Linux网关及安全应用总结.doc

第一章 系统安全常规优化一、 用户账号安全优化1、 基本安全措施删除系统中不使用的用户和组passwd -l zhangsan或 vi /etc/shadow（用户名前加！）userdel lp确认程序或服务用户的登录shell不可用vi /etc/passwdusermod s /sbin/nologin rpm限制用户的密码有效期（最大天数）vi /etc/login.defs (PASS_MAX_DAYS30)只对新建立的用户有效chage -M 30 zhangsan对已有用户有效指定用户在下次登录时必须修改密码Chage -d 0 zhangsan限制用户密码的最小长度vi /etc/pam.d/system-authpassword requisite pam_cracklib.so try_first_pass retry=3 minlen=12限制记录命令历史的条数HISTSIZE=100设置闲置超时自动注销终端vi /etc/profileexport TMOUT=6002、 使用su切换切换用户身份gpasswd -a zhangsan wheelvi /etc/pam.d/suauth required pam_wheel.so use_uid3、 使用sudo提升执行权限vi /etc/sudoers或 visudo用户主机名=（权限用户）NOPASSWD:命令列表lisilocalhost=/sbin/ifconfigjerrylocalhost= NOPASSWD:/sbin/ifconfig%wheelALL=(ALL)NOPASSWD:ALLzhangsanlocalhost=(lisi)NOPASSWD:ALL使用sudo执行命令（以jerry为例）sudo -lsudo /sbin/ifconfig eth0 二、 文件和文件系统安全优化1、 文件系统层次的安全优化合理规划系统分区建议部分分区为独立的分区/boot、/home、/var、/opt等通过挂载选项禁止执行set位程序、二进制程序vi /etc/fstab/dev/sdc1/varext3defaults,noexec1 2mount -o remount/var锁定不希望更改的系统文件chattr +i /etc/services /etc/passwd /boot/grub.conflsattr /etc/passwdchattr -i /etc/passwd2、 应用程序和服务关闭不需要的系统服务，如cupsd、bluetooth等禁止普通用户执行init.d目录中的脚本chmod -R o-rwx /etc/init.d或chmod -R 750 /etc/init.d/禁止普通用户执行控制台程序cd /etc/security/console.apps/tar jcpvf /etc/conheplpw.tar.bz2 poweroff halt reboot -remove去除程序文件中非必需的set-uid或set-gid附加权限find / -type f -perm +6000 /etc/sfilelistvi /usr/sbin/chksfile#!/bin/bashOLD_LIST=/etc/sfilelistfor i in find / -type f -perm +6000dogrep -F “$i” $OLD_LIST /dev/null $? -ne 0 & ls -lh $idonechmod 700 /usr/bin/chksfile三、 系统引导和登录安全优化1、开关机安全控制调整BIOS引导设置（只设置系统硬盘启动，并设置BIOS口令）防止用户Ctrl+Alt+Del热键重启系统（vi /etc/inittab）2、GRUB引导菜单加密vi /boot/grub/grub.conf添加password 123456(可通过grub-md5-crypt生成加密字串)Password -md5 加密字串3、终端及登录控制即时禁止普通用户登录：touch /etc/nologin控制服务器开放的tty终端vi /etc/inittab控制允许root用户登录的tty终端 vi /etc/securetty更改系统登录提示，隐藏内核版本信息 vi /etc/issue、vi /etc/使用pam_access认证控制用户登录地点禁止除了root以外的用户从tty1终端上登录系统vi /etc/pam.d/loginaccount required pam_access.sovi /etc/security/access.conf- : ALL EXCEPT root : tty1禁止root用户从/24、/16网络中远程登录vi /etc/pam.d/sshdaccount required pam_access.sovi /etc/security/access.conf- : root :/24 /8第二章 配置iptables防火墙（一）一、 netfilter/iptables1、规则表：filter：INPUT、OUTPUT、FORWARDnat：PREROUTING、POSTROUTING、OUTPUTmangle：PREROUTING、POSTROUTING、FORWARD、INPUT、OUTPUTraw：OUTPUT、PREROUTING2、 数据包过滤匹配流程规则表优先顺序：raw、mangle、nat、filter各规则间的优先顺序：按顺序匹配处理，有匹配项并处理后，不再继续查找（除LOG记录日志外），均不匹配，按默认规则处理二、 管理和设置iptables规则1、 iptables -t 表名 命令选项 链名 条件匹配 -j 目标动作或跳转iptables -t 表名 命令选项 链名 条件匹配 -j 目标动作或跳转-tfilter-A INPUT 通用条件匹配-jDROP-tnat-D OUTPUT-p icmp/tcp/udp-jACCEPT-tmangle-I FORWARD-s/8-jREJECT-traw-L PREROUTING-d0-jLOG-F POSTROUTING 隐含条件匹配-jSNAT-X-dport 22-jDNAT-N-sport20:1024-jREDIRECT-ntcp标记匹配-v-tcp-flags！SYN,RST,ACK SYN-VICMP类型匹配-h-icmp-typeEcho-Request-P-icmp-typeEcho-Reply-line-numbers-icmp-typedestination-Unreachable显式条件匹配-mmac -mac-source-m multiport -dport 20,21,25-m iprange -src-range 0-00-mstate -state NEW-mstate -state ESTABLISHED,RELATED-m limit -limit 3/minute -limit-burst 8 -j LOG2、 语法示例：iptables -L INPUT -line-numbersiptables -vnLiptables -D INPUT 2iptables -Fiptables -t nat -Fiptables -t mangle -Fiptables -t filter -P FORWARD DROPiptables -POUTPUTACCEPTiptables-picmp-hiptables-traw-NTCP_PACKETSiptables-traw-Xiptables-IINPUT-p-jREJECTiptables-AFORWARD-p! icmp-jACCEPTiptables-LFORWARDiptables-AFORWARD-s1-jREJECTiptables-AFORWARD-s.24-jACCEPTiptables-AINPUT-ieth1-s/16-jDROPiptables-IINPUT-s/8-jDROPiptables-AINPUT-ptcp-dport22-s/16-jACCEPTiptables-AINPUT-pINPUT-ptcp-dport20:1024-jACCEPTiptables-AFORWARD-s/24-pudp-dport53-jACCEPTiptables-AFORWARD-d/24-pudp-sport53-jACCEPTiptables-IINPUT-ieth1-ptcp-tcp-flagsSYN,RST,ACKSYN-jREJECTiptables-IINPUT-ieth1-ptcp-tcp-flags! SYN,RST,ACKSYN-jACCEPTiptables-AINPUT-picmp-icmp-typeEcho-Request-jDROPiptables-AINPUT-picmp-icmp-typeEcho-Reply-jACCEPTiptables-AINPUT-picmp-icmp-typedestination-Unreachable-jACCEPTiptables-AFORWARD-mmac-mac-source00:01:02:03:04:05-jDROPiptables-AINPUT-ptcp-mmultiport-dport20,21,25,110,1250:1280-jACCEPTiptables-AFORWARD-ptcp-mtcp-miprage-src-range 0-9 -jDROPiptables-AFORWARD-mstate -state NEW-ptcp! -syn-jDROPiptables-AINPUT-ptcp-mstate-stateNEW-jDROPiptables-AINPUT-ptcp-mstate-stateESTABLISHED,RELATED-jACCEPTiptables-IINPUT-ptcp-mmultiport-dport20,21,80-jACCEPTiptables-IINPUT-ptcp-mstate-stateESTABLISHED-jACCEPTiptables-IINPUT-ptcp-dport22-jDROPiptables-RINPUT1-ptcp-dport22-mlimit -limit3/minute-limit-burst8 -j LOG3、 导出、导入防火墙规则iptables-save /etc/sysconfig/iptablesiptables-restore /ec/sysconfig/iptables4、加载包过滤相关的内核模块iptables用到的大部分模块都可以在需要时动态载入内核，而有一小部分模块可能需要管理员手动加载/sbin/depmod-a/sbin/modeprobeip_tables/sbin/modeprobeip_conntrack/sbin/modeprobeiptable_filter/sbin/modeprobeiptables_nat/sbin/modeprobeiptable_mangle/sbin/modeprobeiptable_raw/sbin/modeprobeipt_REJECT/sbin/modeprobeipt_LOG/sbin/modeprobeipt_iprange/sbin/modeprobext_tcpudp/sbin/modeprobext_state/sbin/modeprobext_multiport/sbin/modeprobext_mac/sbin/modeprobext_limit/sbin/modeprobeip_nat_ftp/sbin/modeprobeip_nat_irc/sbin/modeprobeip_conntrack_ftp/sbin/modeprobeip_conntrack_irc第三章配置iptables防火墙（二）一、SNAT策略iptables-t nat -A POSTROUTING -s /24 -oeth1-j SNAT -to-source 1 或iptables-t nat -A POSTROUTING -s /24 o eth1 -j MASQUERADE二、DNAT策略iptables -t nat -A PREROUTING -i eth0 -d 1 -p tcp -djport 80 -j DNAT -to-destination iptables -t nat -A PREROUTING -i eth1 -s /24 -d 1 -p tcp -dport 2222-j DNAT -to-destination ：22三、使用Layer7应用层过滤功能1、重新编译安装Linux内核tar zxvf netfilter-layer7-v2.21.tar.gz -C /usr/src/tar jxvf linux-.tar.bz2 -C /usr/src/cd /usr/src/linux-patch -p1 ./netfilter-layer-v2.21/kernel-2.6.25-2.6.28-layer7-2.21.patchcp /boot/config-2.6.18-18.el5 .conffigmake menuconfig选择相关模块，保存退出2、重新编译安装iptables并安装l7-protocols协议包rpm -e iptables-ipv6 iptables iptstate -nodepstar -jxvf iptables-1.4.2.tar.bz2 -C /usr/srccd /usr/src/iptables-1.4.2/cp /usr/src/netfilter-layer7-v2.21/iptables--for-kernel-2.6.20forward/libxt_layer7.* extensions/./configure -prefix=/ -with-ksource=/usr/src/linux-make & make installtar zxvf l7-protocols-2009-05-10.tar.gz -C /usr/srccd l7-protocols-2009-05-10make install3、使用iptables设置应用层过滤规则iptables -A FORWARD -m layer7 -l7proto qq -j DROPiptables -A FORWARD -p