1.物理防护
BIOS设置密码
引导grub.conf添加密码
2.系统安装时采用最小化原则,只安装base services
3.应用数据分区与系统隔离
4.禁用开机不需要启动的服务
5.隐藏系统信息
6.服务器和互联网时间同步
7.sudo对普通用户权限精细控制
8.密码策略:有效期90天 复杂度16位
8.ssh安全加固
9.优化Linux内核,增加系统文件描述符、堆栈等配置
10.清除无用的默认系统帐户或组(非必须)
11.文件权限
限制全局默认权限为0750,文件夹 umask 027
限制敏感文件,使用chattr命令给下列文件加上不可更改的属性
# chattr +i /etc/passwd
# chattr +i /etc/shadow
# chattr +i /etc/group
# chattr +i /etc/gshadow
# chattr +a .bash_history 避免删除.bash_history或者重定向到/dev/null
# chattr +i .bash_history
# chmod 700 /usr/bin 恢复 chmod 555 /usr/bin
# chmod 700 /bin/ping 恢复 chmod 4755 /bin/ping
# chmod 700 /usr/bin/vim 恢复 chmod 755 /usr/bin/vim
# chmod 700 /bin/netstat 恢复 chmod 755 /bin/netstat
# chmod 700 /usr/bin/tail 恢复 chmod 755 /usr/bin/tail
# chmod 700 /usr/bin/less 恢复 chmod 755 /usr/bin/less
# chmod 700 /usr/bin/head 恢复 chmod 755 /usr/bin/head
# chmod 700 /bin/cat 恢复 chmod 755 /bin/cat
# chmod 700 /bin/uname 恢复 chmod 755 /bin/uname
# chmod 500 /bin/ps 恢复 chmod 755 /bin/ps
限制非root用户执行/etc/rc.d/init.d/下的系统命令
# chmod -R 700 /etc/rc.d/init.d/*
# chmod -R 777 /etc/rc.d/init.d/* 恢复默认设置
12.禁止使用Ctrl+Alt+Del快捷键重启服务器
# cp /etc/inittab /etc/inittabbak
# vi /etc/inittab #注释下面两行
#start on control-alt-delete
#exec /sbin/shutdown -r now "Control-Alt-Delete pressed"
13.禁止yum update更新系统时不升级内核,只更新软件包
由于系统与硬件的兼容性问题,有可能升级内核后导致服务器不能正常启动,没有特别的需要,建议不要随意升级内核。
14.调整history大小,删除MySQL历史记录
15.计划任务
16.实时监控
查询系统端口及服务状态
web 服务端口 8081
文件监控
检查具有suid、sgid权限的文件
# find / -perm -4000 -o -perm -2000
# find 24小时内更改过的文件
检测Rootkit
17.应用基线
keepalive 15秒
错误页面重定向,出于安全方面的考量,为了避免敏感信息的外泄
上传文件大小
18.日志 logstash
常用的日志文件如下:
access-log 纪录HTTP/web的传输
acct/pacct 纪录用户命令
aculog 纪录MODEM的活动
btmp 纪录失败的纪录
lastlog 纪录最近几次成功登录的事件和最后一次不成功的登录
messages 从syslog中记录信息(有的链接到syslog文件)
sudolog 纪录使用sudo发出的命令
sulog 纪录使用su命令的使用
syslog 从syslog中记录信息(通常链接到messages文件)
utmp 纪录当前登录的每个用户
wtmp 一个用户每次登录进入和退出时间的永久纪录
xferlog 纪录FTP会话
用户登入的信息,安全性和验证性的日志
last、lastb、lastlog
utmp文件中保存的是当前正在本系统中的用户的信息。
wtmp文件中保存的是登录过本系统的用户的成功信息。
btmp文件中保存的是登录失败的信息。
#使用last命令可以查看btmp文件:例如,”last -f /var/log/btmp | more“
#1、当前登录用户的信息记录在文件utmp中;======who、w命令
#2、登录和退出记录在文件wtmp中;========last命令
#3、登录失败的记录在文件btmp中========lastb命令
#4、最后一次登录可以用lastlog命令
#5、messages======从syslog中记录信息
注意:wtmp和utmp文件都是二进制文件。
/var/log/messages 包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。
/var/log/dmesg 包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。
/var/log/auth.log 包含系统授权信息,包括用户登录和使用的权限机制等。
/var/log/boot.log 包含系统启动时的日志。
/var/log/daemon.log 包含各种系统后台守护进程日志信息。
/var/log/dpkg.log 包括安装或dpkg命令清除软件包的日志。
/var/log/kern.log 包含内核产生的日志,有助于在定制内核时解决问题。
/var/log/lastlog 记录所有用户的最近信息。这不是一个ASCII文件,因此需要用lastlog命令查看内容。
/var/log/maillog /var/log/mail.log 包含来着系统运行电子邮件服务器的日志信息。例如,sendmail日志信息就全部送到这个文件中。
/var/log/user.log 记录所有等级用户信息的日志。
/var/log/Xorg.x.log 来自X的日志信息。
/var/log/alternatives.log 更新替代信息都记录在这个文件中。
/var/log/btmp 记录所有失败登录信息。使用last命令可以查看btmp文件。例如,”last -f /var/log/btmp | more“。
/var/log/cups 涉及所有打印信息的日志。
/var/log/anaconda.log 在安装Linux时,所有安装信息都储存在这个文件中。
/var/log/yum.log 包含使用yum安装的软件包信息。
/var/log/cron 每当cron进程开始一个工作时,就会将相关信息记录在这个文件中。
/var/log/secure 包含验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录)在这里。
/var/log/wtmp或/var/log/utmp 包含登录信息。使用wtmp可以找出谁正在登陆进入系统,谁使用命令显示这个文件或信息等。
/var/log/faillog 包含用户登录失败信息。此外,错误登录命令也会记录在本文件中。
除了上述Log文件以外,/var/log还基于系统的具体应用包含以下一些子目录:
/var/log/httpd/或/var/log/apache2 包含服务器access_log和error_log信息。
/var/log/lighttpd/ 包含light HTTPD的access_log和error_log。
/var/log/mail/ 这个子目录包含邮件服务器的额外日志。
/var/log/prelink/ 包含.so文件被prelink修改的信息。
/var/log/audit/ 包含被 Linux audit daemon储存的信息。
/var/log/samba/ 包含由samba存储的信息。
/var/log/sa/ 包含每日由sysstat软件包收集的sar文件。
/var/log/sssd/ 用于守护进程安全服务。
除了手动存档和清除这些日志文件以外,还可以使用logrotate在文件达到一定大小后自动删除。可以尝试用vi,tail,grep和less等命令查看这些日志文件。
19.补丁更新
20.定时备份
21.防火墙
Juniper的Netscreen
H3C的Secpath
华为USG6390
IPTABLES
服务器禁ping
# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
SELINUX
# 有外网IP的机器要开启配置防火墙,配置SELINUX
FACL
TCP_Wrappers应用级防火墙
# vi /etc/host.conf),加入下面这行:
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
第一项设置首先通过DNS解析IP地址,然后通过hosts文件解析。第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。第三项设置说明要注意对本机未经许可的电子欺骗。
***检测
IDS
HIDS: OSSEC 主机***检测系统
NIDS: snort 网络***检测系统
Filesystem: tripware
AIDE(Adevanced Intrusion Detection Environment,高级***检测环境
IPS
IDS + Firewall