15步战略轻松提升Linux服务器安全水平

很多人认为Linux天然安全——这显然是种荒谬的误解。想象一下，如果我们的笔记本设备未经安全保护且被他人盗取，那么对方往往能够轻松猜到我们的用户名为“root”而密码为“toor”——因为这是大多数人都在无脑使用的默认组合。如果是这样，Linux的安全性体现在哪里?

创新互联是一家专业提供新抚企业网站建设,专注与成都做网站、成都网站建设、H5技术、小程序制作等业务。10年已为新抚众多企业、政府机构等服务。创新互联专业网络公司优惠进行中。

为了避免上述问题的出现，我们将通过本篇文章共享15项重要心得，帮助大家在多种Linux发行版当中利用其中的通用逻辑实现安全性强化。

1-记录主机信息

在进行系统保护之前，我们首先需要创建一份文档，其中包含全部待检查条目。另外，在文档开头，大家还需要包含以下Linux主机信息：

设备名称
IP地址
Mac地址
实施安全强化工作的人员姓名
日期
资产编号(如果在企业当中，则需要包含用于标记主机的资产编号)

2-BIOS保护

需要利用密码保护主机BIOS，避免最终用户变更或者覆盖其中的安全设定。每一家计算机制造商都会提供不同的BIOS模式进入方式，接下来则是设定理想的管理密码。

之后，大家需要禁用外部介质启动(USB/CD/DVD)。如果不变更此配置，那么任何人都能够利用U盘启动系统并访问其中的数据。

最新的服务器主板内包含一套内部Web服务器，大家可以对其进行远程访问。确保变更管理页面中的默认密码或者在可行时加以禁用。

3-硬盘加密(保密)

大多数Linux发行版允许大家在安装前对磁盘进行加密。磁盘加密非常重要，特别是考虑到设备失窃这种可能性的存在。

如下图所示，大家可以从列表中选择第三个选项：Guided-use entire disk and set up encrypted LVM(LVM代表逻辑分卷管理器)。

如果您的Linux发行版不支持加密，则可选择TrueCrypt等软件方案。

4-磁盘保护(可用性)

备份对于系统受损以及系统更新bug等问题拥有良好的解决效果。对于重要服务器，我们可以考虑将备份数据传输至异地以实现灾难恢复。在设计备份方案时，大家需要考虑几项重要问题，包括旧备份需要保留多久、何时需要进行系统备份(每天一次抑或每周一次)等。

关键性系统应分为多个不同分区：

 
 
 
 
  
  
  
  /
  
  
  
  /boot
  
  
  
  /usr
  
  
  
  /home
  
  
  
  /tmp
  
  
  
  /var
  
  
  
  /opt

磁盘分区允许大家在遭遇系统错误时保持其性能与安全性。如下图所示，大家可以看到该选项如何在Kali Linux的安装过程中进行分区划分。

5-锁定引导目录

引导目录中包含有与Linux内核密切相关的重要文件，因此大家需要确保此目录被锁定为只读模式。首先，打开“fstab”文件。

此后，在末尾添加最后的高亮行。

完成文件编辑后，大家需要执行以下命令设定其拥有者：

 
 
 
 
  
  
  
  #chown root:root /etc/fstab

此后，我设置了几项权限用以保护引导设置：

将拥有者与/etc/grub.conf组设定为root用户：

 
 
 
 
  
  
  
  #chown root:root /etc/grub.conf

在/etc/grub.conf文件上将权限设定为仅root可读写：

 
 
 
 
  
  
  
  #chmod og-rwx /etc/grub.conf

单用户模式要求使用验证：

 
 
 
 
  
  
  
  #sed -i "/SINGLE/s/sushell/sulogin/" /etc/sysconfig/init
  
  
  
  #sed -i "/PROMPT/s/yes/no/" /etc/sysconfig/init

6-禁用USB

某些高重要度系统需要禁用U盘使用。我们可以通过多种方式拒绝U盘存储介质的接入，以下介绍一种较为普遍的作法：

利用文本编辑器打开 “blacklist.conf” 文件:

 
 
 
 
  
  
  
  #nano /etc/modprobe.d/blacklist.conf

打开后，将以下行添加至文件内容末尾(而后保存并退出):

 
 
 
 
  
  
  
  blacklist usb_storage

此后，打开rc.local文件:

 
 
 
 
  
  
  
  #nano /etc/rc.local

最后，添加以下两行：

 
 
 
 
  
  
  
  modprobe -r usb_storage 
  
  
  
  exit 0

7-系统更新

在首次引导完成后，我们必须马上进行系统更新。总体来讲，大家只需要打开终端窗口并执行对应命令即可。在Kali Linux中，大家可以执行如下图所示的命令：

8-检查已安装软件包

列出Linux系统中已经安装的全部软件包，并将其中不必要的部分移除。大家需要以严格的方式进行筛选，这对于Linux服务器的安全保障非常重要。下面来看如何在Kali Linux中列出全部已有软件包：

请注意，禁用不必要的服务能够有效削减攻击面，因此如果大家在自己的Linux服务器中找到了以下服务，请马上将其移除：

Telnet server
RSH server
NIS server
TFTP server
TALK server

9-检查开放端口

正确识别指向互联网的开放端口非常重要。在Kali Linux中，可使用以下命令以找到任意隐藏的开放端口：

10-保护SSH

是的，SSH确实很安全，但大家仍然需要对其加以保护。首先，如果大家能够禁用SSH，那这本身就是个问题。另外，如果要切实加以使用，大家还需要调整SSH的默认配置。前往/etc/ssh并打开sshd_config文件。

将默认端口数22变更为其它，例如99。
确保root无法通过SSH进行远程登录：

 
 
 
 
  
  
  
  PermitRootLogin no

允许部分特定用户接入：

 
 
 
 
  
  
  
  AllowUsers [username]

当然，需要调整的内容远不止如此。例如，某些企业会添加屏蔽机制以避免攻击者的进一步深入。我建议大家查看SSH手册以了解此文件中全部配置的含义。

以下为大家需要确保sshd_config文件中存在的部分其它选项：

Protocol2
IgnoreRhosts to yes
HostbasedAuthentication no
PermitEmptyPasswords no
X11Forwarding no
MaxAuthTries 5
Ciphers aes128-ctr,aes192-ctr,aes256-ctr
ClientAliveInterval 900
ClientAliveCountMax 0
UsePAM yes

最后，在sshd_config上设置权限以确保只有root用户能够对其内容进行变更：

 
 
 
 
  
  
  
  #chown root:root /etc/ssh/sshd_config 
  
  
  
  #chmod 600 /etc/ssh/sshd_config

11- 启用SELinux

安全强化Linux，即SELinux，是一项内核安全保护机制，用于支持访问控制安全策略。SELinux拥有以下三种配置模式：

Disabled: 关闭
Permissive: 输出警告
Enforcing: 执行策略

使用文本编辑器打开config文件：

 
 
 
 
  
  
  
  #nano /etc/selinux/config

确保其中的策略得到执行：

 
 
 
 
  
  
  
  SELINUX=enforcing

12- 网络参数

保护Linux主机网络活动同样非常重要。不要假定防火墙能够搞定一切问题。下面来看在保护主机网络时需要认真考虑的几项核心问题：

- 禁用IP转发：在“/etc/sysctl.conf”中将net.ipv4.ip_forward参数设定为0。

- 禁用发送包重新定向：在“/etc/sysctl.conf”中将net.ipv4.conf.all.send_redirects与net.ipv4.conf.default.send_redirects参数设定为0。

- 禁用ICMP重新定向接受：在“/etc/sysctl.conf”中net.ipv4.conf.all.accept_redirects将与net.ipv4.conf.default.accept_redirects参数设定为0。

- 启用恶性错误消息保护：在“/etc/sysctl.conf”中将net.ipv4.icmp_ignore_bogus_error_responses参数设定为1。

我强烈建议大家在Linux防火墙中应用iptable规则并过滤全部输入、输出以及转发数据包。配置适合自身需求的iptable需要耗费一定时间，但这一切都是值得的。

13- 密码策略

人们常常会重复使用密码，而这显然是一种糟糕的安全实践。原有密码会被存储在/etc/security/opasswd文件当中。我们将利用PAM模块以管理Linux主机的安全策略。在debian发行版中，打开/etc/pam.d/common-password文件并添加以下两行：

 
 
 
 
  
  
  
  auth sufficient pam_unix.so likeauth nullok
  
  
  
  password sufficient pam_unix.so remember=4 (意味着用户无法重复使用以往使用过的最后四条密码。)

另一项需要强制执行的策略为强密码要求。PAM模块提供的pam_cracklib能够保护服务器免受词典及暴力破解攻击的危害。要完成这项任务，打开/etc/pam.d/system-auth文件并添加以下行：

 
 
 
 
  
  
  
  /lib/security/$ISA/pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-2 dcredit=-2 ocredit=-1

Linux会对密码进行散列处理，以避免其被保存为明文形式。因此，我们需要确保将安全密码定义中的散列算法设定为SHA512。

另一项有趣的功能是在五次失败尝试后锁定该账户。要实现这一效果，大家需要打开/etc/pam.d/password-auth文件并添加以下行：

 
 
 
 
  
  
  
  auth required pam_env.so 
  
  
  
  auth required pam_faillock.so preauth audit silent deny=5 unlock_time=604800 
  
  
  
  auth [success=1 default=bad] pam_unix.so 
  
  
  
  auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=604800 
  
  
  
  auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=604800 
  
  
  
  auth required pam_deny.so

到这里还没有完成，我们还需要额外一项步骤。打开/etc/pam.d/system-auth文件并确保添加以下内容：

 
 
 
 
  
  
  
  auth required pam_env.so 
  
  
  
  auth required pam_faillock.so preauth audit silent deny=5 unlock_time=604800 
  
  
  
  auth [success=1 default=bad] pam_unix.so 
  
  
  
  auth [default=die] pam_faillock.so authfail audit deny=5 unlock_time=604800 
  
  
  
  auth sufficient pam_faillock.so authsucc audit deny=5 unlock_time=604800 
  
  
  
  auth required pam_deny.so

在五次失败尝试后，只有管理员能够使用以下命令解锁该账户：

 
 
 
 
  
  
  
  # /usr/sbin/faillock --user  --reset

另外，我们也可以为密码设置为期90天的过期时长：

在“/etc/login.defs”中将PASS_MAX_DAYS参数设定为90
执行以下命令以变更活动用户：

 
 
 
 
  
  
  
  #chage --maxdays 90

下面这项提示用于强化密码策略，即在/etc/pam.d/su文件内设置参数以限制指向su命令的访问：

 
 
 
 
  
  
  
  auth required pam_wheel.so use_uid

最后一项密码策略相关提示在于面向非root用户禁用系统账户，具体请使用以下脚本：

 
 
 
 
  
  
  
  #!/bin/bash 
  
  
  
  for user in `awk -F: '($3 < 500) {print $1 }' /etc/passwd`; do 
  
  
  
  if [ $user != "root" ] 
  
  
  
  then 
  
  
  
  /usr/sbin/usermod -L $user 
  
  
  
  if [ $user != "sync" ] && [ $user != "shutdown" ] && [ $user != "halt" ] 
  
  
  
  then /usr/sbin/usermod -s /sbin/nologin $user 
  
  
  
  fi 
  
  
  
  fi 
  
  
  
  done

14-权限与验证

请保持耐心，因为以下列表内容较长。不过权限正是实现Linux主机安全保护目标的一大重要因素，因此值得我们多花点时间与精力。

执行以下命令以在/etc/anacrontab、/etc/crontab与/etc/cron.*上设定用户/组拥有者及权限：

 
 
 
 
  
  
  
  #chown root:root /etc/anacrontab 
  
  
  
  #chmod og-rwx /etc/anacrontab 
  
  
  
  #chown root:root /etc/crontab 
  
  
  
  #chmod og-rwx /etc/crontab 
  
  
  
  #chown root:root /etc/cron.hourly 
  
  
  
  #chmod og-rwx /etc/cron.hourly 
  
  
  
  #chown root:root /etc/cron.daily 
  
  
  
  #chmod og-rwx /etc/cron.daily 
  
  
  
  #chown root:root /etc/cron.weekly 
  
  
  
  #chmod og-rwx /etc/cron.weekly 
  
  
  
  #chown root:root /etc/cron.monthly 
  
  
  
  #chmod og-rwx /etc/cron.monthly 
  
  
  
  #chown root:root /etc/cron.d 
  
  
  
  #chmod og-rwx /etc/cron.d

在/var/spool/cron上为root crontab设定权利与权限：

 
 
 
 
  
  
  
  #chown root:root  
  
  
  
  #chmod og-rwx

在passwd文件上设置用户/组拥有者与权限：

 
 
 
 
  
  
  
  #chmod 644 /etc/passwd
  
  
  
  #chown root:root /etc/passwd

在group文件上设置用户/组拥有者与权限：

 
 
 
 
  
  
  
  #chmod 644 /etc/group 
  
  
  
  #chown root:root /etc/group

在shadow文件上设置用户/组拥有者与权限：

 
 
 
 
  
  
  
  #chmod 600 /etc/shadow 
  
  
  
  #chown root:root /etc/shadow

在gshadow文件上设置用户/组拥有者与权限：

 
 
 
 
  
  
  
  #chmod 600 /etc/gshadow 
  
  
  
  #chown root:root /etc/gshadow

15-其它安全强行举措

作为最后一项建议，我将与大家分享其它几项重要选项。

首先，限制核心转储：

向“/etc/security/limits.conf”文件添加hard core 0。
向“/etc/sysctl.conf”文件添加fs.suid_dumpable = 0。

第二，配置Exec Shield：

向“/etc/sysctl.conf”文件添加kernel.exec-shield = 1。

第三，启用随机虚拟内存区域放置：

向“/etc/sysctl.conf”文件添加kernel.randomize_va_space = 2。

当前题目：15步战略轻松提升Linux服务器安全水平
网站URL：http://www.gawzjz.com/qtweb/news23/202973.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源：创新互联

猜你还喜欢下面的内容