Linux安全加固 附脚本

• [[Linux]] 安全加固主要有四个方面：账号安全、认证授权、协议安全、审计安全。也就是 4A(认证Authentication、授权Authorization、账号Account、审计Audit)，即统一安全管理平台解决方案。
  • 1、用户账号---唯一身份。
    2、统一认证---你是谁。
    3、授权管理---你有什么权限。
    4、操作审计---你可以干什么。
  • 这是Linux中几个比较重要的文件，主要针对这些文件做管理配置
    collapsed:: true

    • /etc/passwd    			-- 记录了系统中各用户的一些基本属性，root可写，所有用户可读
      /etc/shadow    			-- 记录了所有用户的密码
      /etc/group     			-- 记录了用户组属性
      /etc/login.defs 		-- 密码策略文件
      /etc/pam.d/system-auth	-- 密码强度
      

  • 账号安全：对账号密码做限制
    • 修改密码策略 /etc/login.defs
      collapsed:: true

      • 配置	值	含义
        PASS_MAX_DAYS	90	密码最长有效期
        PASS_MIN_DAYS	10	密码修改之间最小的天数
        PASS_MIN_LEN	8	密码长度
        PASS_WARN_AGE	7	口令失效前多少天开始通知用户修改密码

      • 脚本

        • #! /bin/bash
          # Author: Sajor
          # Date: 2018-10-12
          # Function: 实现对用户密码策略的设定，如密码最长有效期等
          read -p  "设置密码最多可多少天不修改：" A
          read -p  "设置密码修改之间最小的天数：" B
          read -p  "设置密码最短的长度：" C
          read -p  "设置密码失效前多少天通知用户：" D
          sed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '$A'' /etc/login.defs
          sed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '$B'' /etc/login.defs
          sed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN     '$C'' /etc/login.defs
          sed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE   '$D'' /etc/login.defs
          echo "已设置好密码策略......"
          

    • 设置密码强度 /etc/pam.d/system-auth
      collapsed:: true
      • 打开 /etc/pam.d/system-auth 文件 ，修改如下。我们设置新密码不能和旧密码相同，同时新密码至少8位，还要同时包含大字母、小写字母和数字

        • password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1
          

        • difok= ：此选项用来定义新密码中必须要有几个字符和旧密码不同
        • minlen=：此选项用来设置新密码的最小长度
        • ucredit= ：此选项用来设定新密码中可以包含的大写字母的最大数目。-1 至少一个
        • lcredit=：此选项用来设定新密码中可以包含的小写字母的最大数目
        • dcredit=：此选项用来设定新密码中可以包含的数字的最大数目
      • 注：这个密码强度的设定只对普通用户有限制作用，root用户无论修改自己的密码还是修改普通用户的时候，不符合强度设置依然可以设置成功
      • 脚本
        collapsed:: true

        • #! /bin/bash
          # Author: Sajor
          # Date: 2018-10-12
          # Function: 对用户密码强度的设定，新密码不能和旧密码相同，同时新密码至少8位，还要同时包含大字母、小写字母和数字
          sed -i '/pam_pwquality.so/c\password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1' /etc/pam.d/system-auth
          
    • 限制密码错误次数 /etc/pam.d/sshd
      collapsed:: true
      • 参考：CentOS7 pam 认证设置，
      • 有一些攻击性的软件是专门采用暴力破解密码的形式反复进行登录尝试，对于这种情况，我们可以调整用户登录次数限制，使其密码输入3次后自动锁定，并且设置锁定时间，在锁定时间内即使密码输入正确也无法登录
      • 打开 /etc/pam.d/sshd  文件，在 #%PAM-1.0 的下面，加入下面的内容，表示当密码输入错误达到3次，就锁定用户150秒，如果root用户输入密码错误达到3次，锁定300秒。锁定的意思是即使密码正确了也登录不了

        • auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300
          

      • 命令

        • pam_tally2   查看被锁定的用户
          pam_tally2  --reset  -u  username      将被锁定的用户解锁
          

      • 脚本

        • #! /bin/bash
          # Author: Sajor
          # Date: 2018-10-12
          # Function: 对用户登录输入错误密码次数做限制
          n=`cat /etc/pam.d/sshd | grep "auth required pam_tally2.so "|wc -l`
          if [ $n -eq 0 ];then
          sed -i '/%PAM-1.0/a\auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300' /etc/pam.d/sshd
          fi
          

    • 设置账户超时时间 /etc/profile
      collapsed:: true

      • TMOUT=600
        

      • source /etc/profile
      • 脚本

        • read -p "设置账户自动注销时间：" F
          sed -i '/^HISTSIZE/a\TMOUT='$F'' /etc/profile
          

    • 限制登陆IP
  • 认证授权：对账号权限做限制
    • 使用PAM认证模块，禁止wheel组之外的用户su为root
      collapsed:: true
      • PAM(Pluggable Authentication Module)是一个可插入式认证模块，在Linux系统中,各种不同的应用程序都需要完成认证功能，为了实现统一调配,把所有需要认证的功能做成一个模块(认证机制特别复杂的除外，如:https)，当特定的程序需要完成认证功能的时候，就去调用PMA的认证模块
      • 在linux中，有一个默认的管理组 wheel。
        collapsed:: true
        • Linux下Wheel用户组介绍
        • Wheel组是Unix系统一个遗留物。当服务器需要做比日常例行维护更高级的工作的时候，就经常需要用到root权限了。而这个wheel组就是建立用来归纳一些特殊的系统用户用的，这其中的用户都或多或少地拥有root的部分功能和权限。也就是说如果你不是wheel组成员，那就没有root身上任何的特权。也因为这样，使用wheel组成员用户的话，会尽量减少对系统“摧毁性”破坏的概率和风险。如今大多数的Linux发行版本中，仍然保留了wheel这个组，虽然它已经不像当初设计出来的那样必要了，但是有些老玩家还是忠于这种旧式经典风格的，所以他们经常还是依旧让wheel组发挥着以往的作用。他们是这样做的：在建立他们自己的用户时，将其添加入wheel组中（用wheel组作为用户的主组），或者编辑/etc/group文件，将他们的用户名追加到wheel组那行的末尾。
      • 在实际生产环境中，即使我们有系统管理员root的权限，也不推荐用root用户登录。一般情况下用普通用户登录就可以了，在需要root权限执行一些操作时，再su登录成为root用户。
      • 但是，任何人只要知道了root的密码，就都可以通过su命令来登录为root用户，这无疑为系统带来了安全隐患。所以，将普通用户加入到wheel组，被加入的这个普通用户就成了管理员组内的用户。然后设置只有wheel组内的成员可以使用su命令切换到root用户。
      • 我们修改配置文件 /etc/pam.d/su  ，将这行的注释给去掉
      • 然后去 /etc/login.defs 末尾加入 SU_WHEEL_ONLY yes 即可
      • 脚本

        • sed -i '/pam_wheel.so use_uid/c\auth            required        pam_wheel.so use_uid ' /etc/pam.d/su
          n=`cat /etc/login.defs | grep SU_WHEEL_ONLY | wc -l`
          if [ $n -eq 0 ];then
          echo SU_WHEEL_ONLY yes >> /etc/login.defs
          fi 
          

    • 检查各用户异常状态
      collapsed:: true
      • Linux中的用户、组和权限管理
      • 使用 id root命令可以显示root用户的 uid gid group 信息
        collapsed:: true

        • > id root
          uid=0(root) gid=0(root) 组=0(root)
          

      • 使用命令修改某用户的信息
        collapsed:: true

        • usermod -o -u 0 -g 0 admin
          

      • 对Linux账户进行管理
        • userdel  -r 用户名  删除不必要的账号
        • passwd -l  用户名  锁定不必要的账号
        • awk -F: '($7=="/bin/bash"){print $1}' /etc/passwd   查看具有登录权限的用户
          collapsed:: true
          • 也有使用非bash登陆的，比如zsh，可以这么写 awk -F: '($7=="/usr/bin/zsh" || $7=="/bin/bash"){print $1}' /etc/passwd
        • awk -F ':' '($3==0){print $1}' /etc/passwd    查看UID为0的账号，UID为0的用户会自动切换到root用户，所以危害很大
        • awk -F: '($2=="")' /etc/shadow   查看空口令账号，如果存在空口令用户的话必须设置密码
          collapsed:: true
          • 补充一个小知识：如何创建一个无密码的账户

          • # 创建用户帐户
            > adduser mageshm
            # 使用以下命令创建没有密码的用户“mageshm”：
            > passwd -f -u mageshm
            
            Unlocking password for user mageshm.
            passwd: Success
            

          • 参考：使用passwd、usermod命令在Linux中锁定和解锁用户帐户。
          • 注：
            collapsed:: true
            • -f，–force强制操作。
            • -u，–unlock解锁指定帐户的密码（仅root）。
      • 脚本
        collapsed:: true

        • #! /bin/bash
          # Author: Sajor
          # Date: 2018-10-11
          # Function: 对系统中的用户做检查，加固系统
          echo "系统中有登录权限的用户有："
          awk -F: '($7=="/usr/bin/zsh" || $7=="/bin/bash"){print $1}' /etc/passwd
          echo "********************************************"
          echo "系统中UID=0的用户有："
          awk -F: '($3=="0"){print $1}' /etc/passwd
          echo "********************************************"
          N=`awk -F: '(``2==""){print ``1}' /etc/shadow|wc -l`
          echo "系统中空密码用户有：$N"
          if [ $N -eq 0 ];then
           echo "恭喜你，系统中无空密码用户！！"
           echo "********************************************"
          else
           i=1
           while [ $N -gt 0 ]
           do
              None=`awk -F: '(``2==""){print ``1}' /etc/shadow|awk 'NR=='$i'{print}'`
              echo "------------------------"
              echo $None
              echo "必须为空用户设置密码！！"
              passwd $None
              let N--
           done
           M=`awk -F: '(``2==""){print ``1}' /etc/shadow|wc -l`
           if [ $M -eq 0 ];then
            echo "恭喜，系统中已经没有空密码用户了！"
           else
          echo "系统中还存在空密码用户：$M"
           fi
          fi
           
          

    • 对重要文件进行锁定
      collapsed:: true
      • 修改文件系统的权限属性，对重要的文件进行锁定，即使ROOT用户也无法删除
      • chattr 命令，专门用来修改文件或目录的隐藏属性，只有 root 用户可以使用

        • # 改变文件或目录的扩展属性
          chattr [+-=] [属性] 文件或目录名
          chattr [-RVf] [-+=aAcCdDeijsStTu] [-v version] files...
          # 查看文件目录的扩展属性
          lsattr  文件或目录名
          

          • a：只能附加数据
          • A：不修改访问时间
          • c：压缩文件
          • C：不执行写入时复制（COW） 。多个调用者获取同一个资源，这时，另一个调用者对这资源进行了修改，不生成一个副本给
          • d：不 dump
          • D: 同步更新目录
          • e：extent格式（一种文件系统格式）
          • i：不能修改。不能删除或重命名，不能创建到该文件的链接，也不能向该文件写入数据。只有超级用户或拥有 CAP_LINUX_IMMUTABLE 能力的进程才能设置或清除此属性。
          • j：数据日志
          • s：安全删除
          • S：同步更新
          • t：不知道文件尾部合并
          • T：目录层次的顶部
          • u：文件被删除时，其内容会被保存，后面可以请求恢复
        • 下面的只读属性，可以使用 lsattr列出，但不能被 chattr 修改：
          • E：压缩错误
          • h：巨大的文件
          • I：索引目录
          • N：内联数据
          • X：压缩原始访问
          • Z：压缩文件是脏的
      • 并不是所有文件系统都支持所有标志；参考文件系统手册了解如btrfs(5), ext4(5), 和 xfs(5)文件格式的更多详情。
      • 脚本

        • #! /bin/bash
          # Author: Sajor
          # Date：2018-10-10
          # Function: 锁定创建用户和组的文件，使之无法对用户和组进行操作！
          read -p "警告：此脚本运行后将无法添加删除用户和组！！确定输入Y，取消输入N；Y/N：" i
          case $i in
                [Y,y])
                      chattr +i /etc/passwd
                      chattr +i /etc/shadow
                      chattr +i /etc/group
                      chattr +i /etc/gshadow
                      echo "锁定成功！"
          ;;
                [N,n])
                      chattr -i /etc/passwd
                      chattr -i /etc/shadow
                      chattr -i /etc/group
                      chattr -i /etc/gshadow
                      echo "取消锁定成功！！"
          ;;
                 *)
                      echo "请输入Y/y or  N/n"
          esac
          

      • 参考：chattr命令详解，Linux chattr命令详解：修改文件系统的权限属性
    • 检查异常进程
      • 检查cpu占用前10：ps aux|sort -rn -k +3|head
      • 检查内存占用前10：ps aux|sort -rn -k +4|head
  • 协议安全：协议加固主要阻止入侵者远程获取服务器的权限。
    collapsed:: true
    • ssh安全
      • SSH是一个协议，利用它可以登录到一个远程系统或远程执行系统命令，默认允许root登录，并且sshv1存在缺陷，我们应该在sshd_config禁止root访问和使用sshv2来让ssh更加安全。
      • 禁止root用户远程登陆，vim /etc/ssh/sshd_config 修改为：

      • PermitRootLogin    no
        

    • telnet安全
      • 早期的Linux默认开启telnet服务，telnet,ftp,rlogin都是明文传输的协议，如果必须使用telnet，则需要进行安全配置：

      • /etc/xinetd.d/telnet
        disable=yes
        

    • 禁止ping

      • # 开启
        echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 
        # 关闭
        echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all  
        

    • 禁止匿名ftp

      • vim  /etc/vsftpd/vsftpd.conf
        # 如果存在anonymous_enable则修改,如果不存在则手动增加
        anonymous_enable=NO    
        

    • 预防Flood攻击

      • > vim  /etc/sysctl.conf
        > net.ipv4.tcp_syncookies = 1
        # 让命令生效
        > sysctl  -p 
        

  • 审计安全：日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体的内容取决于日志的来源
    collapsed:: true
    • 设置历史命令保存条数
      collapsed:: true

      • HISTSIZE=100
        

      • source /etc/profile
      • 脚本

        • read -p "设置历史命令保存条数：" E
          sed -i '/^HISTSIZE/c\HISTSIZE='$E'' /etc/profile
          

    • 记录安全事件日志

      • # vim /etc/rsyslog.conf 在文件中加入如下内容
        *.err;kern.debug;daemon.notice     /var/log/messages
        

    • 建立日志服务器
      collapsed:: true
      • 日志服务器的好处在于，每个工作服务器将自己的日志信息发送给日志服务器进行集中管理，即使有人入侵了服务器并将自己的登录信息悄悄删除，但由于日志信息实时与日志服务器同步，保证了日志的完整性。以备工作人员根据日志服务器信息对服务器安全进行评测。
      • 在客户端修改配置文件/etc/rsyslog.conf
      • 想把哪种类型的日志文件发送给服务端，你就把他原来的对应的目录改成： @日志服务器ip
      • TODO 日志服务器日志上传
      • 然后重启rsyslog服务，开启防火墙，这样就完成了日志服务器的搭建。
        collapsed:: true

        • systemctl  restart  rsyslog
          firewall-cmd  --add-port=514/tcp
          

      • 日志系统RSyslog(The rocket-fast Syslog Server) Documentation #mark
  • 参考：Linux安全加固，Linux主机操作系统加固规范，加固