轉載:http://www.qixing318.com/article/centos6-simple-server-security-configuration.html
Linux 是一個開放式系統,可以在網絡上找到許多現成的程式和工具,這既友善了使用者,也友善了***,因為他們也能很容易地找到程式和工具來潛入 Linux 系統,或者盜取 Linux 系統上的重要資訊。不過,隻要我們仔細地設定 Linux 的各種系統功能,并且加上必要的安全措施,就能讓***們無機可乘。一般來說,對 Linux 系統的安全設定包括取消不必要的服務、限制遠端存取、隐藏重要資料、修補安全漏洞、采用安全工具以及經常性的安全檢查等。
本文是可參考的實際操作,不涉及如 IP 欺騙這樣的原理,而且安全問題也不算幾行指令就能預防的,這裡隻是 Linux 系統上基本的安全加強方法,後續有新的内容再添加進來。
注:所有檔案在修改之前都要進行備份如
cp /etc/passwd{,.dist} 1. 禁用不使用的使用者
注意:不建議直接删除,當你需要某個使用者時,自己重新添加會很麻煩。也可以usermod -L或passwd -l user鎖定。
- cp /etc/passwd{,.bak}修改之前先備份
- vi /etc/passwd編輯使用者,在前面加上#注釋掉此行
注釋的使用者名:
# cat /etc/passwd|grep ^#
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
#nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
#postfix:x:89:89::/var/spool/postfix:/sbin/nologin 注釋的組:
# cat /etc/group|grep ^#
#adm:x:4:adm,daemon
#lp:x:7:daemon
#uucp:x:14:
#games:x:20:
#gopher:x:30:
#video:x:39:
#dip:x:40:
#ftp:x:50:
#audio:x:63:
#floppy:x:19:
#postfix:x:89: 2. 關閉不使用的服務
# chkconfig --list |grep '3:on' 郵件服務,使用公司郵件伺服器:
“shell
service postfix stop
chkconfig postfix –level 2345 off
通用unix列印服務,對伺服器無用:
```shell
service cups stop
chkconfig cups --level 2345 off 調節cpu速度用來省電,常用在Laptop上:
service cpuspeed stop
chkconfig cpuspeed --level 2345 off 藍牙無線通訊,對伺服器無用:
service bluetooth stop
chkconfig bluetooth --level 2345 off 系統安裝後初始設定,第一次啟動系統後就沒用了:
service firstboot stop
chkconfig firstboot --level 2345 off 關閉nfs服務及用戶端:
service netfs stop
chkconfig netfs --level 2345 off
service nfslock stop
chkconfig nfslock --level 2345 off 如果要恢複某一個服務,可以執行下面操作:
service acpid start && chkconfig acpid on 也可以使用setup工具來設定
3. 禁用IPV6
IPv6是為了解決IPv4位址耗盡的問題,但我們的伺服器一般用不到它,反而禁用IPv6不僅僅會加快網絡,還會有助于減少管理開銷和提高安全級别,以下幾步在CentOS上完全禁用ipv6。
禁止加載IPv6子產品
讓系統不加載ipv6相關子產品,這需要修改modprobe相關設定檔案,為了管理友善,我們建立設定檔案/etc/modprobe.d/ipv6off.conf,内容如下
alias net-pf-10 off
options ipv6 disable=1 禁用基于IPv6網絡,使之不會被觸發啟動:
# vi /etc/sysconfig/network
NETWORKING_IPV6=no 禁用網卡IPv6設定,使之僅在IPv4模式下運作:
# vi /etc/sysconfig/network-scripts/ifcfg-eth0
IPV6INIT=no
IPV6_AUTOCONF=no 關閉ip6tables:
# chkconfig ip6tables off 重新開機系統,驗證是否生效:
# lsmod | grep ipv6
# ifconfig | grep -i inet6 如果沒有任何輸出就說明IPv6子產品已被禁用,否則被啟用。
4. iptables規則
啟用linux防火牆來禁止非法程式通路。使用iptable的規則來過濾入站、出站和轉發的包。我們可以針對來源和目的位址進行特定udp/tcp端口的準許和拒絕通路。
關于防火牆的設定規則請參考部落格文章 iptables常用設定執行個體。
5. SSH安全設定
如果有可能,第一件事就是修改ssh的預設端口22,改成如20002這樣的較大端口會大幅提高安全系數,降低ssh破解登入的可能性。
建立具備辨識度的應用使用者如crm以及系統管理使用者sysmgr
# useradd crm -d /apps/crm
# passwd crm
# useradd sysmgr
# passwd sysmgr 5.1 隻允許wheel使用者組的使用者su切換
# usermod -G wheel sysmgr
# vi /etc/pam.d/su
# Uncomment the following line to require a user to be in the "wheel" group.
auth required pam_wheel.so use_uid 其他使用者切換root,即使輸對密碼也會提示su: incorrect password
5.2 登入逾時
使用者線上5分鐘無操作則逾時斷開連接配接,在/etc/profile中添加:
export TMOUT=300
readonly TMOUT 5.3 禁止root直接遠端登入
# vi /etc/ssh/sshd_config
PermitRootLogin no 5.4 限制登入失敗次數并鎖定
在/etc/pam.d/login後添加
auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180 登入失敗5次鎖定180秒,根據需要設定是否包括root。
5.5 登入IP限制
(由于要與某一固定IP或IP段綁定,暫未設定)
更嚴格的限制是在sshd_config中定死允許ssh的使用者和來源ip:
## allowed ssh users sysmgr
AllowUsers [email protected]* 或者使用tcpwrapper:
vi /etc/hosts.deny
sshd:all vi /etc/hosts.allow
sshd:172.29.73.23
sshd:172.29.73. 6. 配置隻能使用密鑰檔案登入
使用密鑰檔案代替普通的簡單密碼認證也會極大的提高安全性:
[[email protected] ~]$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa): //預設路徑,回車
Enter passphrase (empty for no passphrase): //輸入你的密鑰短語,登入時使用
Enter same passphrase again:
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64 [email protected]
The key's randomart p_w_picpath is:
+--[ RSA 2048]----+
| |
…
| o++o..oo..o|
+-----------------+ 将公鑰重命名為authorized_key:
$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys 下載下傳私鑰檔案 id_rsa 到本地(為了更加容易識别,可重命名為hostname_username_id_rsa),儲存到安全的地方。以後 username 使用者登入這台主機就必須使用這個私鑰,配合密碼短語來登入(不再使用 username 使用者自身的密碼)
另外還要修改/etc/ssh/sshd_config檔案,打開注釋
RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile .ssh/authorized_keys 我們要求 username 使用者(可以切換到其他使用者,特别是root)必須使用ssh密鑰檔案登入,而其他普通使用者可以直接密碼登入。是以還需在sshd_config檔案最後加入:
Match User itsection
PasswordAuthentication no 重新開機sshd服務service sshd restart,另外提醒一句,這對公鑰和私鑰一定要單獨儲存在另外的機器上,伺服器上丢失公鑰或連接配接端丢失私鑰(或密鑰短語),可能導緻再也無法登陸伺服器獲得root權限!
7. 減少history指令記錄
執行過的曆史指令記錄越多,從一定程度上講會給維護帶來簡便,但同樣會伴随安全問題
vi /etc/profile 找到HISTSIZE=1000改為HISTSIZE=50,或每次退出時清理history,history -c
8. 增強特殊檔案權限
給下面的檔案加上不可更改屬性,進而防止非授權使用者獲得權限
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services #給系統服務端口清單檔案加鎖,防止未經許可的删除或添加服務
chattr +i /etc/pam.d/su
chattr +i /etc/ssh/sshd_config 顯示檔案的屬性
lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config 注意:執行以上 chattr 權限修改之後,就無法添加删除使用者了。
如果再要添加删除使用者,需要先取消上面的設定,等使用者添加删除完成之後,再執行上面的操作,例如取消隻讀權限chattr -i /etc/passwd。(記得重新設定隻讀)
9. 防止一般網絡***
網絡***不是幾行設定就能避免的,以下都隻是些簡單的将可能性降到最低,增大***的難度但并不能完全阻止。
9.1 禁ping
阻止ping如果沒人能ping通您的系統,安全性自然增加了,可以有效的防止ping洪水。為此,可以在/etc/rc.d/rc.local檔案中增加如下一行:
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 或使用iptable禁ping:
iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP 不允許ping其他主機:
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP 9.2. 防止IP欺騙
編輯/etc/host.conf檔案并增加如下幾行來防止IP欺騙***。
order hosts,bind #名稱解釋順序
multi on #允許主機擁有多個IP位址
nospoof on #禁止IP位址欺騙 9.3 防止DoS***
對系統所有的使用者設定資源限制可以防止DoS類型***,如最大程序數和記憶體使用數量等。
可以在/etc/security/limits.conf中添加如下幾行:
* soft core 0
* soft nproc 2048
* hard nproc 16384
* soft nofile 1024
* hard nofile 65536 - core 0表示禁止建立core檔案
- nproc 128把最多的程序數限制到20
- nofile 64表示把一個使用者同時打開的最大檔案數限制為64
- *表示登入到系統的所有使用者,不包括root
然後必須編輯/etc/pam.d/login檔案檢查下面一行是否存在。
session required pam_limits.so limits.conf參數的值需要根據具體情況調整。
10. 修複已知安全漏洞
在linux上偶爾會爆出毀滅級的漏洞,如udev、heartbleed、shellshock、ghost等,如果伺服器暴露在外網,一定及時修複。
11. 定期做日志安全檢查
将日志移動到專用的日志伺服器裡,這可避免***者輕易的改動本地日志。下面是常見linux的預設日志檔案及其用處:
- /var/log/message– 記錄系統日志或目前活動日志
- /var/log/auth.log– 身份認證日志
- /var/log/cron– Crond 日志 (cron 任務)
- /var/log/maillog– 郵件伺服器日志
- /var/log/secure– 認證日志
- /var/log/wtmp曆史登入、登出、啟動、停機日志和,lastb指令可以檢視登入失敗的使用者
- /var/run/utmp目前登入的使用者資訊日志,w、who指令的資訊便來源與此
- /var/log/yum.logYum 日志
參考 深度解析CentOS通過日志反查***。
11.1 安裝logwatch
Logwatch是使用 Perl 開發的一個日志分析工具。能夠對Linux 的日志檔案進行分析,并自動發送mail給相關處理人員,可定制需求。
Logwatch的mail功能是借助宿主系統自帶的 mail server 發郵件的,是以系統需安裝mail server , 如sendmail,postfix,Qmail等。
安裝和配置方法見博文 Linux日志監控LogWatch。
12. web伺服器安全
像apache或tomcat這樣的服務端程式在配置時,如果有安全問題存在可以查閱文檔進行安全加強。日後有時間再補充到新的文章。
參考:Top 20 OpenSSH Server Best Security Practices
轉載于:https://blog.51cto.com/mengphilip/1630495
![作業系統(python)多程序學習[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)