Linux服务器通用安全加固指南

一、基本系统安全

1、保护引导过程（以Grub引导为例）

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时 运行级的配置要求输入 root 密码：

  

  防止用户使用 Ctrl-Alt-Del 进行重新引导：

      在RHEL6.X和CentOS 6.X下, 该热键的行为由'/etc/init/control-alt-delete.conf'控制。

      注释掉原来的改成：exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored"，这个配置会在每次按下Ctrl-Alt-Del 时输出日志。

 2、关闭不使用的服务

       首先查看哪些服务是开启的：

       

  

关闭邮件服务，使用公司邮件服务器：

      

 

 关闭nfs服务及客户端：

      

 3、增强特殊文件权限：

      给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

      

注意：执行以上 chattr 权限修改之后，就无法添加删除用户了。在后面的实验过程中，如果修改不了上面设置过的文件，记得取消只读权限chattr -i。

如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作，例如取消只读权限chattr -i /etc/passwd。

 4、强制实行配额和限制：

       Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。

      谨记，这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构： username|@groupname type resource limit。

       为了与 username 区别，groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制（soft-limit）可以 被超出，通常只是警戒线，而硬限制（hard-limit）不能被超出。resource 可以 是下面的关键字之一：

       core - 限制内核文件的大小（KB）

       data - 最大数据大小（KB）

       fsize - 最大文件大小（KB）

      memlock - 最大锁定内存地址空间（KB）

      nofile - 打开文件的最大数目

      rss - 最大持久设置大小（KB）

      stack - 最大栈大小（KB）

      cpu - 以分钟为单位的最多 CPU 时间

      nproc - 进程的最大数目

      as - 地址空间限制

      maxlogins - 此用户允许登录的最大数目

下面的代码示例中，所有用户每个会话都限制在 10 MB，并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制 为 40 个。developers 有 64 MB 的 memlock 限制，wwwusers 的成员不能创建大于 50 MB 的文件。

 

      

       要激活这些限制，您需要在 /etc/pam.d/login 底部添加下面一行： session required /lib/security/pam_limits.so。

       要为文件系统启用配额，您必须在 /etc/fstab 中为相应的那行添加一个选项。 使用 usrquota 和 grpquota 来启用 用户配额和组配额，像下面这样：

       

       然后，使用 mount -a -o remount 重新挂载相应的文件系统，来激活刚才添加 的选项；然后使用 quotacheck -cugvm 创建一个二进制配额文件，其中包含了机器 可读格式的配额配置。这是配额子系统要操作的文件。然后使用  edquota -u username 为具体的用户配额。

 二、用户安全

 1. 禁用不使用的用户

 

 2、ssh登陆安全

      （1）修改ssh的默认端口22，改成如20002这样的较大端口会大幅提高安全系数，降低ssh破解登录的可能性。

      找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件，在“# Port 22”这一行下面添加一行，内容为 port 端口号。

       

        然后重启ssh服务即可。

2）只允许wheel用户组的用户su切换(这里只是举例，不一定要用这个用户组名字)

  其他用户切换root，即使输对密码也会提示 su: incorrect password

（3）登录超时(本实验环境不允许这样操作！！！)

      用户在线5分钟无操作则超时断开连接，在/etc/profile中添加：

   （4） 禁止root直接远程登录(本实验环境不允许这样操作！！！)

（5）限制登录失败次数并锁定

      在/etc/pam.d/login后添加:

      

   登录失败5次锁定180秒，根据需要设置是否包括root。

3、减少history命令记录

      执行过的历史命令记录越多，从一定程度上讲会给维护带来简便，但同样会伴随安全问题。

      vi /etc/profile

      找到 HISTSIZE=1000 改为 HISTSIZE=50。

      执行 source /etc/profile生效

      或每次退出时清理history命令：history –c。

 三、网络安全

 1、禁用ipv6

       IPv6是为了解决IPv4地址耗尽的问题，但我们的服务器一般用不到它，反而禁用IPv6不仅仅会加快网络，还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁用ipv6。

       禁止加载IPv6模块：

       让系统不加载ipv6相关模块，这需要修改modprobe相关设定文件，为了管理方便，我们新建设定文件/etc/modprobe.d/ipv6off.conf，内容如下：

   

       禁用基于IPv6网络，使之不会被触发启动：

       

 

   禁用网卡IPv6设置，使之仅在IPv4模式下运行：

       

 

 

关闭ip6tables：

       

        重启系统，验证是否生效：

       

        如果没有任何输出就说明IPv6模块已被禁用，否则被启用。

 2、防止一般网络攻击

      网络攻击不是几行设置就能避免的，以下都只是些简单的将可能性降到最低，增大攻击的难度但并不能完全阻止。

（1）禁ping

      阻止ping如果没人能ping通您的系统，安全性自然增加了，可以有效的防止ping洪水。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：

 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

 或使用iptable禁ping，当然前提是你启用了iptables防火墙。

 iptables -A INPUT -p icmp --icmp-type 0 -s e/0 -j DROP不允许ping其他主机:

iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
（2）防止IP欺骗

 编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击：

 order hosts,bind   #名称解释顺序

multi on                #允许主机拥有多个IP地址
nospoof on           #禁止IP地址欺骗
（3）防止DoS攻击

 对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。

 可以在/etc/security/limits.conf中添加如下几行：

 *soft core 0

*soft nproc 2048
*hard nproc 16384
*soft nofile 1024
*hard nofile 65536
core 0 表示禁止创建core文件；nproc 128 把最多的进程数限制到20；nofile 64 表示把一个用户同时打开的最大文件数限制为64；* 表示登录到系统的所有用户，不包括root。

 然后必须编辑/etc/pam.d/login文件检查下面一行是否存在：

 session required pam_limits.so

 limits.conf参数的值需要根据具体情况调整。

 3、定期做日志检查

 将日志移动到专用的日志服务器里，这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处：

 /var/ log /message -记录系统日志或当前活动日志。

/var/ log/auth.log -身份认证日志。

/var/ log / cron - Crond日志(cron任务)。

/var/ log /maillog -邮件服务器日志。

/var/ log/secure - 认证日志。

/var/log/wtmp历史登录、注销、启动、停机日志和，lastb命令可以查看登录失败的用户

/var/run /utmp当前登录的用户信息日志，w、who命令的信息便来源与此

/var/ log /yum. log Yum日志。

四、分析与思考

1、查询资料了解更多关于linux系统加固的知识。

 1.用户账号和环境

清除系统不用的虚拟用户。

查看是否有空口令账号。

检查是否有除root以外的UID为0的用户。

检查root用户的$PATH中是否有’.'或者所有用户/组用户可写的目录

用户的home目录许可权限设置为700

是否有用户的点文件是所有用户可读写的

为用户设置合适的缺省umask值

2.系统访问认证和授权
限制 at/cron给授权的用户：
Cron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单, 在多数系统上通常只有系统管理员才需要运行这些命令。
Crontab文件限制访问权限：
系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序。
建立恰当的警告banner:
改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用。
限制root登录到系统控制台：
通常应该以普通用户身份访问系统,然后通过其它授权机制(比如su命令和sudo)来获得更高权限,这样做至少可以对登录事件进行跟踪
设置守护进程掩码（系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件）：
vi /etc/rc.d/init.d/functions，设置为 umask 022、
2、查询资料了解iptables有哪些用途？

iptables是建立在netfilter构架基础上的一个包过滤管理工具，最主要的作用是用来做防火墙或透明代理。Iptables从ipchains发展而来，它的功能更为强大。Iptables提供一下三种功能：包过滤、NAT(网络地址转换）和通用的pre -route packet mangling。包过滤：用来过滤包，但是不修改包的内容。Iptables在包过滤方面相当于ipchians的主要优点是速度更快，使用更方便。NAT：NAT可以分为源地址NAT和目的地址NAT。Iptables可以追加、插入或删除包过滤规则。实际上真正执行这些过滤规则的是netfilter及其相关模块（如iptables模块和nat模块)。