第二次实验 实验四Linux服务器通用安全加固指南

实验一

一、基本系统安全

1、保护引导过程（以Grub引导为例）

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时 运行级的配置要求输入 root 密码：

 

 

 

 

2、关闭不使用的服务

      首先查看哪些服务是开启的：

 

      关闭邮件服务，使用公司邮件服务器：

 

关闭nfs服务及客户端：

 

 

  当然还有其他的，根据你服务器的实际情况来关闭不必要的服务。

 

3、增强特殊文件权限：

      给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

 

 

 

注意：执行以上 chattr 权限修改之后，就无法添加删除用户了。在后面的实验过程中，如果修改不了上面设置过的文件，记得取消只读权限chattr -i。

      如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作，例如取消只读权限chattr -i /etc/passwd。（记得重新设置只读）

4、强制实行配额和限制：

      Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。

      谨记，这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构： username|@groupname type resource limit。

      为了与 username 区别，groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制（soft-limit）可以 被超出，通常只是警戒线，而硬限制（hard-limit）不能被超出。resource 可以 是下面的关键字之一：

      core - 限制内核文件的大小（KB）

      data - 最大数据大小（KB）

      fsize - 最大文件大小（KB）

      memlock - 最大锁定内存地址空间（KB）

      nofile - 打开文件的最大数目

      rss - 最大持久设置大小（KB）

      stack - 最大栈大小（KB）

      cpu - 以分钟为单位的最多 CPU 时间

      nproc - 进程的最大数目

      as - 地址空间限制

      maxlogins - 此用户允许登录的最大数目

 

要激活这些限制，您需要在 /etc/pam.d/login 底部添加下面一行： session required /lib/security/pam_limits.so。

 

 

     要为文件系统启用配额，您必须在 /etc/fstab 中为相应的那行添加一个选项。 使用 usrquota 和 grpquota 来启用 用户配额和组配额，像下面这样：

 

然后，使用 mount -a -o remount 重新挂载相应的文件系统，来激活刚才添加 的选项；然后使用 quotacheck -cugvm 创建一个二进制配额文件，其中包含了机器 可读格式的配额配置。这是配额子系统要操作的文件。然后使用  edquota -u username 为具体的用户配额。

 

 

 

 实验二

1. 禁用不使用的用户

注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user 锁定。

 

 

      注释的用户名：

 

 

 注释掉的组：

 

 

 

2、ssh登陆安全

 

      （1）修改ssh的默认端口22，改成如20002这样的较大端口会大幅提高安全系数，降低ssh破解登录的可能性。（注意：本实验环境不允许修改ssh端口，否则会造成服务断开）

 

      找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件，在“# Port 22”这一行下面添加一行，内容为 port 端口号。

 

 

  然后重启ssh服务即可。

 

 

（5）限制登录失败次数并锁定

      在/etc/pam.d/login后添加:

 

 

  登录失败5次锁定180秒，根据需要设置是否包括root。

3、减少history命令记录

      执行过的历史命令记录越多，从一定程度上讲会给维护带来简便，但同样会伴随安全问题。

      vi /etc/profile

      找到 HISTSIZE=1000 改为 HISTSIZE=50。

      执行 source /etc/profile生效

 

 

     或每次退出时清理history命令：history –c。

1、禁用ipv6

 

      IPv6是为了解决IPv4地址耗尽的问题，但我们的服务器一般用不到它，反而禁用IPv6不仅仅会加快网络，还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁用ipv6。

 

      禁止加载IPv6模块：

 

      让系统不加载ipv6相关模块，这需要修改modprobe相关设定文件，为了管理方便，我们新建设定文件/etc/modprobe.d/ipv6off.conf，内容如下：

 

  禁用基于IPv6网络，使之不会被触发启动：

 

  禁用网卡IPv6设置，使之仅在IPv4模式下运行：

 

 

  关闭ip6tables

      重启系统，验证是否生效：

 

如果没有任何输出就说明IPv6模块已被禁用，否则被启用。

 

2、防止一般网络攻击

 网络攻击不是几行设置就能避免的，以下都只是些简单的将可能性降到最低，增大攻击的难度但并不能完全阻止。

 

（1）禁ping

      阻止ping如果没人能ping通您的系统，安全性自然增加了，可以有效的防止ping洪水。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：

      注意 1 后面是有空格的

 

  或使用iptable禁ping，当然前提是你启用了iptables防火墙。

 

 

（2）防止IP欺骗

 

      编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击：

 

 

 

 

 

（3）防止DoS攻击

 

      对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量等。

 

      可以在/etc/security/limits.conf中添加如下几行：

 

 

 

  core 0 表示禁止创建core文件；nproc 128 把最多的进程数限制到20；nofile 64 表示把一个用户同时打开的最大文件数限制为64；* 表示登录到系统的所有用户，不包括root。

   然后必须编辑/etc/pam.d/login文件检查下面一行是否存在：

 

 

    limits.conf参数的值需要根据具体情况调整。

 

3、定期做日志检查

      将日志移动到专用的日志服务器里，这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处：

 

思考 1

 

 

 

2iptables有哪些用途？

iptables简称netfilter/iptables（简称为iptables）组成Linux平台下的包过滤防火墙，与大多数的Linux软件一样，这个包过滤防火墙是免费的，它可以代替昂贵的商业防火墙解决方案，完成封包过滤、封包重定向和网络地址转换（NAT）等功能。
iptables基础
规则（rules）其实就是网络管理员预定义的条件，规则一般的定义为“如果数据包头符合这样的条件，就这样处理这个数据包”。规则存储在内核空间的信息包过滤表中，这些规则分别制定了源地址、目的地址、传输协议（如TCP、UDP、ICMP）和服务类型（如HTTP、FTP和SMTP）等。当数据包与规则匹配时，iptables就根据规则所定义的方法来处理这些数据包，如放行（accept）、拒绝（reject）和丢弃（drop）等。配置防火墙的主要工作就是添加、修改和删除这些规则。
iptables和netfilter的关系
这是第一个要说的地方，Iptables和netfilter的关系是一个很容易让人搞不清的问题。很多的知道iptables却不知道netfilter。其实iptables只是Linux防火墙的管理工具而已，位于/sbin/iptables。真正实现防火墙功能的是netfilter，它是Linux内核中实现包过滤的内部结构。
iptables传输数据包的过程
① 当一个数据包进入网卡时，它首先进入PREROUTING链，内核根据数据包目的IP判断是否需要转送出去。
② 如果数据包就是进入本机的，它就会沿着图向下移动，到达INPUT链。数据包到了INPUT链后，任何进程都会收到它。本机上运行的程序可以发送数据包，这些数据包会经过OUTPUT链，然后到达POSTROUTING链输出。
③ 如果数据包是要转发出去的，且内核允许转发，数据包就会如图所示向右移动，经过FORWARD链，然后到达POSTROUTING链输出。