Linux服务器通用安全加固指南
内容一:
基本系统安全
1、保护引导过程
在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin,以确保当切换到单用户模式时运行级的配置要求输入 root 密码:vim /etc/inittab
防止用户使用 Ctrl-Alt-Del 进行重新引导:
在RHEL6.X和CentOS 6.X下, 该热键的行为由'/etc/init/control-alt-delete.conf'控制。
注释掉原来的改成:exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored",这个配置会在每次按下Ctrl-Alt-Del 时输出日志。
提示:在终端登录的情况下,看不到效果,只有在机器面前,按下键盘上的Ctrl+Alt+del键,才会在/var/log/message里面看到输出日志
2、
关闭不使用的服务
首先查看哪些服务是开启的,使用命令:chkconfig --list |grep '3:on'
关闭邮件服务,使用公司邮件服务器:
#service postfix stop
#chkconfig postfix --level 2345 off
关闭nfs服务及客户端:
service netfs stop
chkconfig netfs --level 2345 off
service nfslock stop
chkconfig nfslock --level 2345 off
3、给下面的文件加上不可更改属性,从而防止非授权用户获得权限。
chattr +i/etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i/etc/services #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务
chattr +i /etc/pam.d/su
chattr +i/etc/ssh/sshd config
注意:执行以上 chattr 权限修改之后,就无法添加删除用户了。在后面的实验过程中,如果修改不了上面设置过的文件,记得取消只读权限chattr -i。
如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。(记得重新设置只读)
4、强制实行配额和限制:
Linux PAM(插入式认证模块,Pluggable Authentication Modules)可以强制实行一些实用的限制,在 /etc/security/limits.conf 文件中对此进行配置。
谨记,这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构: username|@groupname type resource limit。
为了与 username 区别,groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制(soft-limit)可以 被超出,通常只是警戒线,而硬限制(hard-limit)不能被超出。resource 可以 是下面的关键字之一:
core - 限制内核文件的大小(KB)
data - 最大数据大小(KB)
fsize - 最大文件大小(KB)
memlock - 最大锁定内存地址空间(KB)
nofile - 打开文件的最大数目
rss - 最大持久设置大小(KB)
stack - 最大栈大小(KB)
cpu - 以分钟为单位的最多 CPU 时间
nproc - 进程的最大数目
as - 地址空间限制
maxlogins - 此用户允许登录的最大数目
下面的代码示例中,所有用户每个会话都限制在 10 MB,并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话(对匿名 ftp 帐号尤其实用);managers 组的成员的进程数目限制 为 40 个。developers 有 64 MB 的 memlock 限制,wwwusers 的成员不能创建大于 50 MB 的文件。
* hard rss 10000
* hard maxlogins 4
* hard core 0
bin -
ftp hard maxlogins 10
@managers hard nproc 40
@developers hard memlock 64000
@wwwusers hard fsize 50000
要激活这些限制,需要在 /etc/pam.d/login 底部添加下面一行: session required /lib/security/pam_limits.so。
要为文件系统启用配额,必须在 /etc/fstab 中为相应的那行添加一个选项。 使用 usrquota 和 grpquota 来启用 用户配额和组配额,像下面这样:
/dev/hda1 / ext3 defaults 11
/dev/hda2 /home ext3 defaults,usrquota 11
/dev/hda3 /tmp ext3 defaults,usrquota,grpquota1 11
/dev/hda4 /shared ext3 defaults,grpquota 11
/dev/hdc1 /mnt/cdrom iso9660 nosuid,user 12
然后,使用 mount -a -o remount 重新挂载相应的文件系统,来激活刚才添加 的选项;然后使用 quotacheck -cugvm 创建一个二进制配额文件,其中包含了机器 可读格式的配额配置。这是配额子系统要操作的文件。然后使用 edquota -u username 为具体的用户配额。
二、用户安全
1、禁用不使用的用户
注意:不建议直接删除,当你需要某个用户时,自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user 锁定。
cp /etc/passwd{..bak}修改之前先备份
vi /etc/passwd编辑用户,在前面加上#注释掉此行
示例:
注释的用户名:
# cat /etc/passwd|grep ^#
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:Ip:/var/spool/lpd:/sbinynologin
#shutdown:x:6:0O:shutdown:/sbin:/sbin/shutdown
#halt:x:7:O:halt/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbinVnologin
#operatorx:11:O:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:5O:FTP User:/var/ftp:/sbin/nologin
#nfsnobodyxc:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin#postfix:x:89:89:/var/spool/postfix:/sbin/nologin
注释的组:
# cat /etc/grouplgrep ^#
#adm:x:4:adm,daemon#lp;x:7:daemon
#uucp:x:14:
#games:x:20:
#gopher:x:30:t
#video:x:39:
#dip:x:40:
#ftp:x:50:
#audio:x:63:
#floppy:x:19:
2、ssh登陆安全
(1)修改ssh的默认端口22,改成如20002这样的较大端口会大幅提高安全系数,降低ssh破解登录的可能性。
(注意:本实验环境不允许修改ssh端口,否则会造成服务断开)
找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件,在“# Port 22”这一行下面添加一行,内容为 port 端口号。
然后重启ssh服务即可。
(2)只允许wheel用户组的用户su切换
# usermod -G wheel sysmgr
# vi/etc/pam.d/su
# Uncomment the following line to require a user to be in the "wheel" group.auth
required pam_wheel.so use_uid
其他用户切换root,即使输对密码也会提示 su: incorrect password
(3)登录超时
用户在线5分钟无操作则超时断开连接,在/etc/profile中添加:
export TMOUT=300
readonly TMOUT
(4) 禁止root直接远程登录
# vi /etc/ssh/sshd_config
PermitRootLogin no
(5)限制登录失败次数并锁定
在/etc/pam.d/login后添加:auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=188
登录失败5次锁定180秒,根据需要设置是否包括root。
3、减少history命令记录
执行过的历史命令记录越多,从一定程度上讲会给维护带来简便,但同样会伴随安全问题。
vi /etc/profile
找到 HISTSIZE=1000 改为 HISTSIZE=50。
执行 source /etc/profile生效或每次退出时清理history命令:history –c。
三、网络安全
1、禁用ipv6
IPv6是为了解决IPv4地址耗尽的问题,但我们的服务器一般用不到它,反而禁用IPv6不仅仅会加快网络,还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁ipv6。
禁止加载IPv6模块:让系统不加载ipv6相关模块,这需要修改modprobe相关设定文件,为了管理方便,我们新建设定文件/etc/modprobe.d/ipv6off.conf,内容如下:
alias net-pf-10 off
options ipv6 disable=1
禁用基于IPv6网络,使之不会被触发启动:
# vi letc/ sysconfig/network
NETwORKING_IPV6=no
禁用网卡IPv6设置,使之仅在IPv4模式下运行:
vi /etc/ sysconfig/network-scripts/ifcfg-etho
IPV6INIT=no
IPV6_AUTOCONF=no
关闭ip6tables:
chkconfig ip6tables off
重启系统,验证是否生效:
1smod l grep ipv6ifconfig
grep -i inet6
如果没有任何输出就说明IPv6模块已被禁用,否则被启用。
2、防止一般网络攻击
网络攻击不是几行设置就能避免的,以下都只是些简单的将可能性降到最低,增大攻击的难度但并不能完全阻止。
(1)禁ping
阻止ping如果没人能ping通您的系统,安全性自然增加了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
或使用iptable禁ping,当然前提是你启用了iptables防火墙。
iptables -A INPUT -p icmp --icmp-type 0 -s e/0 -j DROP不允许ping其他主机:
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
(2)防止IP欺骗
编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击:
order hosts,bind #名称解释顺序
multi on #允许主机拥有多个IP地址
nospoof on #禁止IP地址欺骗
(3)防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。
可以在/etc/security/limits.conf中添加如下几行:
*soft core 0
*soft nproc 2048
*hard nproc 16384
*soft nofile 1024
*hard nofile 65536
core 0 表示禁止创建core文件;nproc 128 把最多的进程数限制到20;nofile 64 表示把一个用户同时打开的最大文件数限制为64;* 表示登录到系统的所有用户,不包括root。
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在:
session required pam_limits.so
limits.conf参数的值需要根据具体情况调整。
3、定期做日志检查
将日志移动到专用的日志服务器里,这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处
/var/ log /message -记录系统日志或当前活动日志。
/var/ log/auth.log -身份认证日志。
/var/ log / cron - Crond日志(cron任务).
/var /log /maillog -邮件服务器日志。
/var/ log/secure - 认证日志。
/var/log/wtmp历史登录、注销、启动、停机日志和,lastb命令可以查看登录失败的用户
/var/run /utmp当前登录的用户信息日志,w、who命令的信息便来源与此
/var/ log /yum. log Yum日志。
浙公网安备 33010602011771号