一、賬號和口令
1.1 禁用或刪除無用賬號
減少系統無用賬號,降低安全風險。
操作步驟
userdel <用戶名> //刪除不必要的賬號。
passwd -l <用戶名> //鎖定不必要的賬號。
passwd -u <用戶名> //解鎖必要的賬號。
1.2 檢查特殊賬號
檢查是否存在空口令和root權限的賬號。
操作步驟
1、
awk -F: '($2"")' /etc/shadow //查看空口令賬號。
awk -F: '($30)' /etc/passwd //查看UID為零的賬號。
2、
passwd <用戶名> //為空口令賬號設定密碼。
確認UID為零的賬號只有root賬號。
1.3 添加口令策略
加強口令的復雜度等,降低被猜解的可能性。
操作步驟
1、vim /etc/login.defs 修改配置文件。
PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數
PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數
PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數
PASS_MIN_LEN 8 #設定最小用戶密碼長度為8位
2、使用chage命令修改用戶設置。(針對已創建用戶)
例如,chage -m 0 -M 30 -I 5 -W 7 <用戶名>
表示將此用戶的密碼最長使用天數設為30,最短使用天數設為0,密碼過期后5天之后賬戶失效,過期前7天警告用戶。
3、設置連續輸錯五次密碼,賬號鎖定十分鍾。(普通賬戶)
vim /etc/pam.d/system-auth(redhat、centos)
- auth required pam_tally.so onerr=fail deny=5 unlock_time=600(redhat6、centos6及以下版本)
- auth required pam_tally2.so onerr=fail deny=5 unlock_time=600 vim /etc/pam.d/sshd (redhat、centos)(ssh登錄)
- auth required pam_tally.so onerr=fail deny=5 unlock_time=600(redhat6、centos6及以下版本)
- auth required pam_tally2.so onerr=fail deny=5 unlock_time=600
1.4 限制用戶su
限制能su到root的用戶。
操作步驟
vim /etc/pam.d/su
例如,只允許wheel組用戶su到root,則添加
- auth sufficient /lib/security/pam_rootok.so
- auth required /lib/security/pam_wheel.so group=wheel
1.5 設置密碼復雜度
對於采用靜態口令認證技術的設備,口令包括數字、小寫字母、大寫字母和特殊符號4類中至少3類。
操作步驟
- Redhat、centos:/etc/pam.d/system-auth,
- Suse9:/etc/pam.d/passwd,
- Suse10,Suse11:/etc/pam.d/common-password,
例如:
- password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1(redhat6、centos6)
- password requisite pam_pwquality.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0(redhat7、 centos7)
注:ucredit:大寫字母個數;lcredit:小寫字母個數;dcredit:數字個數;ocredit:特殊字符個數
1.6 設置密碼重復使用次數限制
對於采用靜態口令認證技術的設備,設置密碼不能重復前5次使用過的。
操作步驟
- Redhat:/etc/pam.d/system-auth,
- Suse9:/etc/pam.d/passwd
- Suse10,Suse11:/etc/pam.d/common-password
在password sufficient pam_unix.so xxxxx 一行后添加 remember=5
例如:
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5
二、服務
2.1 關閉不必要的服務
關閉不必要的服務(如普通服務和xinetd服務),降低風險。
操作步驟
停止服務
systemctl stop <服務名>
設置服務在開機時不自動啟動。
systemctl disable <服務名>
說明: 對於部分老版本的Linux操作系統(如CentOS 6)
chkconfig --level <init級別> <服務名> off設置服務在指定init級別下開機時不自動啟動。
2.2 SSH服務安全
對SSH服務進行安全加固,防止容易被暴力破解成功。
操作步驟
vim /etc/ssh/sshd_config
- 不允許root賬號直接登錄系統。
設置 PermitRootLogin 的值為 no。 - 修改SSH使用的協議版本。
設置 Protocol 的版本為 2。(centos7默認第一版本已拒絕) - 密碼錯誤超過次數斷開連接(默認6次)。
設置 MaxAuthTries 的值為 3。 - 修改默認端口
設置Port的值為非22。
配置文件修改完成后,重啟sshd服務生效。
三、文件系統
3.1 設置umask值
設置默認的umask值,增強安全性。
操作步驟
vim /etc/profile
- umask 077 #在最后一行添加
- source /etc/profile #使操作立即生效
即新創建的目錄屬主擁有讀寫執行權限,同組用戶擁有讀和執行權限,其他用戶無權限。
文件屬主擁有讀寫權限,同組用戶擁有讀權限,其他用戶無權限。
3.2 設置登錄超時
設置系統登錄后,連接超時時間,增強安全性。
操作步驟
vim /etc/profile
- export TMOUT=300 # 設置300秒內用戶無操作就字段斷開終端
- readonly TMOUT # 將值設置為readonly 防止用戶更改
- source /etc/profile #使操作立即生效
3.3 刪除潛在危險文件
.rhosts,.netrc,hosts.equiv等文件都具有潛在的危險,如果沒有應用,應該刪除
操作步驟
find / -name .rhosts
find / -name .netrc
find / -name hosts.equiv
若存在相關文件,加上.bak后綴
mv .rhost .rhost.bak
mv .netr .netr.bak
mv hosts.equiv hosts.equiv.bak
3.4 設置重要目錄或文件權限
操作步驟
chmod <權限> <目錄或文件>
例如:
chmod 750 /etc/
請按照下表更改權限:
| 權限 | 目錄或文件 | 備注 |
|---|---|---|
| 400 | /etc/shadow | |
| 600 | /etc/xinetd.conf | 低版本的Linux系統采用inetd.conf配置文件 |
| 600 | /etc/security | |
| 600 | /etc/grub.conf | 如果/etc/grub.conf文件存在,且非鏈接文件,則執行chmod 600 /etc/grub.conf; 如果/boot/grub/grub.conf文件存在,則執行chmod 600 /boot/grub/grub.conf; 如果/etc/lilo.conf文件存在,則執行chmod 600 /etc/lilo.conf。 |
| 600 | /boot/grub/grub.conf | |
| 600 | /etc/lilo.conf | |
| 600 | /etc/lilo.conf | |
| 644 | /etc/services | |
| 644 | /etc/passwd | |
| 644 | /etc/group | |
| 750 | /etc/ | |
| 750 | /etc/rc2.d | |
| 750 | /etc/rc1.d/ | |
| 750 | /etc/rc4.d | |
| 750 | /etc/rc5.d | |
| 750 | /etc/rc0.d | |
| 750 | /etc/rc6.d | |
| 750 | /etc/rc.d/init.d/ | |
| 750 | /etc/rc3.d | |
| 750 | /tmp |
四、日志
4.1 syslogd日志
啟用日志功能,並配置日志記錄。
操作步驟
Linux系統默認啟用以下類型日志:
- 系統日志(默認)/var/log/messages
- cron日志(默認)/var/log/cron
- 安全日志(默認)/var/log/secure
注意:部分系統可能使用syslog-ng日志,配置文件為:/etc/syslog-ng/syslog-ng.conf。
您可以根據需求配置詳細日志。
4.2 記錄所有用戶的登錄和操作日志
通過腳本代碼實現記錄所有用戶的登錄操作日志,防止出現安全事件后無據可查。
操作步驟
- 1、運行 [root@xxx /]# vim /etc/profile打開配置文件。
- 2、在配置文件中輸入以下內容:
history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 733 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/* 2>/dev/null
- 3、運行 [root@xxx /]# source /etc/profile 加載配置生效。
注意: /var/log/history 是記錄日志的存放位置,可以自定義。
通過上述步驟,可以在 /var/log/history 目錄下以每個用戶為名新建一個文件夾,每次用戶退出后都會產生以用戶名、登錄IP、時間的日志文件,包含此用戶本次的所有操作。
注:編輯/etc/bashrc文件,最后加入
HISTTIMEFORMAT="%F %T "
export HISTTIMEFORMAT
保存后退出,關閉當前shell,並重新登錄這個時候,在變量HISTFILE所指向文件中,就有記錄命令執行的時間了 。
五、Linux升級
yum -y update
#內核、OS版本、所有軟件都會升級,會更改相關配置環境。由於系統與硬件的兼容性問題,有可能升級內核后導致服務器不能正常啟動,這是非常可怕的,如果沒有特別的需要,建議不要隨意升級內核!所以運維人員對於生產服務器操作系統的升級要慎重。
如果不想升級內核及系統版本,則在執行yum update之前在 /etc/yum.conf 的 [main] 后面添加以下配置
- exclude=kernel* #不升級內核
- exclude=centos-release* #不升級系統
六、防火牆維護
CentOS7默認的防火牆不是iptables,而是firewalld,如果要使用iptables,
請參考下列方法:
安裝iptables iptables-services
#先檢查是否安裝了iptables
service iptables status
#安裝iptables
yum install -y iptables
#安裝iptables-services
yum install iptables-services
#停止firewalld服務
systemctl stop firewalld
#禁用firewalld服務
systemctl mask firewalld
五鏈:
五表:
linux防火牆基本使用:
#查看iptables現有規則
iptables -L –n
#先設置默認規則,允許入站,再設置規則
iptables -P INPUT ACCEPT
#清空所有默認規則
iptables –F
#清空所有自定義規則
iptables –X
#所有計數器歸0
iptables -Z
#允許來自於lo接口的數據包(本地訪問)
iptables -A INPUT -i lo -j ACCEPT
#開放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT
#開放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT
#開放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT
#開放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT
#允許ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
#允許接受本機請求之后的返回數據 RELATED,是為FTP設置的
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
#其他入站一律丟棄(默認規則)
iptables -P INPUT DROP
#所有出站一律綠燈(默認規則)
iptables -P OUTPUT ACCEPT
#所有轉發一律丟棄(默認規則)
iptables -P FORWARD DROP
#如果要添加內網ip信任(接受其所有TCP請求)
iptables -A INPUT -p tcp -s ***.***.***.*** -j ACCEPT
#要封停一個IP,使用下面這條命令:
iptables -I INPUT -s ***.***.***.*** -j DROP
#要解封一個IP,使用下面這條命令:
iptables -D INPUT -s ***.***.***.*** -j DROP
# -----------------------------
#保存上述規則
service iptables save
#設置iptables開機啟動
chkconfig iptables on(redhat6、centos6)
systemctl enable iptables.service(redhat7、centos7)
#重啟服務
systemctl restart iptables.service(redhat7、centos7)
service iptables restart
#開啟服務
systemctl start iptables.service(redhat7、centos7)
service iptables start
#查看狀態
systemctl status iptables.service(redhat7、centos7)
service iptables status
本文來自360的一次安全講座