“安全第一”對(duì)于linux管理界乃至計(jì)算機(jī)也都是一個(gè)首要考慮的問(wèn)題。加密的安全性依賴(lài)于密碼本身而非算法!而且����,此處說(shuō)到的安全是指數(shù)據(jù)的完整性,由此�,數(shù)據(jù)的認(rèn)證安全和完整性高于數(shù)據(jù)的私密安全,也就是說(shuō)數(shù)據(jù)發(fā)送者的不確定性以及數(shù)據(jù)的完整性得不到保證的話(huà)����,數(shù)據(jù)的私密性當(dāng)無(wú)從談起!
1. 禁止系統(tǒng)響應(yīng)任何從外部/內(nèi)部來(lái)的ping請(qǐng)求攻擊者一般首先通過(guò)ping命令檢測(cè)此主機(jī)或者IP是否處于活動(dòng)狀態(tài),如果能夠ping通 某個(gè)主機(jī)或者IP�,那么攻擊者就認(rèn)為此系統(tǒng)處于活動(dòng)狀態(tài)��,繼而進(jìn)行攻擊或破壞�。如果沒(méi)有人能ping通機(jī)器并收到響應(yīng),那么就可以大大增強(qiáng)服務(wù)器的安全性���,linux下可以執(zhí)行如下設(shè)置����,禁止ping請(qǐng)求:
[root@localhost ~]#echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all默認(rèn)情況下“icmp_echo_ignore_all”的值為“0”����,表示響應(yīng)ping操作。
可以加上面的一行命令到/etc/rc.d/rc.local文件中,以使每次系統(tǒng)重啟后自動(dòng)運(yùn)行�。
2.禁止Control-Alt-Delete組合鍵重啟系統(tǒng)
在linux的默認(rèn)設(shè)置下,同時(shí)按下Control-Alt-Delete鍵���,系統(tǒng)將自動(dòng)重啟��,這是很不安全的�����,因此要禁止Control-Alt-Delete組合鍵重啟系統(tǒng)���,只需修改/etc/inittab文件:
[root@localhost ~]#vi /etc/inittab
找到此行:ca::ctrlaltdel:/sbin/shutdown -t3 -r now在之前加上“#”
然后執(zhí)行:
[root@localhost ~]#telinit q
3.限制Shell記錄歷史命令大小
默認(rèn)情況下,bash shell會(huì)在文件$HOME/.bash_history中存放多達(dá)1000條命令記錄(根據(jù)系統(tǒng)不同�����,默認(rèn)記錄條數(shù)不同)�����。系統(tǒng)中每個(gè)用戶(hù)的主目錄下都有一個(gè)這樣的文件�。
這么多的歷史命令記錄,肯定是不安全的�����,因此必須限制該文件的大小。
可以編輯/etc/profile文件����,修改其中的選項(xiàng)如下:
HISTSIZE=30
表示在文件$HOME/.bash_history中記錄最近的30條歷史命令。如果將“HISTSIZE”設(shè)置為0�,則表示不記錄歷史命令,那么也就不能用鍵盤(pán)的上下鍵查找歷史命令了�。
4.刪除系統(tǒng)默認(rèn)的不必要用戶(hù)和組
Linux提供了各種系統(tǒng)賬戶(hù),在系統(tǒng)安裝完畢�����,如果不需要某些用戶(hù)或者組�����,就要立即刪除它����,因?yàn)橘~戶(hù)越多���,系統(tǒng)就越不安全�����,越容易受到攻擊�。
刪除系統(tǒng)不必要的用戶(hù)用下面命令
[root@localhost ~]# userdel username
刪除系統(tǒng)不必要的組用如下命令:
[root@localhost ~]# groupdel groupname
Linux系統(tǒng)中可以刪除的默認(rèn)用戶(hù)和組有:
刪除的用戶(hù),如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等。
刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等����。
5. 關(guān)閉selinux
SELinux是 Security-Enhanced Linux的簡(jiǎn)稱(chēng),是一種內(nèi)核強(qiáng)制訪問(wèn)控制安全系統(tǒng)��,目前SELinux已經(jīng)集成到Linux 2.6內(nèi)核的主線(xiàn)和大多數(shù)Linux發(fā)行版上���,由于SELinux與現(xiàn)有Linux應(yīng)用程序和Linux內(nèi)核模塊兼容性還存在一些問(wèn)題����,因此建議初學(xué)者先關(guān)閉selinux�,等到對(duì)linux有了深入的認(rèn)識(shí)后,再對(duì)selinux深入研究不遲���!
查看linux系統(tǒng)selinux是否啟用����,可以使用getenforce命令:
[root@localhost ~]# getenforce
Disabled
關(guān)閉selinux���,在redhat系列發(fā)行版中��,可以直接修改如下文件:
[root@localhost ~]#vi /etc/sysconfig/selinux# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=targeted
將SELINUX=enforcing修改為SELINUX=disabled, 重啟系統(tǒng)后將會(huì)停止SElinux��。
6.設(shè)定tcp_wrappers防火墻
Tcp_Wrappers是一個(gè)用來(lái)分析TCP/IP封包的軟件����,類(lèi)似的IP封包軟件還有iptables,linux默認(rèn)都安裝了此軟件����,作為一個(gè)安全的系統(tǒng),Linux本身有兩層安全防火墻�,通過(guò)IP過(guò)濾機(jī)制的iptables實(shí)現(xiàn)第一層防護(hù),iptables防火墻通過(guò)直觀地監(jiān)視系統(tǒng)的運(yùn)行狀況����,阻擋網(wǎng)絡(luò)中的一些惡意攻擊,保護(hù)整個(gè)系統(tǒng)正常運(yùn)行����,免遭攻擊和破壞�����。關(guān)于iptables的實(shí)現(xiàn),將在下個(gè)章節(jié)詳細(xì)講述��。如果通過(guò)了第一層防護(hù)��,那么下一層防護(hù)就是tcp_wrappers了����,通過(guò)Tcp_Wrappers可以實(shí)現(xiàn)對(duì)系統(tǒng)中提供的某些服務(wù)的開(kāi)放與關(guān)閉、允許和禁止���,從而更有效地保證系統(tǒng)安全運(yùn)行��。
Tcp_Wrappers的使用很簡(jiǎn)單��,僅僅兩個(gè)配置文件:/etc/hosts.allow和/etc/hosts.deny(1) 查看系統(tǒng)是否安裝了Tcp_Wrappers
[root@localhost ~]#rpm -q tcp_wrappers 或者[root@localhost ~]#rpm -qa | grep tcp
tcp_wrappers-7.6-37.2
tcpdump-3.8.2-10.RHEL4
如果有上面的類(lèi)似輸出����,表示系統(tǒng)已經(jīng)安裝了tcp_wrappers模塊��。如果沒(méi)有顯示����,可能是沒(méi)有安裝,可以從linux系統(tǒng)安裝盤(pán)找到對(duì)應(yīng)RPM包進(jìn)行安裝���。
?�。?)tcp_wrappers防火墻的局限性
系統(tǒng)中的某個(gè)服務(wù)是否可以使用tcp_wrappers防火墻����,取決于該服務(wù)是否應(yīng)用了libwrapped庫(kù)文件,如果應(yīng)用了就可以使用tcp_wrappers防火墻���,系統(tǒng)中默認(rèn)的一些服務(wù)如:sshd���、portmap、sendmail�����、xinetd�、vsftpd、tcpd等都可以使用tcp_wrappers防火墻��。
(3) tcp_wrappers設(shè)定的規(guī)則
tcp_wrappers防火墻的實(shí)現(xiàn)是通過(guò)/etc/hosts.allow和/etc/hosts.deny兩個(gè)文件來(lái)完成的��,首先看一下設(shè)定的格式:
service:host(s) [:action]
l service:代表服務(wù)名���,例如sshd����、vsftpd���、sendmail等���。
l host(s):主機(jī)名或者IP地址,可以有多個(gè)����,例如192.168.60.0、www.ixdba.netl action:動(dòng)作����, 符合條件后所采取的動(dòng)作。
幾個(gè)關(guān)鍵字:
l ALL:所有服務(wù)或者所有IP����。
l ALL EXCEPT:所有的服務(wù)或者所有IP除去指定的。
例如:ALL:ALL EXCEPT 192.168.60.132
表示除了192.168.60.132這臺(tái)機(jī)器���,任何機(jī)器執(zhí)行所有服務(wù)時(shí)或被允許或被拒絕�。
了解了設(shè)定語(yǔ)法后,下面就可以對(duì)服務(wù)進(jìn)行訪問(wèn)限定�。
例如互聯(lián)網(wǎng)上一臺(tái)linux服務(wù)器,實(shí)現(xiàn)的目標(biāo)是:僅僅允許222.90.66.4����、61.185.224.66以及域名softpark.com通過(guò)SSH服務(wù)遠(yuǎn)程登錄到系統(tǒng),設(shè)置如下:
首先設(shè)定允許登錄的計(jì)算機(jī)��,即配置/etc/hosts.allow文件��,設(shè)置很簡(jiǎn)單����,只要修改/etc/hosts.allow(如果沒(méi)有此文件,請(qǐng)自行建立)這個(gè)文件即可�。
只需將下面規(guī)則加入/etc/hosts.allow即可。
sshd: 222.90.66.4 61.185.224.66 softpark.com接著設(shè)置不允許登錄的機(jī)器�����,也就是配置/etc/hosts.deny文件了���。
一般情況下�,linux會(huì)首先判斷/etc/hosts.allow這個(gè)文件�����,如果遠(yuǎn)程登錄的計(jì)算機(jī)滿(mǎn)足文件/etc/hosts.allow設(shè)定的話(huà),就不會(huì)去使用/etc/hosts.deny文件了�����,相反�����,如果不滿(mǎn)足hosts.allow文件設(shè)定的規(guī)則的話(huà)����,就會(huì)去使用hosts.deny文件了��,如果滿(mǎn)足hosts.deny的規(guī)則����,此主機(jī)就被限制為不可訪問(wèn)linux服務(wù)器,如果也不滿(mǎn)足hosts.deny的設(shè)定�����,此主機(jī)默認(rèn)是可以訪問(wèn)linux服務(wù)器的�����,因此,當(dāng)設(shè)定好/etc/hosts.allow文件訪問(wèn)規(guī)則之后����,只需設(shè)置/etc/hosts.deny為“所有計(jì)算機(jī)都不能登錄狀態(tài)”即可。
sshd:ALL
這樣�����,一個(gè)簡(jiǎn)單的tcp_wrappers防火墻就設(shè)置完畢了���。
以上就是Linux下常用安全策略設(shè)置方法�,在此感謝本文出處“技術(shù)成就夢(mèng)想” 博客http://ixdba.blog.51cto.com/2895551/526443分享了如此優(yōu)秀的文章�,謝謝閱讀,希望能幫到大家����,請(qǐng)繼續(xù)關(guān)注腳本之家,我們會(huì)努力分享更多優(yōu)秀的文章�����。
