日志移动到专用的日志服务器里,这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处:

      Linux服务器通用安全加固指南

分析与思考

1、查询资料了解更多关于linux系统加固的知识。

 

加固Linux系统的三种方法:

           Linux命令行历史加固

           通过配置系统环境变量实现记录用户在命令行执行的命令。

            crond调用黑白名单

            Cron有它自己内建的特性,这特性允许定义哪些人能哪些人不能跑任务。 这是通过两个文件/etc/cron.allow 和 /etc/cron.deny控制的。要锁定在用Cron的用户时   可以简单的将其名字写到corn.deny里,而要允许用户跑cron时将其名字加到cron.allow即可。如果你要禁止所有用户,仅允许root用户。如下:

1
2
# echo ‘root‘ >> /etc/cron.allow
# echo ‘ALL‘ >> /etc/cron.deny

           ssh服务禁止root登录

        (1)不要使用默认端口,修改方式;

1
Port 3714

         (2)不要使用第一版协议;

1
Protocol 2

         等

2、查询资料了解iptables有哪些用途?

     iptables应用主要包括主机防火墙和网络防火墙, 简称netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

 

Linux服务器通用安全加固指南

上一篇:HTML5新特性 websocket(重点)--多对多聊天室


下一篇:HTML5新特性:FileReader 和 FormData