1.物理防护

  BIOS设置密码

  引导grub.conf添加密码

  

2.系统安装时采用最小化原则,只安装base services


3.应用数据分区与系统隔离


4.禁用开机不需要启动的服务


5.隐藏系统信息


6.服务器和互联网时间同步


7.sudo对普通用户权限精细控制


8.密码策略:有效期90天 复杂度16位


8.ssh安全加固


9.优化Linux内核,增加系统文件描述符、堆栈等配置


10.清除无用的默认系统帐户或组(非必须)


11.文件权限

限制全局默认权限为0750,文件夹 umask 027

限制敏感文件,使用chattr命令给下列文件加上不可更改的属性

# chattr +i /etc/passwd

# chattr +i /etc/shadow

# chattr +i /etc/group

# chattr +i /etc/gshadow

# chattr +a .bash_history           避免删除.bash_history或者重定向到/dev/null

# chattr +i .bash_history 

# chmod 700 /usr/bin                恢复 chmod 555 /usr/bin 

# chmod 700 /bin/ping              恢复 chmod 4755 /bin/ping

# chmod 700 /usr/bin/vim         恢复 chmod 755 /usr/bin/vim

# chmod 700 /bin/netstat          恢复 chmod 755 /bin/netstat

# chmod 700 /usr/bin/tail          恢复 chmod 755 /usr/bin/tail

# chmod 700 /usr/bin/less        恢复 chmod 755 /usr/bin/less

# chmod 700 /usr/bin/head       恢复 chmod 755 /usr/bin/head

# chmod 700 /bin/cat                恢复 chmod 755 /bin/cat

# chmod 700 /bin/uname          恢复 chmod 755 /bin/uname

# chmod 500 /bin/ps                 恢复 chmod 755 /bin/ps

限制非root用户执行/etc/rc.d/init.d/下的系统命令

 # chmod -R 700 /etc/rc.d/init.d/*

 # chmod -R 777 /etc/rc.d/init.d/*    恢复默认设置

 

12.禁止使用Ctrl+Alt+Del快捷键重启服务器

 # cp /etc/inittab /etc/inittabbak

 # vi /etc/inittab #注释下面两行

 #start on control-alt-delete

      #exec /sbin/shutdown -r now "Control-Alt-Delete pressed"

 

13.禁止yum update更新系统时不升级内核,只更新软件包

   由于系统与硬件的兼容性问题,有可能升级内核后导致服务器不能正常启动,没有特别的需要,建议不要随意升级内核。


14.调整history大小,删除MySQL历史记录


15.计划任务


16.实时监控

   查询系统端口及服务状态

      web 服务端口 8081

   文件监控

     检查具有suid、sgid权限的文件

      # find / -perm -4000 -o -perm -2000

      # find 24小时内更改过的文件

     检测Rootkit

 

17.应用基线

   keepalive 15秒

   错误页面重定向,出于安全方面的考量,为了避免敏感信息的外泄

   上传文件大小


18.日志 logstash

 常用的日志文件如下:

      access-log    纪录HTTP/web的传输 

      acct/pacct     纪录用户命令 

      aculog     纪录MODEM的活动 

      btmp        纪录失败的纪录 

      lastlog        纪录最近几次成功登录的事件和最后一次不成功的登录 

      messages       从syslog中记录信息(有的链接到syslog文件) 

      sudolog      纪录使用sudo发出的命令 

      sulog       纪录使用su命令的使用 

      syslog     从syslog中记录信息(通常链接到messages文件) 

      utmp       纪录当前登录的每个用户 

      wtmp       一个用户每次登录进入和退出时间的永久纪录 

      xferlog       纪录FTP会话


  用户登入的信息,安全性和验证性的日志

  last、lastb、lastlog 


  utmp文件中保存的是当前正在本系统中的用户的信息。


  wtmp文件中保存的是登录过本系统的用户的成功信息。


  btmp文件中保存的是登录失败的信息。

  #使用last命令可以查看btmp文件:例如,”last -f /var/log/btmp | more“


#1、当前登录用户的信息记录在文件utmp中;======who、w命令

#2、登录和退出记录在文件wtmp中;========last命令

#3、登录失败的记录在文件btmp中========lastb命令

#4、最后一次登录可以用lastlog命令

#5、messages======从syslog中记录信息


注意:wtmp和utmp文件都是二进制文件。

/var/log/messages                               包括整体系统信息,其中也包含系统启动期间的日志。此外,mail,cron,daemon,kern和auth等内容也记录在var/log/messages日志中。

/var/log/dmesg                                     包含内核缓冲信息(kernel ring buffer)。在系统启动时,会在屏幕上显示许多与硬件有关的信息。可以用dmesg查看它们。

/var/log/auth.log                                   包含系统授权信息,包括用户登录和使用的权限机制等。

/var/log/boot.log                                   包含系统启动时的日志。

/var/log/daemon.log                             包含各种系统后台守护进程日志信息。

/var/log/dpkg.log                                  包括安装或dpkg命令清除软件包的日志。

/var/log/kern.log                                   包含内核产生的日志,有助于在定制内核时解决问题。

/var/log/lastlog                                     记录所有用户的最近信息。这不是一个ASCII文件,因此需要用lastlog命令查看内容。

/var/log/maillog /var/log/mail.log          包含来着系统运行电子邮件服务器的日志信息。例如,sendmail日志信息就全部送到这个文件中。

/var/log/user.log                                   记录所有等级用户信息的日志。

/var/log/Xorg.x.log                                来自X的日志信息。

/var/log/alternatives.log                       更新替代信息都记录在这个文件中。

/var/log/btmp                                       记录所有失败登录信息。使用last命令可以查看btmp文件。例如,”last -f /var/log/btmp | more“。

/var/log/cups                                       涉及所有打印信息的日志。

/var/log/anaconda.log                         在安装Linux时,所有安装信息都储存在这个文件中。

/var/log/yum.log                                  包含使用yum安装的软件包信息。

/var/log/cron                                        每当cron进程开始一个工作时,就会将相关信息记录在这个文件中。

/var/log/secure                                    包含验证和授权方面信息。例如,sshd会将所有信息记录(其中包括失败登录)在这里。

/var/log/wtmp或/var/log/utmp              包含登录信息。使用wtmp可以找出谁正在登陆进入系统,谁使用命令显示这个文件或信息等。

/var/log/faillog                                     包含用户登录失败信息。此外,错误登录命令也会记录在本文件中。


除了上述Log文件以外,/var/log还基于系统的具体应用包含以下一些子目录:

/var/log/httpd/或/var/log/apache2       包含服务器access_log和error_log信息。

/var/log/lighttpd/                                  包含light HTTPD的access_log和error_log。

/var/log/mail/                                       这个子目录包含邮件服务器的额外日志。

/var/log/prelink/                                   包含.so文件被prelink修改的信息。

/var/log/audit/                                     包含被 Linux audit daemon储存的信息。

/var/log/samba/                                  包含由samba存储的信息。

/var/log/sa/                                         包含每日由sysstat软件包收集的sar文件。

/var/log/sssd/                                     用于守护进程安全服务。

除了手动存档和清除这些日志文件以外,还可以使用logrotate在文件达到一定大小后自动删除。可以尝试用vi,tail,grep和less等命令查看这些日志文件。


19.补丁更新


20.定时备份


21.防火墙

  Juniper的Netscreen

  H3C的Secpath

  华为USG6390


IPTABLES 

     服务器禁ping

     # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 


SELINUX

  # 有外网IP的机器要开启配置防火墙,配置SELINUX  


FACL


TCP_Wrappers应用级防火墙

  # vi /etc/host.conf),加入下面这行:

  # Lookup names via DNS first then fall back to /etc/hosts.

  order bind,hosts

  # We have machines with multiple IP addresses.

  multi on

  # Check for IP address spoofing.

  nospoof on

  第一项设置首先通过DNS解析IP地址,然后通过hosts文件解析。第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡)。第三项设置说明要注意对本机未经许可的电子欺骗。


***检测 

  IDS

     HIDS: OSSEC 主机***检测系统

     NIDS: snort 网络***检测系统

     Filesystem: tripware

             AIDE(Adevanced Intrusion Detection Environment,高级***检测环境

  IPS

     IDS + Firewall