科技教程：LINUX安全加固

如今越來越多的小伙伴對于LINUX安全加固這方面的問題開始感興趣，看似平靜的每一天，在每個人身上都在發生著各種各樣的故事，因為大家現在都是想要了解到此類的信息，那么既然現在大家都想要知道LINUX安全加固，感興趣的小伙伴請隨我一起來看看,廢話不多說，趕緊跟隨小編，讓我們一起來看看吧，希望對您有用。

一. 賬戶安全

1.1 鎖定系統中多余的自建帳號

檢查方法:

執行命令

#cat /etc/passwd

#cat /etc/shadow

查看賬戶、口令文件，與系統管理員確認不必要的賬號。對于一些保留的系統偽帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據需要鎖定登陸。

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命令passwd -l <用戶名>鎖定不必要的賬號。

使用命令passwd -u <用戶名>解鎖需要恢復的賬號。

1.2設置系統口令策略

檢查方法：

使用命令

#cat /etc/login.defs|grep PASS查看密碼策略設置

備份方法：

cp -p /etc/login.defs /etc/login.defs_bak

加固方法：

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數

PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數

PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數

PASS_MIN_LEN 9 #最小密碼長度9

1.3禁用root之外的超級用戶

檢查方法：

#cat /etc/passwd 查看口令文件，口令文件格式如下：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：用戶名

password：加密后的用戶密碼

user_ID：用戶ID，(1 ~ 6000) 若用戶ID=0，則該用戶擁有超級用戶的權限。查看此處是否有多個ID=0。

group_ID：用戶組ID

comment：用戶全名或其它注釋信息

home_dir：用戶根目錄

command：用戶登錄后的執行命令

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

加固方法：

使用命令passwd -l <用戶名>鎖定不必要的超級賬戶。

使用命令passwd -u <用戶名>解鎖需要恢復的超級賬戶。

風險：需要與管理員確認此超級用戶的用途。

1.4 限制能夠su為root的用戶

檢查方法：

#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目

備份方法：#cp -p /etc/pam.d /etc/pam.d_bak

加固方法：

#vi /etc/pam.d/su

在頭部添加：

auth required /lib/security/pam_wheel.so group=wheel

這樣，只有wheel組的用戶可以su到root

#usermod -G10 test 將test用戶加入到wheel組

當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效

性。如果是因為PAM驗證故障，而引起root也無法登錄，只能使用single user或者rescue模式進行排錯。

1.5 檢查shadow中空口令帳號

檢查方法：

#awk -F: '( == "") { print }' /etc/shadow

備份方法：cp -p /etc/shadow /etc/shadow_bak

加固方法：對空口令賬號進行鎖定，或要求增加密碼

二、最小化服務

2.1 停止或禁用與承載業務無關的服務

檢查方法：

#who –r或runlevel 查看當前init級別

#chkconfig --list 查看所有服務的狀態

備份方法：記錄需要關閉服務的名稱

加固方法：

#chkconfig --level <服務名> on|off|reset 設置服務在個init級別下開機是否啟動

三、數據訪問控制

3.1 設置合理的初始文件權限

檢查方法：

#cat /etc/profile 查看umask的值

備份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

umask=027

風險：會修改新建文件的默認權限，如果該服務器是WEB應用，則此項謹慎修改。

四、網絡訪問控制

4.1 使用SSH進行管理

檢查方法：

#ps –aef | grep sshd 查看有無此服務

備份方法：

加固方法：

使用命令開啟ssh服務

#service sshd start

風險：改變管理員的使用習慣

4.2 設置訪問控制策略限制能夠管理本機的IP地址

檢查方法：

#cat /etc/ssh/sshd_config 查看有無AllowUsers的語句

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config，添加以下語句

AllowUsers *@10.138.*.* 此句意為：僅允許10.138.0.0/16網段所有用戶通過ssh訪問

保存后重啟ssh服務

#service sshd restart

風險：需要和管理員確認能夠管理的IP段

4.3 禁止root用戶遠程登陸

檢查方法：

#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config

PermitRootLogin no

保存后重啟ssh服務

service sshd restart

4.4 限定信任主機

檢查方法：

#cat /etc/hosts.equiv 查看其中的主機

#cat /$HOME/.rhosts 查看其中的主機

備份方法：

#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

加固方法：

#vi /etc/hosts.equiv 刪除其中不必要的主機

#vi /$HOME/.rhosts 刪除其中不必要的主機

風險：在多機互備的環境中，需要保留其他主機的IP可信任。

4.5 屏蔽登錄banner信息

檢查方法：

#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段，或banner字段為NONE

#cat /etc/motd 查看文件內容，該處內容將作為banner信息顯示給登錄用戶。

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

#cp -p /etc/motd /etc/motd_bak

加固方法：

#vi /etc/ssh/sshd_config

banner NONE

#vi /etc/motd

刪除全部內容或更新成自己想要添加的內容

風險：無可見風險

4.6 防止誤使用Ctrl+Alt+Del重啟系統

檢查方法：

#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被注釋

備份方法：

#cp -p /etc/inittab /etc/inittab_bak

加固方法：

#vi /etc/inittab

在行開頭添加注釋符號“#”

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

五、用戶鑒別

5.1 設置帳戶鎖定登錄失敗鎖定次數、鎖定時間

檢查方法：

#cat /etc/pam.d/system-auth 查看有無auth required pam_tally.so條目的設置

備份方法：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加固方法：

#vi /etc/pam.d/system-auth

auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設置為密碼連續錯誤6次鎖定，鎖定時間300秒

解鎖用戶 faillog -u <用戶名> -r

風險：需要PAM包的支持;對pam文件的修改應仔細檢查，一旦出現錯誤會導致無法登陸;

當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效性。

5.2 修改帳戶TMOUT值，設置自動注銷時間

檢查方法：

#cat /etc/profile 查看有無TMOUT的設置

備份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

增加

TMOUT=600 無操作600秒后自動退出

風險：無可見風險

5.3 Grub/Lilo密碼

檢查方法：

#cat /etc/grub.conf|grep password 查看grub是否設置密碼

#cat /etc/lilo.conf|grep password 查看lilo是否設置密碼

備份方法：

#cp -p /etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf /etc/lilo.conf_bak

加固方法：為grub或lilo設置密碼

風險：etc/grub.conf通常會鏈接到/boot/grub/grub.conf

5.4 限制FTP登錄

檢查方法：

#cat /etc/ftpusers 確認是否包含用戶名，這些用戶名不允許登錄FTP服務

備份方法：

#cp -p /etc/ftpusers /etc/ftpusers_bak

加固方法：

#vi /etc/ftpusers 添加行，每行包含一個用戶名，添加的用戶將被禁止登錄FTP服務

風險：無可見風險

5.5 設置Bash保留歷史命令的條數

檢查方法：

#cat /etc/profile|grep HISTSIZE=

#cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數

備份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5即保留最新執行的5條命令

六、審計策略

6.1 配置系統日志策略配置文件

檢查方法：

#ps –aef | grep syslog 確認syslog是否啟用

#cat /etc/syslog.conf 查看syslogd的配置，并確認日志文件是否存在

系統日志(默認)/var/log/messages

cron日志(默認)/var/log/cron

安全日志(默認)/var/log/secure

備份方法：

#cp -p /etc/syslog.conf

6.2 為審計產生的數據分配合理的存儲空間和存儲時間

檢查方法：

#cat /etc/logrotate.conf 查看系統輪詢配置，有無

# rotate log files weekly

weekly

# keep 4 weeks worth of backlogs

rotate 4 的配置

備份方法：

#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak

加固方法：

#vi /etc/logrotate.d/syslog

增加

rotate 4 日志文件保存個數為4，當第5個產生后，刪除最早的日志

size 100k 每個日志的大小

加固后應類似如下內容：

/var/log/syslog/*_log {

missingok

notifempty

size 100k # log files will be rotated when they grow bigger that 100k.

rotate 5 # will keep the logs for 5 weeks.

compress # log files will be compressed.

sharedscripts

postrotate

/etc/init.d/syslog condrestart >/dev/null 2>1 || true

endscript

}