liunx 的安全加固
一、安装和升级
使用 custom 自定义安装,不必要的软件包尽量不装,如有必要给 lilo/grub 引导器加入口令限制,安装完成后使用 up2date 、 yum 或是 apt ( Debian )升级系统软件,有时升级内核也是必要的。
编辑 /etc/sudoers 添加下面内容
jinshuai ALL=NOPASSWD:ALL
二、帐号安全
1 、一般服务器都是放在 IDC 机房,需要通过远程访问进行管理,要限制 root 的远程访问,管理员通过普通帐号远程登录,然后 su 到 root ,开发人员只使用普通帐号权限。
1) 在 /etc/default/login 文件,增加一行设置命令:
CONSOLE = /dev/tty01
2 )可以通过下面的脚本禁止对控制台的访问:
# !/bin/sh
cd /etc/pam.d
for i in * ; do
sed '/[^#].*pam_console.so/s/^/#/' foo && mv foo $I
done
3) 通过下面的措施可以防止任何人都可以 su 为 root ,在 /etc/pam.d/su 中添加如下两行。
auth sufficient /lib/security/$ISA/pam_rootok.so debug
auth required /lib/security/$ISA/pam_wheel.so group=wheel
然后把您想要执行 su 成为 root 的用户放入 wheel 组:
usermod -G10 admin
2 、编辑 /etc/securetty ,注释掉所有允许 root 远程登录的控制台,然后禁止使用所有的控制台程序,其命令如下 :
rm -f /etc/security/console.apps/servicename
三、采用最少服务原则,凡是不需要的服务一律注释掉。在 /etc/inetd.conf 中不需要的服务前加 "#" ,较高版本中已经没有 inetd ,而换成了 Xinetd; 取消开机自动运行服务,把 /etc/rc.d/rc3.d 下不需要运行的服务的第一个字母 "S" 改成 "K", 其他不变 .
四 . 文件系统权限
1) 找出系统中所有含 s" 位的程序 , 把不必要的 "s" 位去掉 , 或者把根本不用的直接删除 , 这样可以防止用户滥用及提升权限的可能性 , 其命令如下 :
find / -type f -perm -4000 -o -perm -2000 -print | xargs ls -lg
2) 把重要文件加上不可改变属性 ( 一般情况不用这么做 ):
chattr +i /etc/passwd
Immutable ,系统不允许对这个文件进行任何的修改。如果目录具有这个属性,那么任何的进程只能修改目录之下的文件,不允许建立和删除文件。
3) 找出系统中没有属主的文件 :
find / -nouser -o -nogroup
4) 找出任何都有写权限的文件和目录 :
find / -type f -perm -2 -o -perm -20 |xagrs ls -lg
find / -type d -perm -2 -o -perm -20 |xagrs ls -ldg
5) ftp 的上传目录不能给与执行权限 , 如提供可运行 CGI 的虚拟主机服务 , 应该做额外安全配置 . 编 /etc/security/limits.conf, 加入或改变如下行 :
hard core 0
hard rss 5000
hard nproc 20
五 .Banner 伪装
1) 入侵者通常通过操作系统、服务及应用程序版本来攻击,漏油列表和攻击程也是按此来分类,所以我们有必要作点手脚来加大入侵的难度。
所以编辑 /etc/rc.d/rc.local 如下:
echo "Kernel $(uname -r) on $a $(uname -m)" >/etc/issue
echo "Kernel \r on an \m" >> /etc/issue
cp -f /etc/issue /etc/issue.net
echo >> /etc/issue
2) 对于 Apache 的配置文件,找到 ServerTokens 和 ServerSignature 两个 directive ,修改其默认属性如下,使用不回显版本号:
ServerTokens prod
ServerSignature Off
六、 IPTABLES 防火墙规则:
iptables -A INPUT -p --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
以上规则将阻止由内而外的 TCP 主动选接。上面是一个简单例子, IPTABLES 功能十分强大,可以根据具体情况设置防火墙规则。
七、 tripwire 是一个比较有名的工具,它能帮你判断出一些重要系统文件是否被修改过。现在的 Linux 发行版中一般部带有该工具的开源版本,在默认的校验对象配置文件中加入一些敏感文件就可以使用。
八 . 自行扫描
普通的安全加固基本上是做完了,我们可以自己做一个风险评估,推荐使用 nessus latest version.
九 . 日志策略
主要就是创建对人侵相关的重要日志的硬拷贝,不致于应急响应的时候连最后的黑匣子都没有。可以把它们重定向到打印机,管理员邮件,独立的日志服务器及其热备份。
十 .Snort 入侵检测系统
对人侵响应和安全日志要求较高的系统有此必要 ; 对于一般的系统而言,如果管理员根本不会去看一大堆日志,那么它白白占用系统资源,就如同鸡肋一样。
对 Linux 平台下病毒的防范总结出以下几条建议,仅供参考:
(1) 做好系统加固工作。
(2) 留心安全公告,及时修正漏洞。
(3) 日常操作不要使用 root 权限进行。
(4) 不要随便安装来历不明的各种设备驱动程序。
(5) 不要在重要的服务器上运行一些来历不明的可执行程序或脚本。
(6) 尽量安装防毒软件,并定期升级病毒代码库。
(7) 对于连接到 Internet 的 Linux 服务器,要定期检测 Linux 病毒、蠕虫和木马是否存在。
(8) 对于提供文件服务的 Linux 服务器,最好部署一款可以同时查杀 Windows 和 Linux 病毒的软件。
(9) 对于提供邮件服务的 Linux 服务器,最好配合使用一个 E-mail 病毒扫描器。
总而言之,对于 Linux 平台下病毒的防范要采取多种手段,决不可因为现在 Linux 病毒很少就掉以轻心。
使用 custom 自定义安装,不必要的软件包尽量不装,如有必要给 lilo/grub 引导器加入口令限制,安装完成后使用 up2date 、 yum 或是 apt ( Debian )升级系统软件,有时升级内核也是必要的。
编辑 /etc/sudoers 添加下面内容
jinshuai ALL=NOPASSWD:ALL
二、帐号安全
1 、一般服务器都是放在 IDC 机房,需要通过远程访问进行管理,要限制 root 的远程访问,管理员通过普通帐号远程登录,然后 su 到 root ,开发人员只使用普通帐号权限。
1) 在 /etc/default/login 文件,增加一行设置命令:
CONSOLE = /dev/tty01
2 )可以通过下面的脚本禁止对控制台的访问:
# !/bin/sh
cd /etc/pam.d
for i in * ; do
sed '/[^#].*pam_console.so/s/^/#/' foo && mv foo $I
done
3) 通过下面的措施可以防止任何人都可以 su 为 root ,在 /etc/pam.d/su 中添加如下两行。
auth sufficient /lib/security/$ISA/pam_rootok.so debug
auth required /lib/security/$ISA/pam_wheel.so group=wheel
然后把您想要执行 su 成为 root 的用户放入 wheel 组:
usermod -G10 admin
2 、编辑 /etc/securetty ,注释掉所有允许 root 远程登录的控制台,然后禁止使用所有的控制台程序,其命令如下 :
rm -f /etc/security/console.apps/servicename
三、采用最少服务原则,凡是不需要的服务一律注释掉。在 /etc/inetd.conf 中不需要的服务前加 "#" ,较高版本中已经没有 inetd ,而换成了 Xinetd; 取消开机自动运行服务,把 /etc/rc.d/rc3.d 下不需要运行的服务的第一个字母 "S" 改成 "K", 其他不变 .
四 . 文件系统权限
1) 找出系统中所有含 s" 位的程序 , 把不必要的 "s" 位去掉 , 或者把根本不用的直接删除 , 这样可以防止用户滥用及提升权限的可能性 , 其命令如下 :
find / -type f -perm -4000 -o -perm -2000 -print | xargs ls -lg
2) 把重要文件加上不可改变属性 ( 一般情况不用这么做 ):
chattr +i /etc/passwd
Immutable ,系统不允许对这个文件进行任何的修改。如果目录具有这个属性,那么任何的进程只能修改目录之下的文件,不允许建立和删除文件。
3) 找出系统中没有属主的文件 :
find / -nouser -o -nogroup
4) 找出任何都有写权限的文件和目录 :
find / -type f -perm -2 -o -perm -20 |xagrs ls -lg
find / -type d -perm -2 -o -perm -20 |xagrs ls -ldg
5) ftp 的上传目录不能给与执行权限 , 如提供可运行 CGI 的虚拟主机服务 , 应该做额外安全配置 . 编 /etc/security/limits.conf, 加入或改变如下行 :
hard core 0
hard rss 5000
hard nproc 20
五 .Banner 伪装
1) 入侵者通常通过操作系统、服务及应用程序版本来攻击,漏油列表和攻击程也是按此来分类,所以我们有必要作点手脚来加大入侵的难度。
所以编辑 /etc/rc.d/rc.local 如下:
echo "Kernel $(uname -r) on $a $(uname -m)" >/etc/issue
echo "Kernel \r on an \m" >> /etc/issue
cp -f /etc/issue /etc/issue.net
echo >> /etc/issue
2) 对于 Apache 的配置文件,找到 ServerTokens 和 ServerSignature 两个 directive ,修改其默认属性如下,使用不回显版本号:
ServerTokens prod
ServerSignature Off
六、 IPTABLES 防火墙规则:
iptables -A INPUT -p --dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 80 -j ACCEPT
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -j DROP
以上规则将阻止由内而外的 TCP 主动选接。上面是一个简单例子, IPTABLES 功能十分强大,可以根据具体情况设置防火墙规则。
七、 tripwire 是一个比较有名的工具,它能帮你判断出一些重要系统文件是否被修改过。现在的 Linux 发行版中一般部带有该工具的开源版本,在默认的校验对象配置文件中加入一些敏感文件就可以使用。
八 . 自行扫描
普通的安全加固基本上是做完了,我们可以自己做一个风险评估,推荐使用 nessus latest version.
九 . 日志策略
主要就是创建对人侵相关的重要日志的硬拷贝,不致于应急响应的时候连最后的黑匣子都没有。可以把它们重定向到打印机,管理员邮件,独立的日志服务器及其热备份。
十 .Snort 入侵检测系统
对人侵响应和安全日志要求较高的系统有此必要 ; 对于一般的系统而言,如果管理员根本不会去看一大堆日志,那么它白白占用系统资源,就如同鸡肋一样。
对 Linux 平台下病毒的防范总结出以下几条建议,仅供参考:
(1) 做好系统加固工作。
(2) 留心安全公告,及时修正漏洞。
(3) 日常操作不要使用 root 权限进行。
(4) 不要随便安装来历不明的各种设备驱动程序。
(5) 不要在重要的服务器上运行一些来历不明的可执行程序或脚本。
(6) 尽量安装防毒软件,并定期升级病毒代码库。
(7) 对于连接到 Internet 的 Linux 服务器,要定期检测 Linux 病毒、蠕虫和木马是否存在。
(8) 对于提供文件服务的 Linux 服务器,最好部署一款可以同时查杀 Windows 和 Linux 病毒的软件。
(9) 对于提供邮件服务的 Linux 服务器,最好配合使用一个 E-mail 病毒扫描器。
总而言之,对于 Linux 平台下病毒的防范要采取多种手段,决不可因为现在 Linux 病毒很少就掉以轻心。
本文出自 “butter520” 博客,转载请与作者联系!