Linux安全加固Linux服务器的绝招.doc

众所周知，网络安全是一个非常重要的课题，而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器，作为一种开放源代码操作系统，一旦Linux系统中发现有安全漏洞，Internet上来自世界各地的志愿者会踊跃修补它。然而，系统管理员往往不能及时地得到信息并进行更正，这就给黑客以可乘之机。然而，相对于这些系统本身的安全漏洞，更多的安全问题是由不当的配置造成的，可以通过适当的配置来防止。服务器上运行的服务越多，不当的配置出现的机会也就越多，出现安全问题的可能性就越大。对此，本文将介绍一些增强Linux/Unix服务器系统安全性的知识。系统安全记录文件操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果你的系统是直接连到Internet，你发现有很多人对你的系统做Telnet/FTP登录尝试，可以运行“#more /var/log/secure greprefused”来检查系统所受到的攻击，以便采取相应的对策，如使用SSH来替换Telnet/rlogin等。启动和登录安全性1. BIOS安全设置BIOS密码且修改引导次序禁止从软盘启动系统。2.用户口令用户口令是Linux安全的一个基本起点，很多人使用的用户口令过于简单，这等于给侵入者敞开了大门，虽然从理论上说，只要有足够的时间和资源可以利用，就没有不能破解的用户口令。但选取得当的口令是难于破解的，较好的用户口令是那些只有他自己容易记得并理解的一串字符，并且绝对不要在任何地方写出来。3.默认账号应该禁止所有默认的被操作系统本身启动的并且不必要的账号，当你第一次安装系统时就应该这么做，Linux提供了很多默认账号，而账号越多，系统就越容易受到攻击。可以用下面的命令删除账号。# userdel用户名或者用以下的命令删除组用户账号。# groupdel username4.口令文件chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。# chattr +i /etc/passwd# chattr +i /etc/shadow# chattr +i /etc/group# chattr +i /etc/gshadow5.禁止Ctrl+Alt+Delete重新启动机器命令修改/etc/inittab文件，将“ca：ctrlaltdel：/sbin/shutdown -t3 -r now”一行注释掉。然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限，运行如下命令：# chmod -R 700 /etc/rc.d/init.d/*这样便仅有root可以读、写或执行上述所有脚本文件。6.限制su命令如果你不想任何人能够用su作为root，可以编辑/etc/pam.d/su文件，增加如下两行：auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=isd这时，仅isd组的用户可以用su作为root.此后，如果你希望用户admin能够用su作为root，可以运行如下命令# usermod -G10 admin7.删减登录信息默认情况下，登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。# This will overwrite /etc/issue at every boot. So，make any changes you# want to make to /etc/issue here or you will lose them when you reboot# echo /etc/issue# echo /etc/issue# echo Kernel 100 100uname -r) on 100 100uname -m)/etc/issue# cp -f /etc/issue /etc/# echo/etc/issue然后，进行如下操作：# rm -f /etc/issue# rm -f /etc/# touch /etc/issue# touch /etc/限制网络访问1.NFS访问如果你使用NFS网络文件系统服务，应该确保你的/etc/exports具有最严格的访问权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。/dir/to/export (ro，root_squash)/dir/to/export (ro，root_squash)/dir/to/export是你想输出的目录，是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命令。# /usr/sbin/exportfs -a2.Inetd设置首先要确认/etc/inetd.conf的所有者是root，且文件权限设置为600.设置完成后，可以使用“stat”命令进行检查。# chmod 600 /etc/inetd.conf然后，编辑/etc/inetd.conf禁止以下服务。ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth如果你安装了ssh/scp，也可以禁止掉Telnet/FTP.为了使改变生效，运行如下命令：#killall -HUP inetd默认情况下，多数Linux系统允许所有的请求，而用TCP_WRAPPERS增强系统安全性是举手之劳，你可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。例如，将/etc/hosts.deny设为“ALL：ALL”可以默认拒绝所有访问。然后在/etc/hosts.allow文件中添加允许的访问。例如，“sshd：0/”表示允许IP地址0和主机名允许通过SSH连接。配置完成后，可以用tcpdchk检查：# tcpdchktcpchk是TCP_Wrapper配置检查工具，它检查你的tcp wrapper配置并报告所有发现的潜在/存在的问题。3.登录终端设置/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，其格式是一个被允许的名字列表，你可以编辑/etc/securetty且注释掉如下的行。#tty1# tty2# tty3# tty4# tty5# tty6这时，root仅可在tty1终端登录。4.避免显示系统和版本信息如果你希望远程登录用户看不到系统和版本信息，可以通过以下操作改变/etc/inetd.conf文件：telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h加-h表示telnet不显示系统信息，而仅仅显示“login：”。防止攻击1.阻止ping如果没人能ping通你的系统，安全性自然增加了。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all2.防止IP欺骗编辑host.conf文件并增加如下几行来防止IP欺骗攻击。order bind，hostsmulti offnospoof on3.防止DoS攻击对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如，可以在/etc/security/limits.conf中添加如下几行：* hard core 0* hard rss 5000* hard nproc 20然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。session required /lib/security/pam_limits.so上面的命令禁止调试文件，限制进程数为50并且限制内存使用为5MB.经过以上的设置，你的Linux服务器已经可以对绝大多数已知的安全问题和网络攻击具有免疫能力，但一名优秀的系统管理员仍然要时刻注意网络安全动态，随时对已经暴露出的和潜在的安全漏洞进行修补。Linux 的系统不容忽视.然而系统加固又不是一件很容易的事.本文作者简单介绍了一下 Linux 系统深度加固. Linux 系统深度安全加固 author : ayazero Personal web - Teams site - 注：以下内容可能不适用于某些场合，请对号入座 1. 安装和升级 尽量选用最新的 Linux 发行版本，安装前拔掉网线，断开物理连接，安装时建议用 custom 自定义方式安装软件包，数量以少为好，一般来说没有必要安装 X-windows，在 lilo/grub 引导器中加入口令限制，防止能够物理接触的恶意用户因为 Linux 安装光盘的 rescue 模式可以跳过这个限制，所以还要给bios加上密码或机箱上锁 /var， /home， /usr， /root 等目录用独立的物理分区，防止垃圾数据和日志填满硬盘而导致 D.o.S 攻击. root 账号给予强壮的口令. 安装完毕立即用 up2date 或 apt 升级系统软件，有时升级内核也是必要的，因为内核出现问题同样会给攻击者提供机会Apt 是 Debian GNU Linux 下的一个强大的包管理工具，也可用于其他版本的 Linux. 2. 账号 如果系统中的用户比较多，可以编辑 /etc/login.defs，更改密码策略 删除系统中不必要帐户和组， rootayazero /# userdel -r username 如果不开匿名 ftp 则可以把 ftp 账号也删了 最安全的方式是本地维护，可惜不太现实，但还是需要限制 root 的远程访问，管理员可以用普通账户远程登录，然后 su 到 root，我们可以把使用 su 的用户加到 wheel 组来提高安全性 在 /etc/pam.d/su 文件的头部加入下面两行： auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel 然后把可以执行 su 的用户放入 wheel 组 rootayazero /# usermod -G10 admin 编辑 /etc/securetty，注释掉所有允许 root 远程登录的控制台，然后禁止使用所有的控制台程序，rootayazero /# rm -f /etc/security/console.apps/servicename 登录采用加密的 ssh，如果管理员只从固定的终端登陆，还应限制合法 ssh 客户端的范围防止嗅探及中间人攻击 将命令历史纪录归为零，尽可能的隐藏你做过的事情 rootayazero /# unset HISTFILESIZE 3. 服务 最少服务原则，凡是不需要的服务一律注释掉 在 /etc/inetd.conf 中不需要的服务前加 #，较高版本中已经没有 inetd 而换成了 Xinetd;取消开机自动运行服务，把 /etc/rc.d/rc3.d 下不需要运行的服务第一个字母大写改称小写，或者由 setup 命令启动的 GUI 界面中的 service 更改 如果你希望简单一点，可以使用 /etc/host.allow，/etc/host.deny 这两个文件，但是本文计划用 iptables ，所以不在此详述. 4. 文件系统权限 找出系统中所有含 s 位的程序，把不必要得 s 位去掉，或者把根本不用的直接删除 rootayazero /# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg rootayazero /# chmod a-s filename 防止用户滥用及提升权限的可能性 把重要文件加上不可改变属性 rootayazero /# chattr +i /etc/passwd rootayazero /# chattr +i /etc/shadow rootayazero /# chattr +i /etc/gshadow rootayazero /# chattr +i /etc/group rootayazero /# chattr +i /etc/inetd.conf rootayazero /# chattr +i /etc/httpd.conf . 具体视需要而定，我怀疑现在的入侵者都知道这个命令，有些 exploit 溢出后往 inetd.conf 写一条语句绑定 shell 在一个端口监听，此时这条命令就起了作用，浅薄的入侵者会以为溢出不成功. 找出系统中没有属主的文件: rootayazero /# find / -nouser -o -nogroup 找出任何人都有写权限的文件和目录: rootayazero /# find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg rootayazero /# find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg 防止入侵者向其中写入木马语句(诸如一个shell的拷贝)或继承属主权限而非法访问 找出并加固那些历来被入侵者利用的文件，比如 .rhosts 编辑 /etc/security/limits.conf，加入或改变如下行: * hard core 0 * hard rss 5000 * hard nproc 20 5. Banner 伪装 入侵者通常通过操作系统，服务及应用程序版本来攻击，漏洞列表和攻击程序也是按此来分类，所以我们有必要作点手脚来加大入侵的难度 更改 /etc/issue，因为 reboot 后重新加载，所以编辑 /ect/rc.d/rc.local # This will overwrite /etc/issue at every boot. So， make any changes you # want to make to /etc/issue here or you will lose them when you reboot. #echo /etc/issue #echo $R /etc/issue #echo Kernel $(uname -r) on $a $(uname -m) /etc/issue # #cp -f /etc/issue /etc/ #echo /etc/issue 把以上行前的 # 去掉 Apache 不回显版本： apache 的配置文件，找到 ServerTokens 和 ServerSignature 两个 directive，修改默认属性： #ServerTokens Full ServerTokens Prod - #ServerSignature On ServerSignature Off - 修改 uname 拿出 uname.c 的源码，找到如下行 print_element (PRINT_SYSNAME， name.sysname);/操作系统名如 print_element (PRINT_NODENAME， name.nodename);/主机名 print_element (PRINT_RELEASE， name.release);/发行版本，如：2.4.20-18 print_element (PRINT_VERSION， name.version);/ print_element (PRINT_MACHINE， name.machine);/机器类型，如i686 print_element (PRINT_PROCESSOR， processor);/处理器类型 可以修改为 print_element (PRINT_SYSNAME，HP-UX); . 编译后替换 /bin/uname 其他服务及程序的修改可以查看其配置文件或者源码不要改太多，否则会给系统管理带来大麻烦。 6. Iptales 规则 假设我们的服务器 server1 运行 apache，sshd (sshd 可以不运行在标准端口，配置文件中能修改)eth0 网卡接 Internet，eth1 连接 LAN，管理员在家中拨号登陆到 server2 (其私用网络 IP 为 2)，再登陆 server1roorayazero root# iptables -A INPUT -i eth1 -s 2 -p tcp -dport 22 -j ACCEPT为防止 IP spoofing 的可能，还可以绑定 server2 的网卡地址：sh-2.05b# iptables -A INPUT -i eth1 -s 2 -mac-source 01:68:4B:91:CC:B7 -p tcp -dport 22 -j ACCEPT不过好像也很少有入侵者能够做到这种地步，而且没什么利用的价值 rootayazero root# iptables -A INPUT -i eth0 -p tcp -dport 80 -j ACCEPT rootayazero root# iptables -A INPUT -m state -state ESTABLISHED，RELATED -j ACCEPT rootayazero root# iptables -A INPUT -j DROP 对攻击有所了解的人都知道“端口重定向+反向管道”的美妙结合来穿越防火墙的例子吧这种技巧已经运用太广，而危害很大为了对抗这种难以防御的攻击，我们必须以牺牲一定的易用性为代价 rootayazero