SUSE Linux Enterprise Server 10是众多Linux发行版本中比较优秀出色的主流商业版本,它不仅具有Linux的通用功能外,还因其有比较出色的性能和对安全有较好的控制,吸引了很多企业级用户,在国内也开始有大量的关键应用。我也在接触到的具体项目中根据客户要求部署和应用了这个版本,就个人感觉而言,整体性的安全还是不错的,在加密和认证方面做的比较好,但是SUSE里还有很多安全细节需要我们注意。在此总结一下自己的应用经验,未必全面算是一个总结和交流吧。
一、帐户管理方面
1、锁定不必要的系统账户
有很多账户是系统账户,在日常管理中也一直不会被人使用,锁定这些账户有助于减少***者的利用。方法是:将账户直接删除或设置一个无效的shell(比如/bin/false)。SUSE里使用/bin/false而不是/bin/nologin。
在这里,我们通过VI修改/etc/passwd文件,可以把不常用的at、bin、deamon、ftp、games、lp、man、news、nobody等用户的的登陆shell改为/bin/false,这样该用户就不能登录了。
2、设置账户定期修改密码参数
强制用户定期改变密码,根据你的实际情况在/etc/login.defs进行调整。比如:设置成90天更改密码。只需把PASS_MAX_DAYS的默认99999改为90天保持即可。
#vi /etc/login.defs
3、确认在passwd, shadow,group里没有‘+’
检查方法:grep ^+: /etc/passwd /etc/shadow /etc/group
+用于NIS的数据映射配置,在passwd, shadow,group文件里存在+号,将会为***者提供一个提权的途径,应该把它们都删掉。
4、确认除了root外,没有UID为0的账户
检查方法:awk -F: '($3 == 0) { print $1 }' /etc/passwd
任何UID为0的账户都拥有系统的超级用户权限,唯一的超级用户应该是root,如果有其他帐户的UID为0,应该将其删除。
二、最小化服务和端口
1、运行chkconfig查看所有开启的服务,对不需要的服务进行关闭。
#chkconfig --list|grep on
关闭不必要或暂时不用的服务:
#chkconfig slpd off
#chkconfig portmap off
#chkconfig postfix off
比如RPC端口映射服务,由于RPC的验证机制很薄弱,很容易被绕过,却可以利用RPC得到很多重要的信息。除非是需要NIS,最好禁用。
另外在SUSE中Postfix服务默认是激活状态。如果这台服务器是邮件服务器的话,需要注意的是,有权限在web界面上搜索附件是一个安全隐患。另外,如果你对邮件服务器管理有经验的话,你会知道为postfix规划一个chroot环境有多么重要。在chroot环境下,即使有人闯入了smtpd daemon,能够造成的损害也比较有限。加固方法:
打开:vi /etc/sysconfig/mail,设置SMTPD_LISTEN_REMOTE="yes"。
关闭:vi /etc/sysconfig/mail,设置SMTPD_LISTEN_REMOTE="no"。
另外不必要的端口也都可以关闭,以免留下漏洞。
#netstat -antp
通过端口信息,把端口对应的不必要服务都停掉。
三、日志和系统审计方面
1、syslog-ng
用于集中日志管理,可以对日志进行筛选过滤。是下一代系统日志工具。
SUSE使用了syslog-ng来记录日志。/var/log/messages包括了iptables, mail, news和messages,并把它们分别发送到(/var/log/firewall, /var/log/mail*, 和/var/log/news)。文件权限默认是u=rw,g=r,o=。syslog-ng的主配置文件存放在:/etc/syslog-ng/syslog-ng.conf。日志记录需要准确的时间,因此我们需要启用NTP服务,目的是保持计算机的时间与网络同步。对NTP的修改在/etc/ntp.conf下面。
2、日志文件权限
确保系统日志文件的所有权和权限是正确的,日志文件权限的配置在/etc/syslog-ng/syslog-ng.conf文件中,日志文件的管理配置在/etc/logrotate.conf文件里。logrotate 程序用来把旧的日志文件删除,并创建新的日志文件,我们把它叫做“转储”。我们可以根据日志文件的大小,也可以根据其天数来转储,这个过程一般通过 cron 程序来执行。
3、远程日志记录
配置系统日志记录发送到网络的其他主机上。那么为什么要在远程记录日志呢?原因是,如果你的本地系统主机发生故障或者崩溃了,它是什么原因造成的?你就可以在这台远程记录日志的主机上找到原因。syslog-ng可以使用UDP或TCP。但是,除非这台远程主机能够保证一直可用、网络也很可靠,否则,建议使用TCP,防止数据丢失。
例如:在/etc/syslog-ng/syslog-ng.conf中添加
destination logserver { tcp("10.10.10.10" port(514)); };来指定日志发送的远程主机。
4、系统审计
对于运维人员来说,我们需要经常监控系统的性能情况,SUSE提供的sysstat就是一个检测系统状态的工具,比如CPU利用率、磁盘I/O等。sysstat默认每10分钟收集一次系统数据,可以用sar命令查看。注意sysstat收集的数据默认是在系统上存放一周,一周之后会被cron任务自动移除,可在/var/log/sa/目录下来维护收集的数据。但是SUSE默认安装的服务器版本是不包括sysstat包的,需要单独安装。
sar命令图示:
输出CPU使用情况的统计信息,每秒输出一次,一共输出10次
显示I/O和传送速率的统计信息
输出网络设备状态的统计信息
四、其他需要注意的方面:
1、查找无主文件
不要让你的系统上有任何无主文件,无主文件可能是一个***者已经访问了你的系统,或者是软件包的不正确维护安装造成的。比如删除了用户或者组,但是相关文件没有删除。另一种常见情况是软件安装时,没有正确的设置所有者。NFS挂载文件,会忽视用户ID和系统之间的映射同步,也有可能造成无主文件的产生。
检查命令:
for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2 }'`; do
find $PART -nouser -o -nogroup -print
done
注意:不用管“/dev”目录下的那些文件。如果是/tmp目录下存在大量没有属主的文件,建议查明用途并添加属主或消除。
2、删除空密码账户
使用awk -F: '($2 == "") { print $1 }' /etc/shadow命令查找空密码账户。空密码账户是指任何人都可以登录,而不用提供密码。所有的账户都应该有健壮的密码,避免弱口令。
3、ssh的安全加固
SUSE上默认安装了OpenSSH,OpenSSH是目前比较流行并且免费的加密连接工具,但OpenSSH的低版本也存在不少安全漏洞,所以最好还是下载最新版本的。另外我们还需要限制ROOT账户的远程登录、更改默认端口、指定可访问的网络等等。它的版本1的安全问题比较严重甚至可以截获密码,所以建议你将协议版本修改为2。因为FTP不是很安全,建议大家利用SCP命令来传输文件。
通过VI来修改,方法如下:
vi /etc/ssh/sshd_config
4、删除FINGER
删除finger程序,Finger是UNIX系统中用于查询用户情况的实用程序,但也方便了***和***者。
#rpm –e finger
5、补丁升级
SUSE的补丁升级,需要去下载Novell的新RPM。RPM包的安装会有先有后,不过多数情况下,RPM会根据其依赖关系来处理。Novell公司提供了一个强大的工具YaST,可以在线升级。
输入yast命令,在software中选择online update。
6、内核网络优化
/proc/sys/net/目录主要包括了许多网络相关的主题,通过改变这些目录中的文件参数,可以很方便调整和优化相关网络参数。在/proc/sys/net/目录下有两个目录就是/proc/sys/net/core和/proc/sys/net/ipv4,调整这两个目录下的某些文件的参数,能为我们的网络应用带到某些意想不到的效果。
建议修改:
net.ipv4.tcp_max_syn_backlog = 4096
记录的那些尚未收到客户端确认信息的连接请求的最大值。
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.secure_redirects = 0
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.accept_redirects = 0
net.ipv4.conf.default.secure_redirects = 0
net.ipv4.icmp_echo_ignore_broadcasts = 1
关于SUSE LINUX的系统安全,暂且总结这么多,也希望使用SUSE LINUX的朋友一起来交流和学习。