Linux服务器通用安全加固指南

一、基本系统安全

1、保护引导过程（以Grub引导为例）

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时 运行级的配置要求输入 root 密码：

防止用户使用 Ctrl-Alt-Del 进行重新引导：

      在RHEL6.X和CentOS 6.X下, 该热键的行为由'/etc/init/control-alt-delete.conf'控制。

      注释掉原来的改成：exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored"，这个配置会在每次按下Ctrl-Alt-Del 时输出日志。

 

2、关闭不使用的服务

      首先查看哪些服务是开启的：

 

 

 关闭邮件服务，使用公司邮件服务器：

 

 

 

 关闭nfs服务及客户端：

3、增强特殊文件权限：

      给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

 

 

 

 如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作，例如取消只读权限chattr -i /etc/passwd。

 

4、强制实行配额和限制：

二、用户安全

1. 禁用不使用的用户

 

 

 

 

2、ssh登陆安全

      （1）修改ssh的默认端口22，改成如20002这样的较大端口会大幅提高安全系数，降低ssh破解登录的可能性。

 

找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件，在“# Port 22”这一行下面添加一行，内容为 port 端口号。

 

2）只允许wheel用户组的用户su切换

 

 

 （3）登录超时

用户在线5分钟无操作则超时断开连接，在/etc/profile中添加：

（4） 禁止root直接远程登录

（5）限制登录失败次数并锁定

      在/etc/pam.d/login后添加:

3、减少history命令记录

      执行过的历史命令记录越多，从一定程度上讲会给维护带来简便，但同样会伴随安全问题。

      vi /etc/profile

      找到 HISTSIZE=1000 改为 HISTSIZE=50。

      执行 source /etc/profile生效

      或每次退出时清理history命令：history –c。

 

 

三、网络安全

 

1、禁用ipv6

 

      IPv6是为了解决IPv4地址耗尽的问题，但我们的服务器一般用不到它，反而禁用IPv6不仅仅会加快网络，还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁用ipv6。

 

      禁止加载IPv6模块：

 

      让系统不加载ipv6相关模块，这需要修改modprobe相关设定文件，为了管理方便，我们新建设定文件/etc/modprobe.d/ipv6off.conf

禁用基于IPv6网络，使之不会被触发启动：

 

 

 

 

 

 

 禁用网卡IPv6设置，使之仅在IPv4模式下运行：

 

关闭ip6tables：

2、防止一般网络攻击

（1）禁ping

（2）防止IP欺骗

      编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击

      

（3）防止DoS攻击

      对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。

      可以在/etc/security/limits.conf中添加如下几行：

      

 core 0 表示禁止创建core文件；nproc 128 把最多的进程数限制到20；nofile 64 表示把一个用户同时打开的最大文件数限制为64；* 表示登录到系统的所有用户，不包括root。

      然后必须编辑/etc/pam.d/login文件检查下面一行是否存在：

      

limits.conf参数的值需要根据具体情况调整。

3、定期做日志检查

      将日志移动到专用的日志服务器里，这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处：

      

1、查询资料了解更多关于linux系统加固的知识。

Linux系统进行安全加固可以通过如下方式 （1）文件监控层面：可以使用Aide工具进行问卷监控，这是最好的选择。 （2）Crontab任务监控：通过巡检脚本定期采集Crontab任务，分析每条任务。 （3）进程数量监控和对比：通过巡检脚本采集对比进程数量，发现进程差异要及时反馈，并给出进程的详细信息，根据PID号查询网络连接的异常。

2、查询资料了解iptables有哪些用途？

iptables是建立在netfilter构架基础上的一个包过滤管理工具，最主要的作用是用来做防火墙或透明代理。Iptables从ipchains发展而来，它的功能更为强大。Iptables提供一下三种功能：包过滤、NAT(网络地址转换）和通用的pre -route packet mangling。包过滤：用来过滤包，但是不修改包的内容。Iptables在包过滤方面相当于ipchians的主要优点是速度更快，使用更方便。NAT：NAT可以分为源地址NAT和目的地址NAT。Iptables可以追加、插入或删除包过滤规则。实际上真正执行这些过滤规则的是netfilter及其相关模块（如iptables模块和nat模块)。