Linux 是一個開放式系統,可以在網絡上找到許多現成的程序和工具�����,這既方便了用戶,也方便了黑客����,因為他們也能很容易地找到程序和工具來潛入 Linux 系統�����,或者盜取 Linux 系統上的重要信息��。不過����,只要我們仔細地設定 Linux 的各種系統功能,并且加上必要的安全措施���,就能讓黑客們無機可乘。
一般來說���,對 Linux 系統的安全設定包括取消不必要的服務���、限制遠程存取���、隱藏重要資料�����、修補安全漏洞��、采用安全工具以及經常性的安全檢查等�。
本文是可參考的實際操作,不涉及如 IP 欺騙這樣的原理���,而且安全問題也不算幾行命令就能預防的
這里只是 Linux 系統上基本的安全加固方法����,后續有新的內容再添加進來�����。
注:所有文件在修改之前都要進行備份如
1. Linux禁用不使用的用戶
注意:不建議直接刪除���,當你需要某個用戶時���,自己重新添加會很麻煩����。也可以 usermod -L 或 passwd -l user鎖定���。
cp /etc/passwd{,.bak} 修改之前先備份
vi /etc/passwd 編輯用戶�,在前面加上#注釋掉此行
注釋的用戶名:
# cat /etc/passwd|grep ^##adm:x:3:4:adm:/var/adm:/sbin/nologin#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown#halt:x:7:0:halt:/sbin:/sbin/halt#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin#operator:x:11:0:operator:/root:/sbin/nologin#games:x:12:100:games:/usr/games:/sbin/nologin#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin#nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin#postfix:x:89:89::/var/spool/postfix:/sbin/nologin
Linux注釋的組:
# cat /etc/group|grep ^##adm:x:4:adm,daemon#lp:x:7:daemon#uucp:x:14:#games:x:20:#gopher:x:30:#video:x:39:#dip:x:40:#ftp:x:50:#audio:x:63:#floppy:x:19:#postfix:x:89:
2. Linux關閉不使用的服務
# chkconfig --list |grep '3:on'
郵件服務��,使用公司郵件服務器:
service postfix stopchkconfig postfix --level 2345 off
通用unix打印服務�,對服務器無用:
service cups stopchkconfig cups --level 2345 off
調節cpu速度用來省電,常用在Laptop上:
service cpuspeed stopchkconfig cpuspeed --level 2345 off
藍牙無線通訊��,對服務器無用:
service bluetooth stopchkconfig bluetooth --level 2345 off
系統安裝后初始設定����,第一次啟動系統后就沒用了:
service firstboot stopchkconfig firstboot --level 2345 off
Linux關閉nfs服務及客戶端:
service netfs stopchkconfig netfs --level 2345 offservice nfslock stopchkconfig nfslock --level 2345 off
如果要恢復某一個服務�����,可以執行下面操作:
service acpid start && chkconfig acpid on
也可以使用setup工具來設置
3. Linux禁用IPV6
IPv6是為了解決IPv4地址耗盡的問題���,但我們的服務器一般用不到它���,反而禁用IPv6不僅僅會加快網絡�����,還會有助于減少管理開銷和提高安全級別����。以下幾步在CentOS上完全禁用ipv6���。
Linux禁止加載IPv6模塊:
讓系統不加載ipv6相關模塊����,這需要修改modprobe相關設定文件���,為了管理方便��,我們新建設定文件/etc/modprobe.d/ipv6off.conf,內容如下
alias net-pf-10 offoptions ipv6 disable=1
Linux禁用基于IPv6網絡��,使之不會被觸發啟動:
# vi /etc/sysconfig/networkNETWORKING_IPV6=no
Linux禁用網卡IPv6設置��,使之僅在IPv4模式下運行:
# vi /etc/sysconfig/network-scripts/ifcfg-eth0IPV6INIT=noIPV6_AUTOCONF=no
Linux關閉ip6tables:
# chkconfig ip6tables off
重啟系統�,驗證是否生效:
# lsmod | grep ipv6# ifconfig | grep -i inet6
如果沒有任何輸出就說明IPv6模塊已被禁用�,否則被啟用���。
4. Linux iptables規則
啟用linux防火墻來禁止非法程序訪問。使用iptable的規則來過濾入站�����、出站和轉發的包���。我們可以針對來源和目的地址進行特定udp/tcp端口的準許和拒絕訪問。
關于防火墻的設置規則請參考博客文章 iptables設置實例�����。
5. Linux SSH安全
如果有可能���,第一件事就是修改ssh的默認端口22,改成如20002這樣的較大端口會大幅提高安全系數����,降低ssh破解登錄的可能性。
創建具備辨識度的應用用戶如crm以及系統管理用戶sysmgr
# useradd crm -d /apps/crm# passwd crm# useradd sysmgr# passwd sysmgr
5.1 Linux只允許wheel用戶組的用戶su切換
# usermod -G wheel sysmgr# vi /etc/pam.d/su# Uncomment the following line to require a user to be in the "wheel" group.auth required pam_wheel.so use_uid
其他用戶切換root�,即使輸對密碼也會提示 su: incorrect password
5.2 Linux登錄超時
用戶在線5分鐘無操作則超時斷開連接,在/etc/profile中添加:
export TMOUT=300readonly TMOUT
5.3 Linux禁止root直接遠程登錄
# vi /etc/ssh/sshd_configPermitRootLogin no
5.4 Linux限制登錄失敗次數并鎖定
在/etc/pam.d/login后添加
auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180
登錄失敗5次鎖定180秒����,根據需要設置是否包括root。
5.5 Linux登錄IP限制
(由于要與某一固定IP或IP段綁定����,暫未設置)
更嚴格的限制是在sshd_config中定死允許ssh的用戶和來源ip:
## allowed ssh users sysmgrAllowUsers sysmgr@172.29.73.*或者使用tcpwrapper:vi /etc/hosts.denysshd:allvi /etc/hosts.allowsshd:172.29.73.23sshd:172.29.73.
6. Linux配置只能使用密鑰文件登錄
使用密鑰文件代替普通的簡單密碼認證也會極大的提高安全性:
[dir@username ~]$ ssh-keygen -t rsa -b 2048Generating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa): //默認路徑,回車Enter passphrase (empty for no passphrase): //輸入你的密鑰短語���,登錄時使用Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa.Your public key has been saved in /root/.ssh/id_rsa.pub.The key fingerprint is:3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64 root@ibpak.tp-link.netThe key's randomart image is:+--[ RSA 2048]----+| |…| o++o..oo..o|+-----------------+
將公鑰重命名為authorized_key:
$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys$ chmod 600 ~/.ssh/authorized_keys
下載私鑰文件 id_rsa 到本地(為了更加容易識別�,可重命名為hostname_username_id_rsa)����,保存到安全的地方�����。以后 username 用戶登錄這臺主機就必須使用這個私鑰����,配合密碼短語來登錄(不再使用 username 用戶自身的密碼)
另外還要修改/etc/ssh/sshd_config文件
打開注釋
RSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile .ssh/authorized_keys
我們要求 username 用戶(可以切換到其他用戶��,特別是root)必須使用ssh密鑰文件登錄���,而其他普通用戶可以直接密碼登錄��。因此還需在sshd_config文件最后加入:
Match User itsection PasswordAuthentication no
重啟sshd服務
# service sshd restart
另外提醒一句,這對公鑰和私鑰一定要單獨保存在另外的機器上��,服務器上丟失公鑰或連接端丟失私鑰(或密鑰短語)�,可能導致再也無法登陸服務器獲得root權限!
7. Linux減少history命令記錄
執行過的歷史命令記錄越多����,從一定程度上講會給維護帶來簡便,但同樣會伴隨安全問題
vi /etc/profile
找到 HISTSIZE=1000 改為 HISTSIZE=50�。
或每次退出時清理history���,history -c
8. Linux增強特殊文件權限
給下面的文件加上不可更改屬性�����,從而防止非授權用戶獲得權限
chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadowchattr +i /etc/services #給系統服務端口列表文件加鎖�,防止未經許可的刪除或添加服務chattr +i /etc/pam.d/suchattr +i /etc/ssh/sshd_config
顯示文件的屬性
lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config
注意:執行以上 chattr 權限修改之后,就無法添加刪除用戶了�����。
如果再要添加刪除用戶��,需要先取消上面的設置��,等用戶添加刪除完成之后��,再執行上面的操作����,例如取消只讀權限chattr -i /etc/passwd��。(記得重新設置只讀)
9. Linux防止一般網絡攻擊
網絡攻擊不是幾行設置就能避免的���,以下都只是些簡單的將可能性降到最低��,增大攻擊的難度但并不能完全阻止���。
9.1 Linux禁ping
阻止ping如果沒人能ping通您的系統,安全性自然增加了���,可以有效的防止ping洪水�。為此��,可以在/etc/rc.d/rc.local文件中增加如下一行:
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
或使用iptable禁ping:
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP
不允許ping其他主機:
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
9.2. Linux防止IP欺騙
編輯/etc/host.conf文件并增加如下幾行來防止IP欺騙攻擊��。
order hosts,bind #名稱解釋順序multi on #允許主機擁有多個IP地址nospoof on #禁止IP地址欺騙
9.3 Linux防止DoS攻擊
對系統所有的用戶設置資源限制可以防止DoS類型攻擊��,如最大進程數和內存使用數量等�����。
可以在/etc/security/limits.conf中添加如下幾行:
* soft core 0* soft nproc 2048* hard nproc 16384* soft nofile 1024* hard nofile 65536
core 0 表示禁止創建core文件�;nproc 128 把最多的進程數限制到20��;nofile 64 表示把一個用戶同時打開的最大文件數限制為64�����;* 表示登錄到系統的所有用戶,不包括root
然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在�����。
session required pam_limits.so
limits.conf參數的值需要根據具體情況調整�����。
10. Linux修復已知安全漏洞
在linux上偶爾會爆出毀滅級的漏洞����,如udev、heartbleed�、shellshock、ghost等����,如果服務器暴露在外網,一定及時修復���。
11. Linux定期做日志安全檢查
將日志移動到專用的日志服務器里���,這可避免入侵者輕易的改動本地日志�����。下面是常見linux的默認日志文件及其用處:
/var/log/message – 記錄系統日志或當前活動日志。/var/log/auth.log – 身份認證日志��。/var/log/cron – Crond 日志 (cron 任務)./var/log/maillog – 郵件服務器日志�。/var/log/secure – 認證日志。/var/log/wtmp 歷史登錄�、注銷、啟動�、停機日志和,lastb命令可以查看登錄失敗的用戶/var/run/utmp 當前登錄的用戶信息日志���,w���、who命令的信息便來源與此/var/log/yum.log Yum 日志。
參考 深度解析CentOS通過日志反查入侵�。
11.1 Linux安裝logwatch
Logwatch是使用 Perl 開發的一個日志分析工具。能夠對Linux 的日志文件進行分析�����,并自動發送mail給相關處理人員,可定制需求��。
Logwatch的mail功能是借助宿主系統自帶的 mail server 發郵件的�,所以系統需安裝mail server , 如sendmail,postfix,Qmail等
安裝和配置方法見博文 linux日志監控logwatch。
12.Linux web服務器安全
像apache或tomcat這樣的服務端程序在配置時���,如果有安全問題存在可以查閱文檔進行安全加固�。日后有時間再補充到新的文章��。
更多Linux服務器安全配置方案請查看以下相關文章
注:相關教程知識閱讀請移步到服務器教程頻道��。
