主頁 > 知識庫 > Linux/CentOS服務(wù)器安全配置通用指南

Linux/CentOS服務(wù)器安全配置通用指南

熱門標簽:廣東如何申請400電話 話術(shù)外呼系統(tǒng) 哈爾濱400電話去哪辦理 寧波400電話辦理對企業(yè)的意義 北京人工外呼系統(tǒng)廠家 400電話申請要什么條件 燃氣管線地圖標注顏色 西柏坡地圖標注 i智能電話機器人yeta

Linux 是一個開放式系統(tǒng),可以在網(wǎng)絡(luò)上找到許多現(xiàn)成的程序和工具,這既方便了用戶,也方便了黑客,因為他們也能很容易地找到程序和工具來潛入 Linux 系統(tǒng),或者盜取 Linux 系統(tǒng)上的重要信息。不過,只要我們仔細地設(shè)定 Linux 的各種系統(tǒng)功能,并且加上必要的安全措施,就能讓黑客們無機可乘。

一般來說,對 Linux 系統(tǒng)的安全設(shè)定包括取消不必要的服務(wù)、限制遠程存取、隱藏重要資料、修補安全漏洞、采用安全工具以及經(jīng)常性的安全檢查等。

本文是可參考的實際操作,不涉及如 IP 欺騙這樣的原理,而且安全問題也不算幾行命令就能預防的

這里只是 Linux 系統(tǒng)上基本的安全加固方法,后續(xù)有新的內(nèi)容再添加進來。

注:所有文件在修改之前都要進行備份如

cp /etc/passwd{,.dist}

1. Linux禁用不使用的用戶

注意:不建議直接刪除,當你需要某個用戶時,自己重新添加會很麻煩。也可以 usermod -Lpasswd -l user 鎖定。

cp /etc/passwd{,.bak} 修改之前先備份

vi /etc/passwd 編輯用戶,在前面加上#注釋掉此行

注釋的用戶名:

# cat /etc/passwd|grep ^#
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
#nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
#postfix:x:89:89::/var/spool/postfix:/sbin/nologin

Linux注釋的組:

# cat /etc/group|grep ^#
#adm:x:4:adm,daemon
#lp:x:7:daemon
#uucp:x:14:
#games:x:20:
#gopher:x:30:
#video:x:39:
#dip:x:40:
#ftp:x:50:
#audio:x:63:
#floppy:x:19:
#postfix:x:89:

2. Linux關(guān)閉不使用的服務(wù) 

# chkconfig --list |grep '3:on'

郵件服務(wù),使用公司郵件服務(wù)器:

service postfix stop
chkconfig postfix --level 2345 off

通用unix打印服務(wù),對服務(wù)器無用:

service cups stop
chkconfig cups --level 2345 off

調(diào)節(jié)cpu速度用來省電,常用在Laptop上:

service cpuspeed stop
chkconfig cpuspeed --level 2345 off

藍牙無線通訊,對服務(wù)器無用:

service bluetooth stop
chkconfig bluetooth --level 2345 off

系統(tǒng)安裝后初始設(shè)定,第一次啟動系統(tǒng)后就沒用了:

service firstboot stop
chkconfig firstboot --level 2345 off

Linux關(guān)閉nfs服務(wù)及客戶端:

service netfs stop
chkconfig netfs --level 2345 off
service nfslock stop
chkconfig nfslock --level 2345 off

如果要恢復某一個服務(wù),可以執(zhí)行下面操作:

service acpid start && chkconfig acpid on

也可以使用setup工具來設(shè)置

3. Linux禁用IPV6

IPv6是為了解決IPv4地址耗盡的問題,但我們的服務(wù)器一般用不到它,反而禁用IPv6不僅僅會加快網(wǎng)絡(luò),還會有助于減少管理開銷和提高安全級別。以下幾步在CentOS上完全禁用ipv6。

Linux禁止加載IPv6模塊:

讓系統(tǒng)不加載ipv6相關(guān)模塊,這需要修改modprobe相關(guān)設(shè)定文件,為了管理方便,我們新建設(shè)定文件/etc/modprobe.d/ipv6off.conf,內(nèi)容如下

alias net-pf-10 off
options ipv6 disable=1

Linux禁用基于IPv6網(wǎng)絡(luò),使之不會被觸發(fā)啟動:

# vi /etc/sysconfig/network
NETWORKING_IPV6=no

Linux禁用網(wǎng)卡IPv6設(shè)置,使之僅在IPv4模式下運行:

# vi /etc/sysconfig/network-scripts/ifcfg-eth0
IPV6INIT=no
IPV6_AUTOCONF=no

Linux關(guān)閉ip6tables:

# chkconfig ip6tables off

重啟系統(tǒng),驗證是否生效:

# lsmod | grep ipv6
# ifconfig | grep -i inet6

如果沒有任何輸出就說明IPv6模塊已被禁用,否則被啟用。

4. Linux iptables規(guī)則

啟用linux防火墻來禁止非法程序訪問。使用iptable的規(guī)則來過濾入站、出站和轉(zhuǎn)發(fā)的包。我們可以針對來源和目的地址進行特定udp/tcp端口的準許和拒絕訪問。

關(guān)于防火墻的設(shè)置規(guī)則請參考博客文章 iptables設(shè)置實例。

5. Linux SSH安全

如果有可能,第一件事就是修改ssh的默認端口22,改成如20002這樣的較大端口會大幅提高安全系數(shù),降低ssh破解登錄的可能性。

創(chuàng)建具備辨識度的應(yīng)用用戶如crm以及系統(tǒng)管理用戶sysmgr

# useradd crm -d /apps/crm
# passwd crm

# useradd sysmgr
# passwd sysmgr

5.1 Linux只允許wheel用戶組的用戶su切換

 

# usermod -G wheel sysmgr

# vi /etc/pam.d/su
# Uncomment the following line to require a user to be in the "wheel" group.
auth      required    pam_wheel.so use_uid

其他用戶切換root,即使輸對密碼也會提示 su: incorrect password

5.2 Linux登錄超時

用戶在線5分鐘無操作則超時斷開連接,在/etc/profile中添加:

export TMOUT=300
readonly TMOUT

5.3 Linux禁止root直接遠程登錄

# vi /etc/ssh/sshd_config
PermitRootLogin no

5.4 Linux限制登錄失敗次數(shù)并鎖定

/etc/pam.d/login后添加

auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180

登錄失敗5次鎖定180秒,根據(jù)需要設(shè)置是否包括root。

5.5 Linux登錄IP限制

(由于要與某一固定IP或IP段綁定,暫未設(shè)置)

更嚴格的限制是在sshd_config中定死允許ssh的用戶和來源ip:

## allowed ssh users sysmgr
AllowUsers sysmgr@172.29.73.*
或者使用tcpwrapper:

vi /etc/hosts.deny
sshd:all
vi /etc/hosts.allow
sshd:172.29.73.23
sshd:172.29.73.

6. Linux配置只能使用密鑰文件登錄

使用密鑰文件代替普通的簡單密碼認證也會極大的提高安全性:

[dir@username ~]$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):  //默認路徑,回車
Enter passphrase (empty for no passphrase):   //輸入你的密鑰短語,登錄時使用
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64 root@ibpak.tp-link.net
The key's randomart image is:
+--[ RSA 2048]----+
|         |
…
|   o++o..oo..o|
+-----------------+

將公鑰重命名為authorized_key:

$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys

下載私鑰文件 id_rsa 到本地(為了更加容易識別,可重命名為hostname_username_id_rsa),保存到安全的地方。以后 username 用戶登錄這臺主機就必須使用這個私鑰,配合密碼短語來登錄(不再使用 username 用戶自身的密碼)

另外還要修改/etc/ssh/sshd_config文件

打開注釋

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile   .ssh/authorized_keys

我們要求 username 用戶(可以切換到其他用戶,特別是root)必須使用ssh密鑰文件登錄,而其他普通用戶可以直接密碼登錄。因此還需在sshd_config文件最后加入:

Match User itsection
    PasswordAuthentication no

重啟sshd服務(wù)

# service sshd restart

另外提醒一句,這對公鑰和私鑰一定要單獨保存在另外的機器上,服務(wù)器上丟失公鑰或連接端丟失私鑰(或密鑰短語),可能導致再也無法登陸服務(wù)器獲得root權(quán)限!

7. Linux減少history命令記錄

執(zhí)行過的歷史命令記錄越多,從一定程度上講會給維護帶來簡便,但同樣會伴隨安全問題

vi /etc/profile

找到 HISTSIZE=1000 改為 HISTSIZE=50

或每次退出時清理history,history -c

8. Linux增強特殊文件權(quán)限

給下面的文件加上不可更改屬性,從而防止非授權(quán)用戶獲得權(quán)限

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services #給系統(tǒng)服務(wù)端口列表文件加鎖,防止未經(jīng)許可的刪除或添加服務(wù)
chattr +i /etc/pam.d/su
chattr +i /etc/ssh/sshd_config

顯示文件的屬性

lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config

注意:執(zhí)行以上 chattr 權(quán)限修改之后,就無法添加刪除用戶了。

如果再要添加刪除用戶,需要先取消上面的設(shè)置,等用戶添加刪除完成之后,再執(zhí)行上面的操作,例如取消只讀權(quán)限chattr -i /etc/passwd。(記得重新設(shè)置只讀)

9. Linux防止一般網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊不是幾行設(shè)置就能避免的,以下都只是些簡單的將可能性降到最低,增大攻擊的難度但并不能完全阻止。

9.1 Linux禁ping

阻止ping如果沒人能ping通您的系統(tǒng),安全性自然增加了,可以有效的防止ping洪水。為此,可以在/etc/rc.d/rc.local文件中增加如下一行:

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

或使用iptable禁ping:

iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP

不允許ping其他主機:

 

iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP

9.2. Linux防止IP欺騙

編輯/etc/host.conf文件并增加如下幾行來防止IP欺騙攻擊。

order hosts,bind  #名稱解釋順序
multi on      #允許主機擁有多個IP地址
nospoof on     #禁止IP地址欺騙

9.3 Linux防止DoS攻擊

對系統(tǒng)所有的用戶設(shè)置資源限制可以防止DoS類型攻擊,如最大進程數(shù)和內(nèi)存使用數(shù)量等。
可以在/etc/security/limits.conf中添加如下幾行:

*  soft  core  0
*  soft  nproc  2048
*  hard  nproc  16384
*  soft  nofile 1024
*  hard  nofile 65536

core 0 表示禁止創(chuàng)建core文件;nproc 128 把最多的進程數(shù)限制到20;nofile 64 表示把一個用戶同時打開的最大文件數(shù)限制為64;* 表示登錄到系統(tǒng)的所有用戶,不包括root

然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在。

session    required     pam_limits.so

limits.conf參數(shù)的值需要根據(jù)具體情況調(diào)整。

10. Linux修復已知安全漏洞

在linux上偶爾會爆出毀滅級的漏洞,如udev、heartbleed、shellshock、ghost等,如果服務(wù)器暴露在外網(wǎng),一定及時修復。

11. Linux定期做日志安全檢查

將日志移動到專用的日志服務(wù)器里,這可避免入侵者輕易的改動本地日志。下面是常見linux的默認日志文件及其用處:

/var/log/message – 記錄系統(tǒng)日志或當前活動日志。
/var/log/auth.log – 身份認證日志。
/var/log/cron – Crond 日志 (cron 任務(wù)).
/var/log/maillog – 郵件服務(wù)器日志。
/var/log/secure – 認證日志。
/var/log/wtmp 歷史登錄、注銷、啟動、停機日志和,lastb命令可以查看登錄失敗的用戶
/var/run/utmp 當前登錄的用戶信息日志,w、who命令的信息便來源與此
/var/log/yum.log Yum 日志。

參考 深度解析CentOS通過日志反查入侵。

11.1 Linux安裝logwatch

Logwatch是使用 Perl 開發(fā)的一個日志分析工具。能夠?qū)inux 的日志文件進行分析,并自動發(fā)送mail給相關(guān)處理人員,可定制需求。

Logwatch的mail功能是借助宿主系統(tǒng)自帶的 mail server 發(fā)郵件的,所以系統(tǒng)需安裝mail server , 如sendmail,postfix,Qmail等

安裝和配置方法見博文 linux日志監(jiān)控logwatch。

12.Linux web服務(wù)器安全

像apache或tomcat這樣的服務(wù)端程序在配置時,如果有安全問題存在可以查閱文檔進行安全加固。日后有時間再補充到新的文章。

更多Linux服務(wù)器安全配置方案請查看以下相關(guān)文章

標簽:開封 西藏 襄陽 珠海 阜陽 巴中 湘潭 張家口

巨人網(wǎng)絡(luò)通訊聲明:本文標題《Linux/CentOS服務(wù)器安全配置通用指南》,本文關(guān)鍵詞  Linux,CentOS,服務(wù)器,安全,;如發(fā)現(xiàn)本文內(nèi)容存在版權(quán)問題,煩請?zhí)峁┫嚓P(guān)信息告之我們,我們將及時溝通與處理。本站內(nèi)容系統(tǒng)采集于網(wǎng)絡(luò),涉及言論、版權(quán)與本站無關(guān)。
  • 相關(guān)文章
  • 下面列出與本文章《Linux/CentOS服務(wù)器安全配置通用指南》相關(guān)的同類信息!
  • 本頁收集關(guān)于Linux/CentOS服務(wù)器安全配置通用指南的相關(guān)信息資訊供網(wǎng)民參考!
  • 推薦文章