系統加固

centos 系統加固。Redhat是目前企業中用的最多的一類Linux，而目前針對Redhat攻擊的黑客也愈來愈多了。咱們要如何爲這類服務器作好安全加固工做呢?

一. 帳戶安全

1.1 鎖定系統中多餘的自建賬號

檢查方法:

執行命令

#cat /etc/passwd

#cat /etc/shadow

查看帳戶、口令文件，與系統管理員確認沒必要要的帳號。對於一些保留的系統僞賬戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據須要鎖定登錄。

備份方法：

#cp -p /etc/passwd/etc/passwd_bak

#cp -p /etc/shadow/etc/shadow_bak

加固方法:

使用命令passwd -l 鎖定沒必要要的帳號。

使用命令passwd -u 解鎖須要恢復的帳號。

風險:

須要與管理員確認此項操做不會影響到業務系統的登陸

1.2設置系統口令策略

檢查方法：

使用命令

#cat/etc/login.defs|grep PASS查看密碼策略設置

備份方法：

cp -p/etc/login.defs /etc/login.defs_bak

加固方法：

#vi/etc/login.defs修改配置文件

PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數

PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數

PASS_WARN_AGE 7 #新建用戶的密碼到期提早提醒天數

PASS_MIN_LEN 9 #最小密碼長度9

風險：無可見風險

1.3禁用root以外的超級用戶

檢查方法：

#cat /etc/passwd 查看口令文件，口令文件格式以下：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：用戶名

password：加密後的用戶密碼

user_ID：用戶ID，(1 ~ 6000) 若用戶ID=0，則該用戶擁有超級用戶的權限。查看此處是否有多個ID=0。

group_ID：用戶組ID

comment：用戶全名或其它註釋信息

home_dir：用戶根目錄

command：用戶登陸後的執行命令

備份方法：

#cp -p /etc/passwd/etc/passwd_bak

加固方法：

使用命令passwd -l 鎖定沒必要要的超級帳戶。

使用命令passwd -u 解鎖須要恢復的超級帳戶。

風險：須要與管理員確認此超級用戶的用途。

1.4 限制可以su爲root的用戶

檢查方法：

#cat/etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目

備份方法：#cp -p /etc/pam.d /etc/pam.d_bak

加固方法：

#vi /etc/pam.d/su

在頭部添加：

auth required/lib/security/pam_wheel.so group=wheel

這樣，只有wheel組的用戶能夠su到root

#usermod -G10 test將test用戶加入到wheel組

風險：須要PAM包的支持;對pam文件的修改應仔細檢查，一旦出現錯誤會致使沒法登錄;和管理員確認哪些用戶須要su。

當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶帳號的有效性。若是是由於PAM驗證故障，而引發root也沒法登陸，只能使用single user或者rescue模式進行排錯。

1.5 檢查shadow中空口令賬號

檢查方法：

#awk -F: '($2 =="") { print $1 }' /etc/shadow

備份方法：cp -p /etc/shadow /etc/shadow_bak

加固方法：對空口令帳號進行鎖定，或要求增長密碼

風險：要確認空口令帳戶是否和應用關聯，增長密碼是否會引發應用沒法鏈接。

2、最小化服務

2.1 中止或禁用與承載業務無關的服務

檢查方法：

#who –r或runlevel 查看當前init級別

#chkconfig --list 查看全部服務的狀態

備份方法：記錄須要關閉服務的名稱

加固方法：

#chkconfig --levelon|off|reset 設置服務在個init級別下開機是否啓動 級別>

風險：某些應用須要特定服務，須要與管理員確認。

3、數據訪問控制

3.1 設置合理的初始文件權限

檢查方法：

#cat /etc/profile 查看umask的值

備份方法：

#cp -p/etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

umask=027

風險：會修改新建文件的默認權限，若是該服務器是WEB應用，則此項謹慎修改。

4、網絡訪問控制

4.1 使用SSH進行管理

檢查方法：

#ps –aef | grepsshd 查看有無此服務

備份方法：

加固方法：

使用命令開啓ssh服務

#service sshdstart

風險：改變管理員的使用習慣

4.2 設置訪問控制策略限制可以管理本機的IP地址

檢查方法：

#cat/etc/ssh/sshd_config 查看有無AllowUsers的語句

備份方法：

#cp -p/etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi/etc/ssh/sshd_config，添加如下語句

AllowUsers*@10.138.*.* 此句意爲：僅容許10.138.0.0/16網段全部用戶經過ssh訪問

保存後重啓ssh服務

#service sshdrestart

風險：須要和管理員確認可以管理的IP段

4.3 禁止root用戶遠程登錄

檢查方法：

#cat/etc/ssh/sshd_config 查看PermitRootLogin是否爲no

備份方法：

#cp -p/etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi/etc/ssh/sshd_config

PermitRootLogin no

保存後重啓ssh服務

service sshdrestart

風險：root用戶沒法直接遠程登陸，須要用普通帳號登錄後su

4.4 限定信任主機

檢查方法：

#cat/etc/hosts.equiv 查看其中的主機

#cat/$HOME/.rhosts 查看其中的主機

備份方法：

#cp -p/etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p/$HOME/.rhosts /$HOME/.rhosts_bak

加固方法：

#vi/etc/hosts.equiv 刪除其中沒必要要的主機

#vi /$HOME/.rhosts刪除其中沒必要要的主機

風險：在多機互備的環境中，須要保留其餘主機的IP可信任。

4.5 屏蔽登陸banner信息

檢查方法：

#cat/etc/ssh/sshd_config 查看文件中是否存在Banner字段，或banner字段爲NONE

#cat /etc/motd 查看文件內容，該處內容將做爲banner信息顯示給登陸用戶。

備份方法：

#cp -p/etc/ssh/sshd_config /etc/ssh/sshd_config_bak

#cp -p /etc/motd/etc/motd_bak

加固方法：

#vi/etc/ssh/sshd_config

banner NONE

#vi /etc/motd

刪除所有內容或更新成本身想要添加的內容

風險：無可見風險

4.6 防止誤使用Ctrl+Alt+Del重啓系統

檢查方法：

#cat/etc/inittab|grep ctrlaltdel 查看輸入行是否被註釋

備份方法：

#cp -p/etc/inittab /etc/inittab_bak

加固方法：

#vi /etc/inittab

在行開頭添加註釋符號「#」

#ca::ctrlaltdel:/sbin/shutdown-t3 -r now

風險：無可見風險

5、用戶鑑別

5.1 設置賬戶鎖定登陸失敗鎖定次數、鎖定時間

檢查方法：

#cat/etc/pam.d/system-auth 查看有無auth requiredpam_tally.so條目的設置

備份方法：

#cp -p/etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加固方法：

#vi/etc/pam.d/system-auth

auth requiredpam_tally.so onerr=fail deny=6 unlock_time=300 設置爲密碼連續錯誤6次鎖定，鎖定時間300秒

解鎖用戶 faillog -u -r

風險：須要PAM包的支持;對pam文件的修改應仔細檢查，一旦出現錯誤會致使沒法登錄;

當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶帳號的有效性。

5.2 修改賬戶TMOUT值，設置自動註銷時間

檢查方法：

#cat /etc/profile 查看有無TMOUT的設置

備份方法：

#cp -p/etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

增長

TMOUT=600 無操做600秒後自動退出

風險：無可見風險

5.3 Grub/Lilo密碼

檢查方法：

#cat/etc/grub.conf|grep password 查看grub是否設置密碼

#cat/etc/lilo.conf|grep password 查看lilo是否設置密碼

備份方法：

#cp -p/etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf/etc/lilo.conf_bak

加固方法：爲grub或lilo設置密碼

風險：etc/grub.conf一般會連接到/boot/grub/grub.conf

5.4 限制FTP登陸

檢查方法：

#cat /etc/ftpusers確認是否包含用戶名，這些用戶名不容許登陸FTP服務

備份方法：

#cp -p/etc/ftpusers /etc/ftpusers_bak

加固方法：

#vi /etc/ftpusers 添加行，每行包含一個用戶名，添加的用戶將被禁止登陸FTP服務

風險：無可見風險

5.5 設置Bash保留歷史命令的條數

檢查方法：

#cat/etc/profile|grep HISTSIZE=

#cat/etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數

備份方法：

#cp -p/etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5即保留最新執行的5條命令

風險：無可見風險

6、審計策略

6.1 配置系統日誌策略配置文件

檢查方法：

#ps –aef | grepsyslog 確認syslog是否啓用

#cat/etc/syslog.conf 查看syslogd的配置，並確認日誌文件是否存在

系統日誌(默認)/var/log/messages

cron日誌(默認)/var/log/cron

安全日誌(默認)/var/log/secure

備份方法：

#cp -p/etc/syslog.conf

6.2 爲審計產生的數據分配合理的存儲空間和存儲時間

檢查方法：

#cat/etc/logrotate.conf 查看系統輪詢配置，有無

# rotate log filesweekly

weekly

# keep 4 weeksworth of backlogs

rotate 4 的配置

備份方法：

#cp -p/etc/logrotate.conf /etc/logrotate.conf_bak

加固方法：

#vi/etc/logrotate.d/syslog

增長

rotate 4 日誌文件保存個數爲4，當第5個產生後，刪除最先的日誌

size 100k 每一個日誌的大小

加固後應相似以下內容：

/var/log/syslog/*_log{missingoknotifemptysize 100k # log files will be rotated when they grow biggerthat 100k.rotate 5 # will keep the logs for 5 weeks.compress # log files willbe compressed.sharedscriptspostrotate/etc/init.d/syslog condrestart >/dev/null2>1 || trueendscript}

一、主機名設置

[root@localhost~]#vi /etc/sysconfig/network

HOSTNAME=test.com

[root@localhost~]#hostname test.com #臨時生效

二、關閉SELinux

[root@localhost~]#vi /etc/selinux/config

SELINUX=disabled

[root@localhost~]#setenforce #臨時生效

[root@localhost~]#getenforce #查看selinux狀態

三、清空防火牆並設置規則

[root@localhost~]#iptables -F #清楚防火牆規則 [root@localhost~]# iptables -L #查看防火牆規則 [root@localhost~]# iptables -A INPUT -p tcp --dport 80-j ACCEPT [root@localhost~]# iptables -A INPUT -p tcp --dport 22 -j ACCEPT [root@localhost~]#iptables -A INPUT -p tcp --dport 53 -j ACCEPT [root@localhost~]# iptables -AINPUT -p udp --dport 53 -j ACCEPT [root@localhost~]# iptables -A INPUT -p udp--dport 123 -j ACCEPT [root@localhost~]# iptables -A INPUT -p icmp -j ACCEPT[root@localhost~]# iptables -P INPUT DROP [root@localhost~]#/etc/init.d/iptables save

#根據需求開啓相應端口

 

 

四、添加普通用戶並進行sudo受權管理

[root@localhost~]#useradd user

[root@localhost~]#echo "123456" | passwd --stdin user #設置密碼

[root@localhost~]#vi /etc/sudoers #或visudo打開，添加user用戶全部權限 root ALL=(ALL)

ALL user ALL=(ALL)ALL

五、禁用root遠程登陸

[root@localhost~]#vi /etc/ssh/sshd_config

PermitRootLoginno

PermitEmptyPasswordsno #禁止空密碼登陸

UseDNSno #關閉DNS查詢

六、關閉沒必要要開機自啓動服務

 

 

七、刪除沒必要要的系統用戶

 

 

八、關閉重啓ctl-alt-delete組合鍵

[root@localhost~]# vi /etc/init/control-alt-delete.conf #exec /sbin/shutdown -r now"Control-Alt-Deletepressed" #註釋掉

九、調整文件描述符大小

[root@localhost~]# ulimit –n #默認是1024 1024

[root@localhost~]# echo "ulimit -SHn 102400">> /etc/rc.local #設置開機自動生效

十、去除系統相關信息

[root@localhost~]# echo "Welcome to Server" >/etc/issue

[root@localhost~]# echo "Welcome to Server" >/etc/redhat-release

十一、修改history記錄

[root@localhost~]# vi /etc/profile #修改記錄10個 HISTSIZE=10

十二、同步系統時間

[root@localhost~]# cp /usr/share/zoneinfo/Asia/Shanghai/etc/localtime #設置Shanghai時區 [root@localhost ~]# ntpdatecn.pool.ntp.org ;hwclock–w #同步時間並寫入blos硬件時間 [root@localhost ~]# crontab –e #設置任務計劃天天零點同步一次 0 * * * */usr/sbin/ntpdate cn.pool.ntp.org ; hwclock -w

1三、內核參數優化

[root@localhost~]# vi /etc/sysctl.conf #末尾添加以下參數net.ipv4.tcp_syncookies = 1 #1是開啓SYN Cookies，當出現SYN等待隊列溢出時，啓用Cookies來處，理，可防範少許SYN攻擊，默認是0關閉 net.ipv4.tcp_tw_reuse = 1 #1是開啓重用，容許講TIME_AIT sockets從新用於新的TCP鏈接，默認是0關閉 net.ipv4.tcp_tw_recycle = 1 #TCP失敗重傳次數，默認是15，減小次數可釋放內核資源net.ipv4.ip_local_port_range = 4096 65000 #應用程序可以使用的端口範圍net.ipv4.tcp_max_tw_buckets = 5000 #系統同時保持TIME_WAIT套接字的最大數量，若是超出這個數字，TIME_WATI套接字將馬上被清除並打印警告信息，默認180000net.ipv4.tcp_max_syn_backlog = 4096 #進入SYN寶的最大請求隊列，默認是1024 net.core.netdev_max_backlog = 10240 #容許送到隊列的數據包最大設備隊列，默認300 net.core.somaxconn = 2048 #listen掛起請求的最大數量，默認128 net.core.wmem_default = 8388608 #發送緩存區大小的缺省值 net.core.rmem_default = 8388608 #接受套接字緩衝區大小的缺省值(以字節爲單位)net.core.rmem_max = 16777216 #最大接收緩衝區大小的最大值 net.core.wmem_max= 16777216 #發送緩衝區大小的最大值 net.ipv4.tcp_synack_retries = 2 #SYN-ACK握手狀態重試次數，默認5 net.ipv4.tcp_syn_retries = 2 #向外SYN握手重試次數，默認4 net.ipv4.tcp_tw_recycle = 1 #開啓TCP鏈接中TIME_WAIT sockets的快速回收，默認是0關閉net.ipv4.tcp_max_orphans = 3276800 #系統中最多有多少個TCP套接字不被關聯到任何一個用戶文件句柄上，若是超出這個數字，孤兒鏈接將當即復位並打印警告信息 net.ipv4.tcp_mem = 94500000 915000000927000000 net.ipv4.tcp_mem[0]:低於此值，TCP沒有內存壓力; net.ipv4.tcp_mem[1]:在此值下，進入內存壓力階段;net.ipv4.tcp_mem[2]:高於此值，TCP拒絕分配socket。內存單位是頁，可根據物理內存大小進行調整，若是內存足夠大的話，可適當往上調。上述內存單位是頁，而不是字節。