linux安全小結

   感謝IBM提供的文檔庫

1、硬件、軟件選型

確認需求，分析可能面臨的安全問題

記錄各硬件壽命、保證散熱、確保性能冗餘

使用商業正版、開源的軟件，不從互聯網安裝系統，從源頭保證系統安全

購買專業售後支持

服務器配置雙電源模塊，並使用UPS不間斷電源，確保數據安全

2、操做系統

1.選擇穩定內核

帶奇數的內核版本（即2.3、2.5、2.7等）是實驗性的開發版內核。穩定的發行版內核的版本號是偶數（即2.4、2.6、2.8等）

2.自定義ISO：標準化系統

出於安全和性能的考慮，咱們能夠從一個Launchapd PPA源和任何第三方軟件倉庫中本身選擇軟件的最新版本，也能夠移除不多使用的軟件

3.經過編譯方式安裝軟件，並及時更新系統及軟件，並測試新的更新

經過編譯安裝的軟件，能幹淨的刪除和再次部署，不用擔憂不乾淨的卸載所帶來的問題；及時更新系統，確保沒有已知的漏洞；全部的更新和軟件，先在測試服務器上測試，沒問題後再更新生產環境

4.圖形界面

某些應用可能須要圖形界面來進行配置，咱們能夠利用ssh的X11轉發linux服務器應用程序的圖形部分，而不是給服務器安裝圖形界面，可提升安全性及性能

5.系統啓動安全

經過編輯GRUB啓動標籤能夠輕鬆的進入單用戶模式從而修改root密碼

GRUB的密碼設置可分爲全局密碼和菜單密碼

爲了防止他人經過GRUB修改root密碼你們須要設置一個全局密碼。在splashp_w_picpath這個參數的下一行能夠加上password=密碼，保存後從新啓動計算機後生效

雖然咱們設置了全局密碼，可是若是他人獲得了全局密碼後仍然能夠修改GRUB啓動標籤從而修改root密碼；這樣咱們就能夠設置菜單密碼，只須要在title的下一行加上password=密碼，而後保存退出。這樣即便有了全局密碼也必需輸入菜單密碼纔可以引導系統。

此外，若是直接對GRUB進行明文加密也是很是不安全的，因此就要使用MD5對其進行加密。在終端中輸入grub-md5-crypt回車，這時系統會要求輸入兩次相同的密碼，以後系統便會輸出MD5碼。你們只須要將生成的MD5密文複製下來，而後在按照password --md5 MD5密文這個格式設置全局或者菜單密碼，保存退出，重啓計算機便可。

6.防火牆：iptales、ufw

防火牆中關鍵要素有：源IP、目的IP、協議、源端口、目的端口、網卡，經過對這幾個要素的配置，能有效控制來自外部的***及內部的資料泄漏

7.遠程登陸ssh

1)修改ssh端口

默認狀況下，SSH監聽鏈接端口22，***者使用端口掃描軟件就能夠看到主機是否運行有SSH服務，將SSH端口修改成大於1024的端口是一個明智的選擇，由於大多數端口掃描軟件（包括nmap）默認狀況都不掃描高位端口。

2)ssh密鑰認證：可有效抵禦字典功擊

3)禁止root用戶登陸

若是一個***者得到root權限登錄到你的系統，相對他得到一個普通用戶權限能形成更大的破壞，配置SSH服務器不容許root用戶經過SSH登錄

4)ssh白名單：僅容許指定用戶可登陸、指定IP可訪問服務器

5)重試次數：一段時間內，超過登陸失敗重試次數後，不容許登陸

6)鏈接超時：超過特定時間後，斷開空閒的ssh鏈接

7)極端安全措施：ssh審計、端口敲門、動態端口

8.用戶名、密碼

複雜用戶名和密碼

使用LDAP服務器集中管理服務器的用戶名和密碼，並動態更改、

9.sudo權限

由於root用戶權限過高，因此咱們配置特定用戶才能su爲root，並指定sudo用戶可用的命令

10.資源限制

限制每一個用戶可以使用的資源，包括：磁盤空間、網絡IO...

11.鏈接記帳：跟蹤當前用戶當前對話、用戶登陸和退出的活動、操做歷史記錄

12.***檢測

Intrusion Detection System（***檢測系統）是對***行爲的發覺，其經過對計算機網絡或計算機系統中的若干關鍵點收集信息並對其進行分析，從中發現網絡或系統中是否有違反安全策略的行爲和被***的跡象

13.反端口掃描

咱們能夠經過防火牆限制本身系統中什麼端口開放，什麼端口不開放。對於外部的人們來講，這些信息都是保密的。***爲了獲得您機器中開放的端口，每每會進行各類方式的掃描，這樣的掃描軟件在互聯網上也隨處都是。通常的掃描活動都是進行***的前奏，對安全是極大的危險。

反掃描工具能夠實時發現並分析記錄對本機的掃描

14.安全審記：Tripwire

Tripwire報告自它上次運行以來發生的更改，您能夠將之與之前的運行報告進行比較。若是文件已更改、刪除或添加，那麼須要系統管理員的進一步調查，判斷是正當更改仍是一些應用程序或用戶的強迫更改日誌分析

15.日誌分析

審覈和記錄系統的事件是很是重要的，利用日誌分析工具能夠自動地檢查日誌文件，發現違反安全規則以及異常的活動，而後把這些信息email給系統管理員

16.SELinux

經過SELinux所實現的強制訪問控制（或者說是MAC），使用MAC，操做系統中的許可由進程所屬的用戶/組ID以及正要被訪問的對象（文件）所屬的用戶/組ID來管理。另外，使用MAC，Linux會強制爲每一個單獨的進程執行這些策略，它們會控制進程能夠作什麼事情

17.平常操做自動化

經過cron任務計劃自動維護，並將相關結果發送郵件

3、文件系統

RAID、lvm邏輯卷快照、ecryptfs加密、分佈式存儲GFS：利用各技術的優點保證存儲數據安全

文件校驗：md5sum、shasum，經過文件校驗技術確保使用的是安全的文件

權限控制：經過查找777、無主文件，確保重要文件的安全；查看高權限用戶組中的用戶，確保無異經常使用戶加入

4、應用程序、數據庫

應用程序

1.自動化：經過版本控制、自動化部署，方便錯誤回滾

2.高可用：主從、主主、負載均衡集羣

3.程序相互調用統一域名、端口，便於集中管理

4.應用程序的容器：利用半虛擬化lxc，爲每一個應用程序配置單獨的容器，確保其它程序及系統的安全

5.程序後臺運行nohup，防止當前會話中斷

6.加密傳輸

調用命令、傳輸文件時應加密，防止中間人***及數據泄漏

7.在應用程序中設置路徑別名，隱藏實際路徑

數據庫

1.鏈接安全

經過修改my.cnf文件，修改端口，禁用反向域名解析，限制訪問的客戶端，確保數據庫不對外開放

2.設置複雜的root密碼，由DBA建立庫併爲每一個數據庫配置單獨的用戶和密碼

3.使用安全

不使用select*等會致使數據庫性能急劇降低的查詢命令

4.腳本備份、數據庫主從、讀寫分離、驗證備份是否有效

數據是Unix/Linux系統中最重要的組成部分,可是數據的備份與同步倒是最容易被忽略的任務。經過按期的數據備份與同步，能夠在磁盤出現故障時，最大程度的下降數據損失。當用戶誤操做致使數據損壞或者丟失時，能夠快速恢復

5、網絡架構

1.硬件防火牆

2.堡壘機

堡壘機的核心思路是邏輯上將人與目標設備分離，創建「人-〉主帳號（堡壘機用戶帳號）-〉受權—>從帳號（目標設備帳號）的模式;在這種模式下，基於惟一身份標識，經過集中管控安全策略的帳號管理、受權管理和審計，創建針對維護人員的「主帳號-〉登陸—〉訪問操做-〉退出」的全過程完整審計管理，實現對各類運維加密/非加密、圖形操做協議的命令級審計

3.內部域名服務器：經過域名集中管理各機器之間的訪問

4.內外網隔離

5.三層交換機：經過VLAN ID，只容許指定機器相互通訊

6.負載均衡、主從備份、分佈式，確保服務及數據能正常使用

6、監控

短信、郵件、電話提醒、正常時按期提醒、異常提醒

監控參數：

溫度、CPU負載、磁盤容量及負載、內存容量及負載、網卡負載

系統登陸地點、人數、進程數

應用程序存活狀態、應用程序參數監控(鏈接數...)、應用程序異常提醒

按期端口掃描、漏洞掃描

7、預案和文檔記錄

1.標準化操做方法和流程：標準有助於實現更好的治理、更強的系統安全性和更有彈性的業務運營，能有效防止人工失誤

2.知識庫、應急預案：增強從業人員的知識積累，經過預案快速反應

3.記錄歷史故障現象和解決辦法並不按期進行故障演練，以快速解決問題