Linux 是一個(gè)開(kāi)放式系統(tǒng)�����,可以在網(wǎng)絡(luò)上找到許多現(xiàn)成的程序和工具�����,這既方便了用戶�����,也方便了黑客,因?yàn)樗麄円材芎苋菀椎卣业匠绦蚝凸ぞ邅?lái)潛入 Linux 系統(tǒng)�����,或者盜取 Linux 系統(tǒng)上的重要信息�����。不過(guò)�����,只要我們仔細(xì)地設(shè)定 Linux 的各種系統(tǒng)功能�����,并且加上必要的安全措施,就能讓黑客們無(wú)機(jī)可乘�����。
一般來(lái)說(shuō)�����,對(duì) Linux 系統(tǒng)的安全設(shè)定包括取消不必要的服務(wù)�����、限制遠(yuǎn)程存取�����、隱藏重要資料�����、修補(bǔ)安全漏洞�����、采用安全工具以及經(jīng)常性的安全檢查等。
本文是可參考的實(shí)際操作�����,不涉及如 IP 欺騙這樣的原理�����,而且安全問(wèn)題也不算幾行命令就能預(yù)防的
這里只是 Linux 系統(tǒng)上基本的安全加固方法�����,后續(xù)有新的內(nèi)容再添加進(jìn)來(lái)。
注:所有文件在修改之前都要進(jìn)行備份如
1. Linux禁用不使用的用戶
注意:不建議直接刪除�����,當(dāng)你需要某個(gè)用戶時(shí)�����,自己重新添加會(huì)很麻煩�����。也可以 usermod -L 或 passwd -l user 鎖定。
cp /etc/passwd{,.bak} 修改之前先備份
vi /etc/passwd 編輯用戶�����,在前面加上#注釋掉此行
注釋的用戶名:
# cat /etc/passwd|grep ^#
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
#nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
#postfix:x:89:89::/var/spool/postfix:/sbin/nologin
Linux注釋的組:
# cat /etc/group|grep ^#
#adm:x:4:adm,daemon
#lp:x:7:daemon
#uucp:x:14:
#games:x:20:
#gopher:x:30:
#video:x:39:
#dip:x:40:
#ftp:x:50:
#audio:x:63:
#floppy:x:19:
#postfix:x:89:
2. Linux關(guān)閉不使用的服務(wù)
# chkconfig --list |grep '3:on'
郵件服務(wù),使用公司郵件服務(wù)器:
service postfix stop
chkconfig postfix --level 2345 off
通用unix打印服務(wù)�����,對(duì)服務(wù)器無(wú)用:
service cups stop
chkconfig cups --level 2345 off
調(diào)節(jié)cpu速度用來(lái)省電,常用在Laptop上:
service cpuspeed stop
chkconfig cpuspeed --level 2345 off
藍(lán)牙無(wú)線通訊�����,對(duì)服務(wù)器無(wú)用:
service bluetooth stop
chkconfig bluetooth --level 2345 off
系統(tǒng)安裝后初始設(shè)定�����,第一次啟動(dòng)系統(tǒng)后就沒(méi)用了:
service firstboot stop
chkconfig firstboot --level 2345 off
Linux關(guān)閉nfs服務(wù)及客戶端:
service netfs stop
chkconfig netfs --level 2345 off
service nfslock stop
chkconfig nfslock --level 2345 off
如果要恢復(fù)某一個(gè)服務(wù),可以執(zhí)行下面操作:
service acpid start && chkconfig acpid on
也可以使用setup工具來(lái)設(shè)置
3. Linux禁用IPV6
IPv6是為了解決IPv4地址耗盡的問(wèn)題�����,但我們的服務(wù)器一般用不到它,反而禁用IPv6不僅僅會(huì)加快網(wǎng)絡(luò)�����,還會(huì)有助于減少管理開(kāi)銷和提高安全級(jí)別�����。以下幾步在CentOS上完全禁用ipv6�����。
Linux禁止加載IPv6模塊:
讓系統(tǒng)不加載ipv6相關(guān)模塊�����,這需要修改modprobe相關(guān)設(shè)定文件,為了管理方便�����,我們新建設(shè)定文件/etc/modprobe.d/ipv6off.conf�����,內(nèi)容如下
alias net-pf-10 off
options ipv6 disable=1
Linux禁用基于IPv6網(wǎng)絡(luò)�����,使之不會(huì)被觸發(fā)啟動(dòng):
# vi /etc/sysconfig/network
NETWORKING_IPV6=no
Linux禁用網(wǎng)卡IPv6設(shè)置,使之僅在IPv4模式下運(yùn)行:
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
IPV6INIT=no
IPV6_AUTOCONF=no
Linux關(guān)閉ip6tables:
# chkconfig ip6tables off
重啟系統(tǒng)�����,驗(yàn)證是否生效:
# lsmod | grep ipv6
# ifconfig | grep -i inet6
如果沒(méi)有任何輸出就說(shuō)明IPv6模塊已被禁用�����,否則被啟用�����。
4. Linux iptables規(guī)則
啟用linux防火墻來(lái)禁止非法程序訪問(wèn)�����。使用iptable的規(guī)則來(lái)過(guò)濾入站、出站和轉(zhuǎn)發(fā)的包�����。我們可以針對(duì)來(lái)源和目的地址進(jìn)行特定udp/tcp端口的準(zhǔn)許和拒絕訪問(wèn)�����。
關(guān)于防火墻的設(shè)置規(guī)則請(qǐng)參考博客文章 iptables設(shè)置實(shí)例�����。
5. Linux SSH安全
如果有可能�����,第一件事就是修改ssh的默認(rèn)端口22�����,改成如20002這樣的較大端口會(huì)大幅提高安全系數(shù)�����,降低ssh破解登錄的可能性�����。
創(chuàng)建具備辨識(shí)度的應(yīng)用用戶如crm以及系統(tǒng)管理用戶sysmgr
# useradd crm -d /apps/crm
# passwd crm
# useradd sysmgr
# passwd sysmgr
5.1 Linux只允許wheel用戶組的用戶su切換
# usermod -G wheel sysmgr
# vi /etc/pam.d/su
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid
其他用戶切換root�����,即使輸對(duì)密碼也會(huì)提示 su: incorrect password
5.2 Linux登錄超時(shí)
用戶在線5分鐘無(wú)操作則超時(shí)斷開(kāi)連接�����,在/etc/profile中添加:
export TMOUT=300
readonly TMOUT
5.3 Linux禁止root直接遠(yuǎn)程登錄
# vi /etc/ssh/sshd_config
PermitRootLogin no
5.4 Linux限制登錄失敗次數(shù)并鎖定
在/etc/pam.d/login后添加
auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180
登錄失敗5次鎖定180秒,根據(jù)需要設(shè)置是否包括root�����。
5.5 Linux登錄IP限制
(由于要與某一固定IP或IP段綁定�����,暫未設(shè)置)
更嚴(yán)格的限制是在sshd_config中定死允許ssh的用戶和來(lái)源ip:
## allowed ssh users sysmgr
AllowUsers sysmgr@172.29.73.*
或者使用tcpwrapper:
vi /etc/hosts.deny
sshd:all
vi /etc/hosts.allow
sshd:172.29.73.23
sshd:172.29.73.
6. Linux配置只能使用密鑰文件登錄
使用密鑰文件代替普通的簡(jiǎn)單密碼認(rèn)證也會(huì)極大的提高安全性:
[dir@username ~]$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): //默認(rèn)路徑�����,回車
Enter passphrase (empty for no passphrase): //輸入你的密鑰短語(yǔ),登錄時(shí)使用
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64 root@ibpak.tp-link.net
The key's randomart image is:
+--[ RSA 2048]----+
| |
…
| o++o..oo..o|
+-----------------+
將公鑰重命名為authorized_key:
$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys
下載私鑰文件 id_rsa 到本地(為了更加容易識(shí)別�����,可重命名為hostname_username_id_rsa)�����,保存到安全的地方�����。以后 username 用戶登錄這臺(tái)主機(jī)就必須使用這個(gè)私鑰�����,配合密碼短語(yǔ)來(lái)登錄(不再使用 username 用戶自身的密碼)
另外還要修改/etc/ssh/sshd_config文件
打開(kāi)注釋
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys
我們要求 username 用戶(可以切換到其他用戶�����,特別是root)必須使用ssh密鑰文件登錄�����,而其他普通用戶可以直接密碼登錄�����。因此還需在sshd_config文件最后加入:
Match User itsection
PasswordAuthentication no
重啟sshd服務(wù)
# service sshd restart
另外提醒一句,這對(duì)公鑰和私鑰一定要單獨(dú)保存在另外的機(jī)器上,服務(wù)器上丟失公鑰或連接端丟失私鑰(或密鑰短語(yǔ))�����,可能導(dǎo)致再也無(wú)法登陸服務(wù)器獲得root權(quán)限�����!
7. Linux減少history命令記錄
執(zhí)行過(guò)的歷史命令記錄越多�����,從一定程度上講會(huì)給維護(hù)帶來(lái)簡(jiǎn)便�����,但同樣會(huì)伴隨安全問(wèn)題
vi /etc/profile
找到 HISTSIZE=1000 改為 HISTSIZE=50。
或每次退出時(shí)清理history�����,history -c
8. Linux增強(qiáng)特殊文件權(quán)限
給下面的文件加上不可更改屬性�����,從而防止非授權(quán)用戶獲得權(quán)限
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services #給系統(tǒng)服務(wù)端口列表文件加鎖�����,防止未經(jīng)許可的刪除或添加服務(wù)
chattr +i /etc/pam.d/su
chattr +i /etc/ssh/sshd_config
顯示文件的屬性
lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config
注意:執(zhí)行以上 chattr 權(quán)限修改之后�����,就無(wú)法添加刪除用戶了�����。
如果再要添加刪除用戶,需要先取消上面的設(shè)置�����,等用戶添加刪除完成之后,再執(zhí)行上面的操作�����,例如取消只讀權(quán)限chattr -i /etc/passwd�����。(記得重新設(shè)置只讀)
9. Linux防止一般網(wǎng)絡(luò)攻擊
網(wǎng)絡(luò)攻擊不是幾行設(shè)置就能避免的�����,以下都只是些簡(jiǎn)單的將可能性降到最低�����,增大攻擊的難度但并不能完全阻止�����。
9.1 Linux禁ping
阻止ping如果沒(méi)人能ping通您的系統(tǒng)�����,安全性自然增加了,可以有效的防止ping洪水�����。為此�����,可以在/etc/rc.d/rc.local文件中增加如下一行:
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
或使用iptable禁ping:
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP
不允許ping其他主機(jī):
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
9.2. Linux防止IP欺騙
編輯/etc/host.conf文件并增加如下幾行來(lái)防止IP欺騙攻擊�����。
order hosts,bind #名稱解釋順序
multi on #允許主機(jī)擁有多個(gè)IP地址
nospoof on #禁止IP地址欺騙
9.3 Linux防止DoS攻擊
對(duì)系統(tǒng)所有的用戶設(shè)置資源限制可以防止DoS類型攻擊�����,如最大進(jìn)程數(shù)和內(nèi)存使用數(shù)量等�����。
可以在/etc/security/limits.conf中添加如下幾行:
* soft core 0
* soft nproc 2048
* hard nproc 16384
* soft nofile 1024
* hard nofile 65536
core 0 表示禁止創(chuàng)建core文件�����;nproc 128 把最多的進(jìn)程數(shù)限制到20;nofile 64 表示把一個(gè)用戶同時(shí)打開(kāi)的最大文件數(shù)限制為64�����;* 表示登錄到系統(tǒng)的所有用戶�����,不包括root
然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在�����。
session required pam_limits.so
limits.conf參數(shù)的值需要根據(jù)具體情況調(diào)整�����。
10. Linux修復(fù)已知安全漏洞
在linux上偶爾會(huì)爆出毀滅級(jí)的漏洞,如udev�����、heartbleed�����、shellshock、ghost等�����,如果服務(wù)器暴露在外網(wǎng),一定及時(shí)修復(fù)�����。
11. Linux定期做日志安全檢查
將日志移動(dòng)到專用的日志服務(wù)器里�����,這可避免入侵者輕易的改動(dòng)本地日志。下面是常見(jiàn)linux的默認(rèn)日志文件及其用處:
/var/log/message – 記錄系統(tǒng)日志或當(dāng)前活動(dòng)日志�����。
/var/log/auth.log – 身份認(rèn)證日志�����。
/var/log/cron – Crond 日志 (cron 任務(wù)).
/var/log/maillog – 郵件服務(wù)器日志�����。
/var/log/secure – 認(rèn)證日志�����。
/var/log/wtmp 歷史登錄�����、注銷�����、啟動(dòng)�����、停機(jī)日志和�����,lastb命令可以查看登錄失敗的用戶
/var/run/utmp 當(dāng)前登錄的用戶信息日志�����,w�����、who命令的信息便來(lái)源與此
/var/log/yum.log Yum 日志。
參考 深度解析CentOS通過(guò)日志反查入侵�����。
11.1 Linux安裝logwatch
Logwatch是使用 Perl 開(kāi)發(fā)的一個(gè)日志分析工具�����。能夠?qū)inux 的日志文件進(jìn)行分析�����,并自動(dòng)發(fā)送mail給相關(guān)處理人員�����,可定制需求�����。
Logwatch的mail功能是借助宿主系統(tǒng)自帶的 mail server 發(fā)郵件的�����,所以系統(tǒng)需安裝mail server , 如sendmail,postfix,Qmail等
安裝和配置方法見(jiàn)博文 linux日志監(jiān)控logwatch�����。
12.Linux web服務(wù)器安全
像apache或tomcat這樣的服務(wù)端程序在配置時(shí),如果有安全問(wèn)題存在可以查閱文檔進(jìn)行安全加固�����。日后有時(shí)間再補(bǔ)充到新的文章�����。
更多Linux服務(wù)器安全配置方案請(qǐng)查看以下相關(guān)文章
