Linux教程

Linux服务器通用安全加固指南

本文主要是介绍Linux服务器通用安全加固指南,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

一、基本系统安全

1、保护引导过程(以Grub引导为例)

在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin,以确保当切换到单用户模式时 运行级的配置要求输入 root 密码:

 

      防止用户使用 Ctrl-Alt-Del 进行重新引导:

      在RHEL6.X和CentOS 6.X下, 该热键的行为由'/etc/init/control-alt-delete.conf'控制。

      注释掉原来的改成:exec /usr/bin/logger -p authpriv.notice -t init "Ctrl-Alt-Del was pressed and ignored",这个配置会在每次按下Ctrl-Alt-Del 时输出日志。

2、关闭不使用的服务

      首先查看哪些服务是开启的:

  关闭邮件服务,使用公司邮件服务器:

 关闭nfs服务及客户端:

3、增强特殊文件权限:

      给下面的文件加上不可更改属性,从而防止非授权用户获得权限。

  如果再要添加删除用户,需要先取消上面的设置,等用户添加删除完成之后,再执行上面的操作,例如取消只读权限chattr -i /etc/passwd。

4、强制实行配额和限制:

 Linux PAM可以强制实行一些实用的限制,在 /etc/security/limits.conf 文件中对此进行配置。

limits.conf 中的条目有如下结构:username|@groupname type resource limit。

为了与 username 区别,groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制(soft-limit)可以 被超出,通常只是警戒线,而硬限制(hard-limit)不能被超出。

resource 可以 是下面的关键字之一:

      core - 限制内核文件的大小(KB)

      data - 最大数据大小(KB)

      fsize - 最大文件大小(KB)

      memlock - 最大锁定内存地址空间(KB)

      nofile - 打开文件的最大数目

      rss - 最大持久设置大小(KB)

      stack - 最大栈大小(KB)

      cpu - 以分钟为单位的最多 CPU 时间

      nproc - 进程的最大数目

      as - 地址空间限制

      maxlogins - 此用户允许登录的最大数目

下面的代码示例中,所有用户每个会话都限制在 10 MB,并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话(对匿名 ftp 帐号尤其实用);managers 组的成员的进程数目限制 为 40个。developers有64MB的memlock 限制,wwwusers的成员不能创建大于50 MB的文件。

 

     要激活这些限制,需要在 /etc/pam.d/login 底部添加下面一行:session required /lib/security/pam_limits.so。

      要为文件系统启用配额,必须在 /etc/fstab 中为相应的那行添加一个选项。 使用 usrquota 和 grpquota 来启用 用户配额和组配额,像下面这样:

      

      然后,使用 mount -a -o remount 重新挂载相应的文件系统,来激活刚才添加 的选项;然后使用 quotacheck -cugvm 创建一个二进制配额文件,其中包含了机器 可读格式的配额配置。这是配额子系统要操作的文件。然后使用  edquota -u username 为具体的用户配额。

 

二、用户安全

1. 禁用不使用的用户

 

 用#注释用户名:

2、ssh登陆安全

      (1)修改ssh的默认端口22,改成如20002这样的较大端口会大幅提高安全系数,降低ssh破解登录的可能性。

 找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件,在“# Port 22”这一行下面添加一行,内容为 port 端口号。 然后重启ssh服务即可。

 (2)只允许wheel用户组的用户su切换(不一定是这个用户组的名字)

# usermod -G wheel sysmgr

# vi /etc/pam.d/su

# Uncomment the following line to require a user to be in the "wheel" group.

auth     required     pam_wheel.so use_uid

其他用户切换root,即使输对密码也会提示 su: incorrect password

(3)登录超时

用户在线5分钟无操作则超时断开连接,在/etc/profile中添加:

export TMOUT=3

readonly TMOUT

(4) 禁止root直接远程登录

#vi /etc/ssh/sshd_config

PermitRootLogin no

5)限制登录失败次数并锁定

      在/etc/pam.d/login后添加:

      登录失败5次锁定180秒,根据需要设置是否包括root。

3、减少history命令记录

      执行过的历史命令记录越多,从一定程度上讲会给维护带来简便,但同样会伴随安全问题。

      vi /etc/profile

      找到 HISTSIZE=1000 改为 HISTSIZE=50。

      执行 source /etc/profile生效

      或每次退出时清理history命令:history –c。

三、网络安全

1、禁用ipv6

禁止加载IPv6模块:

      让系统不加载ipv6相关模块,这需要修改modprobe相关设定文件,为了管理方便,我们新建设定文件/etc/modprobe.d/ipv6off.conf,内容如下:

禁用基于IPv6网络,使之不会被触发启动:

禁用网卡IPv6设置,使之仅在IPv4模式下运行:

关闭ip6tables:

重启系统,验证是否生效:

      

      

      如果没有任何输出就说明IPv6模块已被禁用,否则被启用。

2、防止一般网络攻击

(1)禁ping

      阻止ping如果没人能ping通您的系统,安全性自然增加了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:

      

      或使用iptable禁ping,当然前提是你启用了iptables防火墙。

      

(2)防止IP欺骗

      编辑/etc/host.conf文件并增加如下几行来防止IP欺骗攻击:

      

(3)防止DoS攻击

      对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量等。

      可以在/etc/security/limits.conf中添加如下几行:

      

      core 0 表示禁止创建core文件;nproc 128 把最多的进程数限制到20;nofile 64 表示把一个用户同时打开的最大文件数限制为64;* 表示登录到系统的所有用户,不包括root。

      然后必须编辑/etc/pam.d/login文件检查下面一行是否存在:

      

      limits.conf参数的值需要根据具体情况调整。

3、定期做日志检查

      将日志移动到专用的日志服务器里,这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处:

 

 

 分析与思考

1、查询资料了解更多关于linux系统加固的知识。

答:

Docker容器隔离

最小化防火墙规则: 配置防火墙,拒绝所有端口,只放行SSH,HTTP这两个必要的端口。

开启SELinux: 由于系统管理员都会关闭,所以这里要手动开启。

锁定系统文件: 锁定文件是Linux系统中最为强大的安全特性,任何用户(即使是root),都无法对不可修改文件进行写入、删除、等操作,我们将一些二进制文件设置为只读模式,能够更好的防止系统被非法篡改或注入恶意代码,一般情况下/sbin 和/usr/lib两个目录内容能被设置为不可改变。

2、查询资料了解iptables有哪些用途?

答:iptables简称netfilter/iptables(简称为iptables)组成Linux平台下的包过滤防火墙,与大多数的Linux软件一样,这个包过滤防火墙是免费的,它可以代替昂贵的商业防火墙解决方案,完成封包过滤、封包重定向和网络地址转换(NAT)等功能。

 

 

 

 

这篇关于Linux服务器通用安全加固指南的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!