Linux网关及安全应用.doc

Linux网关及安全应用系统安全常规化1.禁用账户 # passwd -l zhangsan (禁用) # passwd -u zhangsan (解锁账户) 禁用的账户/etc/shadow文件中密码占位符为！号 另一种禁用账户的方法是直接修改账户/etc/shadow文件，在密码占位符位置添加！，然后保存，注意：通过修改shadow文件的账户，通过命令是不能解锁的2.确认程序或服务器的用户的登录Shell将不可用 （1）将不需要使用终端登录的账户的Shell环境通过修改/etc/passwd文件为:/sbin/nologin （2）通过命令模式：usermod -s /sbin/nologin3.限制的用户的密码有效期（最大天数） # Vim /etc/login.defs PASS_MAX_DAYS 30 （其中9999表示永不过期） 通过命令：# chage -M 30 zhangsan 指定用户下次登录时必须更改密码：# chage -d 0 zhangsan 或者将用户shadow文件中冒号分割的第三列设为04.限制用户密码的最小长度 通过PAM （可插拔认证模块）机制修改密码最小长度# Vim /etc/pam.d/system-auth password required pam_cracklib.so try_first_pass retry=3 minlen=125.限制记录命令历史条数 # vim /etc/profile HISTSIZE=1006.设置用户闲置超时自动注销终端 # vim /etc/profile export TMOUT=6007.用户自动注销后自动删除历史命令 编辑用户的宿主目录，在隐藏文件中.bash_logout中添加history -C 即可8.使用su切换用户的身份 # su - 用户名 打开一个新的Shell环境，# su 用户名表示使用目标主机的Shell环境。其实也可以借助于pam_wheel模块来控制允许使用su的账户，pam_wheel模块默认提供了一个用户组wheel用户使用su功能，只将授权的用户加入到wheel组即可，具体的步骤如下： # gpasswd -a zhangsan wheel # vim /etc/pam.d/su 去掉 auth required pam_wheel.so use_uid 注释行即可9.使用sudo 提升用户的权限 sudo命令提供了一种机制，只需要预先在/etc/sudoers配置文件中进行授权即可，就可以允许特定的用户以管理员的身份执行命令，而该用户并不需要知道管理员的密码 授权用户Mike可以以root权限去执行ifconfig命令 # visudo Mike localhost=/sbin/ifconfig （localhost就是通过hostname查到的主机名） /etc/sudoers文件配置中的用户，主机，命令三个部分均可以自定义别名进行代替格式： User_Alias OPERATORS=mike, tom, zhangsan Host_Alias MAILSERVER=smtp,pop Cmnd_Alias SOFTWARE=/bin/rpm, /usr/bin/yum 通过别名一组命令，并授权Tom可以使用该组命令 Cmnd_Alias SYSVCTRY=/sbin/service, /bin/kill, /bin/killall tom localhost=SYSVCTRL 默认/etc/sudoers文件权限为440，通常使用专门的visudo命令进行编辑，如果直接使用Vim编辑，保存时使用w！保存 否则显示为只读文件 授权wheel组的用户不要需要密码验证即可执行所有命令 %wheel ALL=(ALL) NOPASSWD：ALL10.授权用户Mike可以通过sudo调用/sbin/和/usr/bin/目录下的所有命令。但是禁止调用/sbin/ifconfig命令修改eht0网卡参数，禁止调用/usr/bin/vim命令 Mike localhost=/sbin/*, /usr/bin/*,!/sbin/ifconfig eth0, !/usr/bin/vim 为sudo启用日志功能，并将记录写入到/var/log/sudo 查找Defaults 并在前面添加一行内容，Default logfile = /var/log/sudo 修改系统日志配置文件，并添加# /var/etc/syslog.conf local2.debug /var/log/sudo service syslog restart重新运行syslog系统服务文件系统层次的安全优化1. 合理规划系统分区 （1）/boot：该目录中包含系统内核，Grub程序等关键性的引导文件 （2）/home 该目录只用户默认宿主目录所在的上一级文件夹，如服务器的数量较多，通常无法预知每个用户所有磁盘空间大小 （3）/var/通常用于保存用户的系统日志，运行状态文件，用户的邮箱目录文件读写频繁 （4）用户安装服务器的附加应用程序及其他可选工具，方便扩展使用2. 通过挂载选项禁止执行set位权限，二进制文件 # Vim /etc/fstab /dev/sdc1 /var ext3 defaults, noexec 1 2 # mount -o remount /var noexec 选项可用于禁止直接执行分区中的程序文件，这样即使在该分区中设置了恶意程序或病毒代码也无法自动运行 nosuid 选项可用于从文件系统层面禁止文件的suid或者sgid为权限，这样即使程序设置了set-uid位，也不会发生作用，为挂载分区启用nosuid选项，只需要将上列中的noexec改为nosuid即可3.锁定不希望更改的系统文件 Linux系统的ext2,ext3日志文件中，可以使用chattr命令对文件的属性进行修改，添加+i属性后，文件将不能被修改（immutable），也无法删除，冲命名或者建立硬链接，若添加+a属性，则文件只能以追加的（apend）方式只能以追加的方式添加内容，即使使用重定向方式追加应用程序和服务1.关闭不必要的进程服务 如果不需要在服务器上使用打印机，可以关闭cupsd服务，如果没有使用蓝牙设备，可以关闭Bluetooth服务，如果不需要启动计划任务，可以关闭crond服务，如果不需要提供web应用，可以关闭httpd服务，如果不需要使用yun自动更新，可以关闭yum-updatesd服务2.禁止普通用户执行init.d目录中的脚本 # chmod -R o-rwx /etc/init.d/ 或者 # chmod -R 750 /etc/init.d/3.禁止普通用户执行控制台程序 # cd /etc/security/console.apps # tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot -remove4.去除程序文件中非必要的set-uid或set-gid附加权限5.开关机安全控制 （1）调整BIOS设置，安全级别为setup （2）防止用户通过ctrl+alt+del热键重新，其配置文件在/etc/init.d文件中注释掉inittab文件中的ctrlaltdel行 # Vim /etc/inittab 注释掉inittab文件中的ctrlaltdel行 # init q (是上述命令生效)6.Grub引导菜单加密 在grub.conf文件中设置明文密码 # Vim /boot/grub/grub.conf password 123.com（进入Grub菜单时要的密码） title Red Hat Enterprise Linux Server (2.6.18-8.e15) password 123.com (进入系统时要密码) root (hd0,0) .7.在grub.conf中也可以设置MD5加密的密码字符串 # grub-md5-crypt 然后输入你要加密的密码，生成后可以将其拷贝到其配置文件中，实现密码加密终端及登陆控制1.即时禁止普通用户登录 当服务器正在进行备份或者调试等维护工作时，可能不希望再有其他的用户登录到服务器，这时候只需要简单的建立/etc/nologin文件即可，login程序会检查/etc/nologin文件知否存在，如果存在则拒绝普通用户登录系统，删除该文件或重启即可生效 # touch /etc/nologin2.控制服务器开放的TTY终端 如果需要禁用多余的TTY终端，可以修改/etc/init.d文件，并将对应的行注释掉即可，然后执行init q使其生效3.控制允许root用户登录的TTY终端 # Vim /etc/securetty (禁止root用户从TTY2到TTY3登录) 打开文件后将其相应的行注释掉4.更改系统提示，隐藏内核版本号# vim /etc/issue (更改系统提示) # cp -f /etc/issue /etc/(网络的) (隐藏版本号)5.使用pam_access认证控制用户的登录地点 pam_access认证读取/etc/security.access.conf配置文件，该文件依次有权限，用户，来源三部分组成，使用冒号隔开 权限 ： + - 分别表示允许，拒绝 用户： 多个用户名使用空格隔开，若为一个组，使用benet表示。ALL表示所有用户 来源：表示从哪个终端登录主机，可以使