通用 CentOS 6 服務器安全配置指南

Linux 是一個開放式系統，能夠在網絡上找到許多現成的程序和工具，這既方便了用戶，也方便了黑客，由於他們也能很容易地找到程序和工具來潛入 Linux 系統，或者盜取 Linux 系統上的重要信息。不過，只要咱們仔細地設定 Linux 的各類系統功能，而且加上必要的安全措施，就能讓黑客們無機可乘。通常來講，對 Linux 系統的安全設定包括取消沒必要要的服務、限制遠程存取、隱藏重要資料、修補安全漏洞、採用安全工具以及常常性的安全檢查等。

本文是可參考的實際操做，不涉及如 IP 欺騙這樣的原理，並且安全問題也不算幾行命令就能預防的，這裏只是 Linux 系統上基本的安全加固方法，後續有新的內容再添加進來。

注：全部文件在修改以前都要進行備份如

cp /etc/passwd{,.dist}

1. 禁用不使用的用戶

注意：不建議直接刪除，當你須要某個用戶時，本身從新添加會很麻煩。也能夠 usermod -L 或 passwd -l user 鎖定。

• cp /etc/passwd{,.bak} 修改以前先備份
• vi /etc/passwd 編輯用戶，在前面加上#註釋掉此行

註釋的用戶名：

# cat /etc/passwd|grep ^#
#adm:x:3:4:adm:/var/adm:/sbin/nologin
#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
#halt:x:7:0:halt:/sbin:/sbin/halt
#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
#operator:x:11:0:operator:/root:/sbin/nologin
#games:x:12:100:games:/usr/games:/sbin/nologin
#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
#nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
#postfix:x:89:89::/var/spool/postfix:/sbin/nologin

註釋的組：

# cat /etc/group|grep ^#
#adm:x:4:adm,daemon
#lp:x:7:daemon
#uucp:x:14:
#games:x:20:
#gopher:x:30:
#video:x:39:
#dip:x:40:
#ftp:x:50:
#audio:x:63:
#floppy:x:19:
#postfix:x:89:

2. 關閉不使用的服務

# chkconfig --list |grep '3:on'

郵件服務，使用公司郵件服務器：

service postfix stop
chkconfig postfix --level 2345 off

通用unix打印服務，對服務器無用：

service cups stop
chkconfig cups --level 2345 off

調節cpu速度用來省電，經常使用在Laptop上：

service cpuspeed stop
chkconfig cpuspeed --level 2345 off

藍牙無線通信，對服務器無用：

service bluetooth stop
chkconfig bluetooth --level 2345 off

系統安裝後初始設定，第一次啓動系統後就沒用了：

service firstboot stop
chkconfig firstboot --level 2345 off

關閉nfs服務及客戶端：

service netfs stop
chkconfig netfs --level 2345 off
service nfslock stop
chkconfig nfslock --level 2345 off

若是要恢復某一個服務，能夠執行下面操做：
service acpid start && chkconfig acpid on
也可使用setup工具來設置

3. 禁用IPV6

IPv6是爲了解決IPv4地址耗盡的問題，但咱們的服務器通常用不到它，反而禁用IPv6不只僅會加快網絡，還會有助於減小管理開銷和提升安全級別。如下幾步在CentOS上徹底禁用ipv6。

禁止加載IPv6模塊：
讓系統不加載ipv6相關模塊，這須要修改modprobe相關設定文件，爲了管理方便，咱們新建設定文件/etc/modprobe.d/ipv6off.conf，內容以下

alias net-pf-10 off
options ipv6 disable=1

禁用基於IPv6網絡，使之不會被觸發啓動：

# vi /etc/sysconfig/network
NETWORKING_IPV6=no

禁用網卡IPv6設置，使之僅在IPv4模式下運行：

# vi /etc/sysconfig/network-scripts/ifcfg-eth0
IPV6INIT=no
IPV6_AUTOCONF=no

關閉ip6tables：

# chkconfig ip6tables off

重啓系統，驗證是否生效：

# lsmod | grep ipv6
# ifconfig | grep -i inet6

若是沒有任何輸出就說明IPv6模塊已被禁用，不然被啓用。

4. iptables規則

啓用linux防火牆來禁止非法程序訪問。使用iptable的規則來過濾入站、出站和轉發的包。咱們能夠針對來源和目的地址進行特定udp/tcp端口的准許和拒絕訪問。

關於防火牆的設置規則請參考博客文章 iptables設置實例。

5. SSH安全

若是有可能，第一件事就是修改ssh的默認端口22，改爲如20002這樣的較大端口會大幅提升安全係數，下降ssh破解登陸的可能性。

建立具有辨識度的應用用戶如crm以及系統管理用戶sysmgr

# useradd crm -d /apps/crm
# passwd crm

# useradd sysmgr
# passwd sysmgr

5.1 只容許wheel用戶組的用戶su切換

# usermod -G wheel sysmgr

# vi /etc/pam.d/su
# Uncomment the following line to require a user to be in the "wheel" group.
auth            required        pam_wheel.so use_uid

其餘用戶切換root，即便輸對密碼也會提示 su: incorrect password

5.2 登陸超時

用戶在線5分鐘無操做則超時斷開鏈接，在/etc/profile中添加：

export TMOUT=300
readonly TMOUT

5.3 禁止root直接遠程登陸

# vi /etc/ssh/sshd_config
PermitRootLogin no

5.4 限制登陸失敗次數並鎖定

在/etc/pam.d/login後添加

auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180

登陸失敗5次鎖定180秒，根據須要設置是否包括root。

5.5 登陸IP限制

（因爲要與某一固定IP或IP段綁定，暫未設置）
更嚴格的限制是在sshd_config中定死容許ssh的用戶和來源ip：

## allowed ssh users sysmgr
AllowUsers sysmgr@172.29.73.*

或者使用tcpwrapper:

vi /etc/hosts.deny
sshd:all
vi /etc/hosts.allow
sshd:172.29.73.23
sshd:172.29.73.

6. 配置只能使用密鑰文件登陸

使用密鑰文件代替普通的簡單密碼認證也會極大的提升安全性：

[dir@username ~]$ ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):   //默認路徑，回車
Enter passphrase (empty for no passphrase):     //輸入你的密鑰短語，登陸時使用
Enter same passphrase again: 
Your identification has been saved in /root/.ssh/id_rsa.
Your public key has been saved in /root/.ssh/id_rsa.pub.
The key fingerprint is:
3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64 root@ibpak.tp-link.net
The key's randomart image is:
+--[ RSA 2048]----+
|                 |
…
|      o++o..oo..o|
+-----------------+

將公鑰重命名爲authorized_key：

$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
$ chmod 600 ~/.ssh/authorized_keys

下載私鑰文件 id_rsa 到本地（爲了更加容易識別，可重命名爲hostname_username_id_rsa），保存到安全的地方。之後 username 用戶登陸這臺主機就必須使用這個私鑰，配合密碼短語來登陸（再也不使用 username 用戶自身的密碼）

另外還要修改/etc/ssh/sshd_config文件
打開註釋

RSAAuthentication yes
PubkeyAuthentication yes
AuthorizedKeysFile      .ssh/authorized_keys

咱們要求 username 用戶（能夠切換到其餘用戶，特別是root）必須使用ssh密鑰文件登陸，而其餘普通用戶能夠直接密碼登陸。所以還需在sshd_config文件最後加入：

Match User itsection
        PasswordAuthentication no

重啓sshd服務

# service sshd restart

另外提醒一句，這對公鑰和私鑰必定要單獨保存在另外的機器上，服務器上丟失公鑰或鏈接端丟失私鑰（或密鑰短語），可能致使再也沒法登錄服務器得到root權限！

7. 減小history命令記錄

執行過的歷史命令記錄越多，從必定程度上講會給維護帶來簡便，但一樣會伴隨安全問題

vi /etc/profile

找到 HISTSIZE=1000 改成 HISTSIZE=50。

或每次退出時清理history，history -c

8. 加強特殊文件權限

給下面的文件加上不可更改屬性，從而防止非受權用戶得到權限

chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services #給系統服務端口列表文件加鎖，防止未經許可的刪除或添加服務
chattr +i /etc/pam.d/su
chattr +i /etc/ssh/sshd_config

顯示文件的屬性

lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config

注意：執行以上 chattr 權限修改以後，就沒法添加刪除用戶了。

若是再要添加刪除用戶，須要先取消上面的設置，等用戶添加刪除完成以後，再執行上面的操做，例如取消只讀權限chattr -i /etc/passwd。（記得從新設置只讀）

9. 防止通常網絡攻擊

網絡攻擊不是幾行設置就能避免的，如下都只是些簡單的將可能性降到最低，增大攻擊的難度但並不能徹底阻止。

9.1 禁ping

阻止ping若是沒人能ping通您的系統，安全性天然增長了，能夠有效的防止ping洪水。爲此，能夠在/etc/rc.d/rc.local文件中增長以下一行：

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

或使用iptable禁ping：

iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP

不容許ping其餘主機：
iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP

9.2. 防止IP欺騙

編輯/etc/host.conf文件並增長以下幾行來防止IP欺騙攻擊。

order hosts,bind    #名稱解釋順序
multi on           #容許主機擁有多個IP地址
nospoof on         #禁止IP地址欺騙

9.3 防止DoS攻擊

對系統全部的用戶設置資源限制能夠防止DoS類型攻擊，如最大進程數和內存使用數量等。
能夠在/etc/security/limits.conf中添加以下幾行：

*    soft    core    0
*    soft    nproc   2048
*    hard    nproc   16384
*    soft    nofile 1024
*    hard    nofile  65536

core 0 表示禁止建立core文件；nproc 128 把最多的進程數限制到20；nofile 64 表示把一個用戶同時打開的最大文件數限制爲64；* 表示登陸到系統的全部用戶，不包括root

而後必須編輯/etc/pam.d/login文件檢查下面一行是否存在。

session    required     pam_limits.so

limits.conf參數的值須要根據具體狀況調整。

10. 修復已知安全漏洞

在linux上偶爾會爆出毀滅級的漏洞，如udev、heartbleed、shellshock、ghost等，若是服務器暴露在外網，必定及時修復。

11. 按期作日誌安全檢查

將日誌移動到專用的日誌服務器裏，這可避免入侵者輕易的改動本地日誌。下面是常見linux的默認日誌文件及其用處：

• /var/log/message – 記錄系統日誌或當前活動日誌。
• /var/log/auth.log – 身份認證日誌。
• /var/log/cron – Crond 日誌 (cron 任務).
• /var/log/maillog – 郵件服務器日誌。
• /var/log/secure – 認證日誌。
• /var/log/wtmp 歷史登陸、註銷、啓動、停機日誌和，lastb命令能夠查看登陸失敗的用戶
• /var/run/utmp 當前登陸的用戶信息日誌，w、who命令的信息便來源與此
• /var/log/yum.log Yum 日誌。

參考 深度解析CentOS經過日誌反查入侵。

11.1 安裝logwatch

Logwatch是使用 Perl 開發的一個日誌分析工具。可以對Linux 的日誌文件進行分析，並自動發送mail給相關處理人員，可定製需求。

Logwatch的mail功能是藉助宿主系統自帶的 mail server 發郵件的，因此係統需安裝mail server , 如sendmail,postfix,Qmail等

安裝和配置方法見博文 linux日誌監控logwatch。

12. web服務器安全

像apache或tomcat這樣的服務端程序在配置時，若是有安全問題存在能夠查閱文檔進行安全加固。往後有時間再補充到新的文章。

參考

• Top 20 OpenSSH Server Best Security Practices

---

原文連接地址：http://seanlook.com/2014/09/07/linux-security-general-settings/