15、Linux安全加固

Linux 安全加固概述

安全加固的意义：
通过安全加固预防和减少潜在的安全问题，增强系统的防护能力，防患于未然。

基线检查：
确保系统的基础安全配置符合相关标准和最佳实践。
参考文档：

• 阿里云基线检查
• 《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070-2019）
• 《信息安全技术网络安全等级保护测试评估技术指南》（GB/T 36627-2018）

加固思路：

• 身份鉴别
• 访问控制
• 安全审计
• 入侵防范
• 漏洞补丁管理

---

身份鉴别加固

1. 删除无用或多余账号：

cat /etc/passwd
cat /etc/shadow
userdel <用户名>

2. 密码策略：

• 检查空口令：

  awk -F: '($2 == "") {print $1}' /etc/shadow
  passwd <用户名>
  

• 设置密码有效期：
  编辑 /etc/login.defs 文件：

  PASS_MAX_DAYS 90  # 密码最长有效期
  PASS_MIN_DAYS 1   # 密码最短有效期
  PASS_MIN_LEN 8    # 密码最小长度
  PASS_WARN_AGE 7   # 密码过期前通知时间
  

• 增强密码强度：
  编辑 /etc/pam.d/system-auth 文件：

  password requisite pam_cracklib.so retry=3 difok=2 minlen=8 lcredit=-1 dcredit=-1
  

  参数说明：
  • retry: 密码重试次数
  • difok: 新密码与旧密码最少不同字符数
  • minlen: 密码最小长度
  • lcredit/dcredit/ucredit/ocredit: 大写、小写、数字、特殊字符的最小数量

3. 登录失败策略：
编辑 /etc/pam.d/sshd 文件：

auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root root_unlock_time=1800

• deny: 最大尝试次数，超过则锁定用户
• unlock_time: 普通用户解锁时间（秒）
• root_unlock_time: root 用户解锁时间（秒）
• 解锁命令：

  pam_tally2 --user=root --reset
  

---

访问控制加固

1. 限制访问的 IP：

• 允许访问的 IP：
  编辑 /etc/hosts.allow：

  sshd: 192.168.142.* : allow
  sshd: ALL : allow
  sshd: 192.168.142.74 : allow
  

  重启服务：

  service sshd restart
  

• 拒绝访问的 IP：
  编辑 /etc/hosts.deny：

  sshd: ALL : deny
  sshd: 47.106.218.* : deny
  sshd: 192.168.142.74 : deny
  

2. 防范端口扫描：

• 关闭不必要的服务和端口：

  systemctl list-unit-files | grep enable
  systemctl stop <服务名>
  systemctl disable <服务名>
  

• 修改默认端口号：
  编辑 /etc/ssh/sshd_config 文件，修改 Port 参数。

3. 防火墙策略：
编辑 /etc/sysconfig/iptables（需安装）：

-A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j REJECT
-A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j REJECT
-A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j REJECT

4. 控制提权权限：

• 禁止 root 用户远程登录：
  编辑 /etc/ssh/sshd_config：

  PermitRootLogin no
  

• 限制 su 提权，仅允许 wheel 组：
  编辑 /etc/pam.d/su：

  auth sufficient pam_rootok.so
  auth required pam_wheel.so group=wheel
  

• 禁止 sudo 提权：
  编辑 /etc/sudoers：

  visudo
  

• 禁止 SUID 提权：

  find / -user root -perm -4000 -print 2>/dev/null
  chmod ugo-s <文件>
  

---

安全审计加固

1. 启用 auditd 审计服务：
记录系统活动日志：

• 审计日志路径：
  /var/log/audit/audit.log
• 查询日志：

  ausearch -m all
  

2. 配置审计规则：
参考资料：

• Oracle Auditd 配置文档
• CSDN - Auditd 审计使用

---

漏洞补丁加固

1. 检测并更新系统软件：

yum check-update                # 检查可更新软件
yum info updates                # 查看更新详情
yum update                      # 更新所有软件
yum updateinfo list updates security # 列出安全补丁

2. 更新系统内核：

yum --enablerepo=elrepo-kernel install kernel-lt -y

参考资料：

• CSDN - 系统漏洞补丁管理

---

常见安全产品

1. 产品种类：

• 主机杀毒
• 漏洞扫描
• 防火墙（硬件/软件）
• 入侵检测（IDS）/入侵防御（IPS）系统
• WAF（Web 应用防火墙）
• 态势感知与监控告警
• 终端安全管理系统（EDR）
• 抗 DDoS、VPN、蜜罐等

2. 参考：

• 2024中国网络安全行业全景册

---