linux 服务器安全装备ITeye - 威尼斯人

linux 服务器安全装备ITeye

2019-01-10 20:09:16 | 作者: 文景 | 标签: 效劳,体系,文件 | 浏览: 2776

假定你想要建立一个 Linux 效劳器,而且期望能够长时刻保护的话,就需求考虑安全性能与速度等许多要素。一份正确的
linux 根本安全装备手册就显得分外重要。在我本文中就向我们介绍在 edhat/centos 4,5 下的 Linux效劳器根本安全
装备手册。
装置留意
1.删去体系特别的的用户帐号:
制止一切默许的被操作体系自身发动的且不需求的帐号,当你第一次装上体系时就应该做此检查,Linux供给了各种帐
号,你或许不需求,假如你不需求这个帐号,就移走它,你有的帐号越多,就越简单遭到进犯。
#为删去你体系上的用户,用下面的指令:
[root@c1gstudio]# userdel username
#批量删去办法
#这儿删去"adm lp sync shutdown halt mail news uucp operator games gopher ftp "账号
#假如你开着 ftp 等效劳能够把 ftp 账号保存下来。
for i in adm lp sync shutdown halt mail news uucp ope
rator games gopher ftp ;do userdel $i ;done
2.删去体系特别的组帐号
[root@c1gstudio]# groupdel groupname
#批量删去办法
for i in adm lp mail news uucp games dip pppusers pop
users slipusers ;do groupdel $i ;done
3.用户暗码设置
装置 linux时默许的暗码最小长度是 5个字节,但这并不行,要把它设为 8个字节。修正最短暗码长度需求修正 login.defs
文件#vi /etc/login.defs
PASS_MAX_DAYS  99999  ##暗码设置最长有用期(默许值)
PASS_MIN_DAYS  0  ##暗码设置最短有用期
PASS_MIN_LEN  5  ##设置暗码最小长度,将 5 改为 8
PASS_WARN_AGE  7  ##提早多少天正告用户暗码行将过期。
然后修正 Root 暗码
#passwd root
New UNIX password:
Retype new UNIX password:
passwd: all authentication tokens updated successfully.
4.修正主动刊出帐号时刻
主动刊出帐号的登录,在 Linux 体系中 root 账户是具有最高特权的。假如体系办理员在脱离体系之前忘掉刊出 root 账
户,那将会带来很大的安全隐患,应该让体系会主动刊出。经过修正账户中“TMOUT”参数,能够完结此功用。TMOUT
按秒核算。修正你的 profile 文件(vi /etc/profile),在"HISTSIZE="后边参加下面这行:
TMOUT=300
300,表明 300 秒,也就是表明 5 分钟。这样,假如体系中登陆的用户在 5 分钟内都没有动作,那么体系会主动刊出这
个账户。
 
5.约束 Shell 指令记载巨细
默许情况下,bash shell 会在文件$HOME/.bash_history 中寄存多达 500 条指令记载(依据具体的体系不同,默许记
录条数不同)。体系中每个用户的主目录下都有一个这样的文件。在此笔者强烈主张约束该文件的巨细。
您能够修正/etc/profile 文件,修正其间的选项如下:
HISTFILESIZE=30 或 HISTSIZE=30
#vi /etc/profile
HISTSIZE=30
6.刊出时删去指令记载
修正/etc/skel/.bash_logout 文件,添加如下行:
rm -f $HOME/.bash_history
这样,体系中的一切用户在刊出时都会删去其指令记载。
假如只需求针对某个特定用户,如 root 用户进行设置,则可只在该用户的主目录下修正/$HOME/.bash_history 文件,
添加相同的一行即可。
7.用下面的指令加需求的用户组和用户帐号
[root@c1gstudio]# groupadd
例如:添加 website 用户组,groupadd website
然后调用 vigr 指令检查已添加的用户组
用下面的指令加需求的用户帐号
[root@c1gstudio]# useradd username –g website //添加用户到 website 组(作为 webserver 的一般办理员,而非
root 办理员)
然后调用 vipw 指令检查已添加的用户
用下面的指令改动用户口令(至少输入 8 位字母和数字组合的暗码,并将暗码记载于本地机的专门文档中,以防忘记)
[root@c1gstudio]# passwd username
8.阻挠任何人 su 作为 root
假如你不想任何人能够 su 作为 root,你能修正/etc/pam.d/su 加下面的行:
#vi /etc/pam.d/su
auth sufficient /lib/security/$ISA/pam_rootok.so debug
auth required /lib/security/$ISA/pam_wheel.so group=website
意味着只是 website 组的用户能够 su 作为 root.
9.修正 ssh 效劳的 root 登录权限
修正 ssh 效劳装备文件,使的 ssh 效劳不答应直接运用 root 用户来登录,这样削减体系被歹意登录进犯的时机。
#vi /etc/ssh/sshd_config
PermitRootLogin yes
将这行前的#去掉后,修正为:
PermitRootLogin no
10.修正 ssh 效劳的 sshd 端口
ssh 默许会监听在 22 端口,你能够修正至 6022 端口以避过惯例的扫描。
留意:修正端口过错或许会导致你下次连不到效劳器,能够先一起开着 22 和 6022 两个端口,然后再关掉 22 端口;
重启 sshd 不会弹掉你当时的衔接,能够别的开一个客户端来测验效劳;
#vi /etc/ssh/sshd_config
#添加修正
#Port 22 #封闭 22 端口
Port 6022 #添加 6022 端口
#重启 sshd 效劳
service sshd restart
检查一下 sshd 的监听端口对不对
netstat -lnp|grep ssh
#iptables 敞开 sshd 的 6022 端口
vi /etc/sysconfig/iptables
#假如运用 redhat 默许规矩则添加
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 6022 -j ACCEPT
#或
iptables -A INPUT -p tcp --dport 6022 -j ACCEPT
iptables -A OUTPUT -p udp --sport 6022 -j ACCEPT
重启 iptables 效劳
service iptables restart
#测验两个端口是否都能连上,连上后再将 22 端口删去
具体参阅:
Linux 操作体系下 SSH 默许 22 端口修正办法
 
11.封闭体系不运用的效劳:
cd /etc/init.d #进入到体系 init 进程发动目录
在这儿有两个办法,能够封闭 init 目录下的效劳,
一、将 init 目录下的文件名 mv 成*.old 类的文件名,即修正文件名,效果就是在体系发动的时分找不到这个效劳的启
动文件。
二、运用 chkconfig 体系指令来封闭体系发动等级的效劳。
注:在运用以下任何一种办法时,请先检查需求封闭的效劳是否是本效劳器特别需求发动支撑的效劳,以防封闭正常使
用的效劳。
运用 chkcofig 指令来封闭不运用的体系效劳 (level前面为 2 个减号)要想在修正发动脚本前了解有多少效劳正在运转,
输入:
ps aux | wc -l
然后修正发动脚本后,重启体系,再次输入上面的指令,就可核算出削减了多少项效劳。越少效劳在运转,安全性就越
好。别的运转以下指令能够了解还有多少效劳在运转:
netstat -na --ip
批量办法先中止效劳
for i in acpid anacron apmd atd auditd autofs avahi-daemon avahi-dnsconfd bluetooth cpuspeed cups
dhcpd firstboot gpm haldaemon hidd ip6tables ipsec isdn kudzu lpd mcstrans messagebus microcode_ctl
netfs nfs nfslock nscd pcscd portmap readahead_early restorecond rpcgssd rpcidmapd rstatd sendmai
l setroubleshoot snmpd sysstat xfs xinetd yppasswdd ypserv yum-updatesd ;do service $i stop;done
封闭发动效劳
for i in acpid anacron apmd atd auditd autofs avahi-daemon avahi-dnsconfd bluetooth cpuspeed cups
dhcpd firstboot gpm haldaemon hidd ip6tables ipsec isdn kudzu lpd mcstrans messagebus microcode_ctl
netfs nfs nfslock nscd pcscd portmap readahead_early restorecond rpcgssd rpcidmapd rstatd sendmai
l setroubleshoot snmpd sysstat xfs xinetd yppasswdd ypserv yum-updatesd ;do chkconfig $i off;done
以下为手动办法及解说,履行批量办法后不需再履行了
chkconfig --level 345 apmd off ##笔记本需求
chkconfig --level 345 netfs off ## nfs 客户端
chkconfig --level 345 yppasswdd off ## NIS 效劳器,此效劳缝隙许多
chkconfig --level 345 ypserv off ## NIS 效劳器,此效劳缝隙许多
chkconfig --level 345 dhcpd off ## dhcp 效劳
chkconfig --level 345 portmap off ##运转 rpc(111 端口)效劳必需
chkconfig --level 345 lpd off ##打印效劳
chkconfig --level 345 nfs off ## NFS 效劳器,缝隙极多
chkconfig --level 345 sendmail off ##邮件效劳, 缝隙极多
chkconfig --level 345 snmpd off ## SNMP,长途用户能从中取得许多体系信息
chkconfig --level 345 rstatd off ##避免运转 r 效劳,长途用户能够从中获取许多信息
chkconfig --level 345 atd off ##和 cron 很类似的守时运转程序的效劳
注:以上 chkcofig 指令中的 3 和 5 是体系发动的类型,以下为数字代表意思
0:开机(请不要切换到此等级)
1:单人运用者形式的文字界面
2:多人运用者形式的文字界面,不具有网络档案体系(NFS)功用
3:多人运用者形式的文字界面,具有网络档案体系(NFS)功用
4:某些发行版的 linux 运用此等级进入 x windows system
5:某些发行版的 linux 运用此等级进入 x windows system
6:重新发动
假如不指定--level 单用 on 和 off 开关,体系默许只对运转级 3,4,5 有用
chkconfig cups off #打印机
chkconfig bluetooth off # 蓝牙
chkconfig hidd off # 蓝牙
chkconfig ip6tables off # ipv6
chkconfig ipsec off # vpn
chkconfig auditd off #用户空间监控程序
chkconfig autofs off #光盘软盘硬盘等主动加载效劳
chkconfig avahi-daemon off #首要用于 Zero Configuration Networking ,一般没什么用主张封闭
chkconfig avahi-dnsconfd off #首要用于 Zero Configuration Networking ,同上,主张封闭
chkconfig cpuspeed off #动态调整 CPU 频率的进程,在效劳器体系中这个进程主张封闭
chkconfig isdn off #isdn
chkconfig kudzu off #硬件主动监测效劳
chkconfig nfslock off #NFS 文档确定功用。文档同享支撑,无需的能够关了
chkconfig nscd off #担任暗码和组的查询,在有 NIS 效劳时需求
chkconfig pcscd off #智能卡支撑,,假如没有能够关了
chkconfig yum-updatesd off #yum 更新
chkconfig acpid off
chkconfig autofs off
chkconfig firstboot off
chkconfig mcstrans off #selinux
chkconfig microcode_ctl off
chkconfig rpcgssd off
chkconfig rpcidmapd off
chkconfig setroubleshoot off
chkconfig xfs off
chkconfig xinetd off
chkconfig messagebus off
chkconfig gpm off #鼠标
chkconfig restorecond off #selinux
chkconfig haldaemon off
chkconfig sysstat off
chkconfig readahead_early off
chkconfig anacron off
需求保存的效劳
crond , irqbalance , microcode_ctl ,network , sshd ,syslog
由于有些效劳已运转,所以设置完后需重启
chkconfig
/*
语法:chkconfig [--add][--del][--list][体系效劳] 或 chkconfig [--level 等级代号 ][体系效劳][on/off/reset]
弥补阐明:这是 Red Hat 公司遵从 GPL 规矩所开发的程序,它可查询操作体系在每一个履行等级中会履行哪些体系服
务,其间包含各类常驻效劳。
参数:
--add  添加所指定的体系效劳,让 chkconfig 指令得以办理它,并一起在体系发动的叙说文件内添加相关数据。
--del  删去所指定的体系效劳,不再由 chkconfig 指令办理,并一起在体系发动的叙说文件内删去相关数据。
--level 等级代号   指定读体系效劳要在哪一个履行等级中敞开或关毕
*/
 
12.阻挠体系呼应任何从外部/内部来的 ping 恳求
已然没有人能 ping 通你的机器并收到呼应,你能够大大增强你的站点的安全性。你能够加下面的一行指令到
/etc/rc.d/rc.local,以使每次发动后主动运转。
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
#这个能够不做哈
13.修正“/etc/host.conf”文件
“/etc/host.conf”阐明了如何解析地址。修正“/etc/host.conf”文件(vi /etc/host.conf),参加下面这行:
# Lookup names via DNS first then fall back to /etc/hosts.
order hosts,bind
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
第一项设置首要经过 DNS 解析 IP 地址,然后经过 hosts 文件解析。第二项设置检测是否“/etc/hosts”文件中的主机是
否具有多个 IP 地址(比方有多个以太口网卡)。第三项设置阐明要留意对本机未经许可的电子诈骗。
14.不答应从不同的控制台进行 root 登陆
"/etc/securetty"文件答应你界说 root 用户能够从那个 TTY 设备登陆。你能够修正"/etc/securetty"文件,再不需求
登陆的 TTY 设备前添加“#”标志,来制止从该 TTY 设备进行 root 登陆。
在/etc/inittab 文件中有如下一段话:
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
体系默许的能够运用 6 个控制台,即 Alt+F1,Alt+F2...,这儿在 3,4,5,6 前面加上“#”,注释该句话,这样现在只
有两个控制台可供运用,最好保存两个。然后重新发动 init 进程,改动即可收效!
15.制止 Control-Alt-Delete 键盘封闭指令
在"/etc/inittab" 文件中注释掉下面这行(运用#):
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
为了使这项改动起效果,输入下面这个指令:
# /sbin/init q
16.用 chattr 指令给下面的文件加上不行更改特点。
[root@c1gstudio]# chattr +i /etc/passwd
[root@c1gstudio]# chattr +i /etc/shadow
[root@c1gstudio]# chattr +i /etc/group
[root@c1gstudio]# chattr +i /etc/gshadow
【注:chattr是改动文件特点的指令,参数 i 代表不得恣意更动文件或目录,此处的 i为不行修正位(immutable)。检查
办法:lsattr /etc/passwd,吊销为 chattr –i /etc/group】
弥补阐明:这项指令可改动寄存在 ext2 文件体系上的文件或目录特点,这些特点共有以下 8 种形式:
a:让文件或目录仅供附加用处。
b:不更新文件或目录的最终存取时刻。
c:将文件或目录紧缩后寄存。
d:将文件或目录扫除在倾倒操作之外。
i:不得恣意更动文件或目录。
s:保密性删去文件或目录。
S:即时更新文件或目录。
u:防备以外删去。
参数:
-R 递归处理,将指定目录下的一切文件及子目录一并处理。
-v 版别编号 设置文件或目录版别。
-V 显现指令履行进程。
+ 特点 敞开文件或目录的该项特点。
- 特点 封闭文件或目录的该项特点。
= 特点 指定文件或目录的该项特点。
 
17.给体系效劳端口列表文件加锁
首要效果:避免未经许可的删去或添加效劳
chattr +i /etc/services
【检查办法:lsattr /etc/ services,吊销为 chattr –i /etc/ services】
18.体系文件权限修正
Linux 文件体系的安全首要是经过设置文件的权限来完结的。每一个 Linux的文件或目录,都有 3 组特点,别离界说文
件或目录的一切者,用户组和其他人的运用权限(只读、可写、可履行、答应 SUID、答应 SGID 等)。特别留意,权
限为 SUID 和 SGID 的可履行文件,在程序运转进程中,会给进程赋予一切者的权限,假如被黑客发现并运用就会给系
统形成损害。
(1)修正 init 目录文件履行权限:
chmod -R 700 /etc/init.d/* (递归处理,owner 具有 rwx,group 无,others 无)
(2)修正部分体系文件的 SUID 和 SGID 的权限:
chmod a-s /usr/bin/chage
chmod a-s /usr/bin/gpasswd
chmod a-s /usr/bin/wall
chmod a-s /usr/bin/chfn
chmod a-s /usr/bin/chsh
chmod a-s /usr/bin/newgrp
chmod a-s /usr/bin/write
chmod a-s /usr/sbin/usernetctl
chmod a-s /usr/sbin/traceroute
chmod a-s /bin/mount
chmod a-s /bin/umount
chmod a-s /sbin/netreport
(3)修正体系引导文件
chmod 600 /etc/grub.conf
chattr +i /etc/grub.conf
【检查办法:lsattr /etc/grub.conf,吊销为 chattr –i /etc/grub.conf】
19.添加 dns
#vi /etc/resolv.conf
nameserver 8.8.8.8 #google dns
nameserver 8.8.4.4
20.hostname 修正
#留意需先把 mysql、postfix 等效劳停了
1.hostname servername
2.vi /etc/sysconfig/network
service network restart
3.vi /etc/hosts
21.selinux 修正
敞开 selinux 能够添加安全性,但装软件时或许会遇到一些古怪问题
以下是封闭办法
#vi /etc/selinux/config
改成 disabled
22.封闭 ipv6
echo "alias net-pf-10 off" /etc/modprobe.conf
echo "alias ipv6 off" /etc/modprobe.conf
#vi /etc/sysconfig/network
NETWORKING_IPV6=no
重启效劳
Service ip6tables stop
Service network restart
封闭主动发动
chkconfig --level 235 ip6tables off
23.设置 iptables
iptables 默许安全规矩脚本
重启体系
以上大部分设置能够运转脚原本完结。linux 安全设置方便脚本
设置完结后重启体系
其它设置项
linux 调整体系时区/时刻的办法
把/usr/share/zoneinfo 里相应的时区与/etc/localtime 做个软 link.比方运用上海时区的时刻:ln -s
/usr/share/zoneinfo/Asia/Shanghai /etc/localtime 假如要运用 UTC 计时办法,则应在/etc/sysconfig/clock 文
件里改 UTC=TRUE 时刻的设置: 运用 date 指令加 s 参数修正,留意 linux 的时刻格局为"月日时分年",也能够只修正
时刻 date -s 22:30:20,假如修正的是年月日和时刻,格局为"月日时分年.秒",2007-03-18 11:01:56 则应写为"date
-s 031811012007.56 硬件时刻与当时时刻更新: hwclock --systohc 假如硬件记时用 UTC,则为 hwclock
--systohc --utc
linux 调整体系时区/时刻的办法
1) 找到相应的时区文件
/usr/share/zoneinfo/Asia/Shanghai
用这个文件替换当时的/etc/localtime 文件。
过程: cp –i /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
挑选掩盖
2) 修正/etc/sysconfig/clock 文件,修正为:
ZONE="Asia/Shanghai"
UTC=false
ARC=false
3)
时刻设定成 2005 年 8 月 30 日的指令如下:
#date -s 08/30/2005
将体系时刻设定成下午 6 点 40 分 0 秒的指令如下:
#date -s 18:40:00
4)同步 BIOS 时钟,强制把体系时刻写入 CMOS,指令如下:
#clock -w
装置 ntpd
#yum install ntp
#chkconfig --levels 235 ntpd on
#ntpdate ntp.api.bz #先手动校准下
#service ntpd start
设置言语
英文言语,中文支撑
#vi /etc/sysconfig/i18n
LANG="en_US.UTF-8"
SUPPORTED="zh_CN.UTF-8:zh_CN:zh"
SYSFONT="latarcyrheb-sun16"
tmpwatch 守时铲除
假定效劳器自界说了 php 的 session 和 upload 目录
#vi /etc/cron.daily/tmpwatch
在 240 /tmp 前添加
-x /tmp/session -x /tmp/upload
#mkdir /tmp/session
#mkdir /tmp/upload
#chown nobody:nobody /tmp/upload
#chmod 0770 /tmp/upload
版权声明
本文来源于网络,版权归原作者所有,其内容与观点不代表威尼斯人立场。转载文章仅为传播更有价值的信息,如采编人员采编有误或者版权原因,请与我们联系,我们核实后立即修改或删除。

猜您喜欢的文章