深入分析Linux 系統(tǒng)深度安全加固
Linux 的系統(tǒng)安全不容忽視.然而系統(tǒng)加固又不是一件很容易的事.本文作者簡單介紹了一下 Linux 系統(tǒng)深度安全加固.
★ Linux 系統(tǒng)深度安全加固
1. 安裝和升級(jí)
盡量選用最新的 Linux 發(fā)行版本,安裝前拔掉網(wǎng)線,斷開物理連接,安裝時(shí)建議用 custom 自定義方式安裝軟件包,數(shù)量以少為好,一般來說服務(wù)器沒有必要安裝 X-windows,在 lilo/grub 引導(dǎo)器中加入口令限制,防止能夠物理接觸的惡意用戶因?yàn)?Linux 安裝光盤的 rescue 模式可以跳過這個(gè)限制,所以還要給bios加上密碼或服務(wù)器機(jī)箱上鎖 /var, /home, /usr, /root 等目錄用獨(dú)立的物理分區(qū),防止垃圾數(shù)據(jù)和日志填滿硬盤而導(dǎo)致 D.o.S 攻擊.
root 賬號(hào)給予強(qiáng)壯的口令.
安裝完畢立即用 up2date 或 apt 升級(jí)系統(tǒng)軟件,有時(shí)升級(jí)內(nèi)核也是必要的,因?yàn)閮?nèi)核出現(xiàn)問題同樣會(huì)給攻擊者提供機(jī)會(huì)Apt 是 Debian GNU Linux 下的一個(gè)強(qiáng)大的包管理工具,也可用于其他版本的 Linux.
2. 賬號(hào)
如果系統(tǒng)中的用戶比較多,可以編輯 /etc/login.defs,更改密碼策略
刪除系統(tǒng)中不必要帳戶和組,
[root@ayazero /]# userdel -r username
如果不開匿名 ftp 則可以把 ftp 賬號(hào)也刪了
最安全的方式是本地維護(hù),可惜不太現(xiàn)實(shí),但還是需要限制 root 的遠(yuǎn)程訪問,管理員可以用普通賬戶遠(yuǎn)程登錄,然后 su 到 root,我們可以把使用 su 的用戶加到 wheel 組來提高安全性
在 /etc/pam.d/su 文件的頭部加入下面兩行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
然后把可以執(zhí)行 su 的用戶放入 wheel 組
[root@ayazero /]# usermod -G10 admin
編輯 /etc/securetty,注釋掉所有允許 root 遠(yuǎn)程登錄的控制臺(tái),然后禁止使用所有的控制臺(tái)程序,[root@ayazero /]# rm -f /etc/security/console.apps/servicename
登錄采用加密的 ssh,如果管理員只從固定的終端登陸,還應(yīng)限制合法 ssh 客戶端的范圍防止嗅探及中間人攻擊
將命令歷史紀(jì)錄歸為零,盡可能的隱藏你做過的事情
[root@ayazero /]# unset HISTFILESIZE
3. 服務(wù)
最少服務(wù)原則,凡是不需要的服務(wù)一律注釋掉
在 /etc/inetd.conf 中不需要的服務(wù)前加 "#",較高版本中已經(jīng)沒有 inetd 而換成了 Xinetd;取消開機(jī)自動(dòng)運(yùn)行服務(wù),把 /etc/rc.d/rc3.d 下不需要運(yùn)行的服務(wù)第一個(gè)字母大寫改稱小寫,或者由 setup 命令啟動(dòng)的 GUI 界面中的 service 更改
如果你希望簡單一點(diǎn),可以使用 /etc/host.allow,/etc/host.deny 這兩個(gè)文件,但是本文計(jì)劃用 iptables 防火墻,所以不在此詳述.
4. 文件系統(tǒng)權(quán)限
找出系統(tǒng)中所有含 "s" 位的程序,把不必要得 "s" 位去掉,或者把根本不用的直接刪除
[root@ayazero /]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {}
[root@ayazero /]# chmod a-s filename
防止用戶濫用及提升權(quán)限的可能性
把重要文件加上不可改變屬性
[root@ayazero /]# chattr +i /etc/passwd
[root@ayazero /]# chattr +i /etc/shadow
[root@ayazero /]# chattr +i /etc/gshadow
[root@ayazero /]# chattr +i /etc/group
[root@ayazero /]# chattr +i /etc/inetd.conf
[root@ayazero /]# chattr +i /etc/httpd.conf
...............................
具體視需要而定,我懷疑現(xiàn)在的入侵者都知道這個(gè)命令,有些 exploit 溢出后往 inetd.conf 寫一條語句綁定 shell 在一個(gè)端口監(jiān)聽,此時(shí)這條命令就起了作用,淺薄的入侵者會(huì)以為溢出不成功.
找出系統(tǒng)中沒有屬主的文件:
[root@ayazero /]# find / -nouser -o -nogroup
找出任何人都有寫權(quán)限的文件和目錄:
[root@ayazero /]# find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg {}
[root@ayazero /]# find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg {}
防止入侵者向其中寫入木馬語句(諸如一個(gè)shell的拷貝)或繼承屬主權(quán)限而非法訪問
找出并加固那些歷來被入侵者利用的文件,比如 .rhosts
編輯 /etc/security/limits.conf,加入或改變?nèi)缦滦?
* hard core 0
* hard rss 5000
* hard nproc 20
5. Banner 偽裝
入侵者通常通過操作系統(tǒng),服務(wù)及應(yīng)用程序版本來攻擊,漏洞列表和攻擊程序也是按此來分類,所以我們有必要作點(diǎn)手腳來加大入侵的難度
更改 /etc/issue,因?yàn)?reboot 后重新加載,所以編輯 /ect/rc.d/rc.local
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc
新文章:
- CentOS7下圖形配置網(wǎng)絡(luò)的方法
- CentOS 7如何添加刪除用戶
- 如何解決centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS單網(wǎng)卡如何批量添加不同IP段
- CentOS下iconv命令的介紹
- Centos7 SSH密鑰登陸及密碼密鑰雙重驗(yàn)證詳解
- CentOS 7.1添加刪除用戶的方法
- CentOS查找/掃描局域網(wǎng)打印機(jī)IP講解
- CentOS7使用hostapd實(shí)現(xiàn)無AP模式的詳解
- su命令不能切換root的解決方法
- 解決VMware下CentOS7網(wǎng)絡(luò)重啟出錯(cuò)
- 解決Centos7雙系統(tǒng)后丟失windows啟動(dòng)項(xiàng)
- CentOS下如何避免文件覆蓋
- CentOS7和CentOS6系統(tǒng)有什么不同呢
- Centos 6.6默認(rèn)iptable規(guī)則詳解