安装一台安全的Linu_.ppt

安装一台安全的Linux 何伟平hwtony xmubbs Linux的优点 Linux花费小 硬件要求低开放源码相对安全 Linux的缺点 学习成本高缺少技术支持特定服务无法满足要求 选择依据 根据应用选择操作系统利用linux为老机器延长寿命 安全概述 防范谁 天灾 病毒 人 需要什么样的措施授予最小的权限 安装要点 避免连接网络慎重规划文件系统仅安装必要程序 规划文件系统 选用日志文件系统独立 var home boot独立 usr tmp 安装最小的操作系统 安装时选择Minimal 物理安全 限制启动方式保护控制台 限制启动方式 更改启动顺序加上BIOS密码加上Loader密码 给GRUB加上密码 获得加密串grub md5cryptPassword Encrypted 1 qW qn0 LOnxgnJ2eyQupw2i7aTtS1编辑 boot grub grub conf 加入password md5 1 b 0qn0 X7vUSPBqlznCPHzQQJJQ51 保护控制台 禁用ctrl alt del 编辑 etc inittab注释掉如下配置ca ctrlaltdel sbin shutdown t3 rnow 保护控制台 禁用程序 执行以下命令rm f etc security console apps haltrm f etc security console apps rebootrm f etc security console apps poweroffforiin etc pam d do sed pam console so s temp mv ftemp i done 帐户安全 删除不必要帐户限制帐户权限保护超级管理员帐户 删除不必要的帐户 用以下命令查看用户cat etc passwd cut f1 1 d 删除adm lp sync shutdown halt news mail uucp operator games gopher ftp 删除不必要的组 用以下命令查看用户cat etc group cut f1 1 d 删除adm lp news mail uucp games dip 限制帐户权限 允许登陆 usermod s sbin nologinusername登陆方式 位置 避免创建默认组 保护超级管理员帐户 编辑 etc profile 加入TMOUT 600编辑 etc pam d su 去掉下面的注释 authrequired lib security ISA pam wheel souse uid 文件安全 避免不必要的文件权限保护重要文件注意SUID程序 避免不必要的文件权限 修改fstab var tmp加上noexec nosuid nodev home加上nosuid nodev 保护重要的文件 chattr i etc services etc passwd etc shadow etc group etc gshadow 去掉不必要的SUID 查找SUID程序find typef perm 04000 o perm 02000 去掉权限chmoda s bin mount 网络安全 配置防火墙删除不必要的服务设置内核参数 IPTABLES 1 exportINET IP xxx xxx xxx xxx iptables Nbad tcp packets iptables Nallowed iptables Abad tcp packets ptcp tcp flags SYN ACKSYN ACK mstate stateNEW jREJECT reject withtcp reset iptables Abad tcp packets ptcp syn mstate stateNEW jDROP iptables Aallowed pTCP syn jACCEPT iptables Aallowed pTCP mstate stateESTABLISHED RELATED jACCEPT iptables Aallowed pTCP jDROP IPTABLES 2 iptables AINPUT ptcp jbad tcp packets iptables AINPUT pALL ilo s127 0 0 1 jACCEPT iptables AINPUT pALL ilo s INET IP jACCEPT iptables AINPUT pALL d INET IP mstate state ESTABLISHED RELATED jACCEPT iptables AOUTPUT ptcp jbad tcp packets iptables AOUTPUT pALL olo d127 0 0 1 jACCEPT iptables AOUTPUT pALL olo d INET IP jACCEPT iptables AOUTPUT pALL s INET IP mstate state ESTABLISHED RELATED jACCEPT IPTABLES 3 iptables AINPUT pTCP dport22 jallowed iptables AOUTPUT pUDP dport53 jACCEPT iptables AOUTPUT pTCP dport53 jallowed iptables AOUTPUT pTCP dport21 jallowed iptables PINPUTDROP iptables POUTPUTDROP iptables PFORWARDDROP serviceiptablessave TCP WRAPPERS etc hosts denyALL ALL etc hosts allow 用ipsshd xxx xxx xxx xxx 删除不必要的服务 chkconfig listchkconfig level3servicenameoff手工编辑 etc rc d rc3 d 设置内核参数 etc sysctl confnet ipv4 icmp echo ignore all 1net ipv4 icmp echo ignore broadcasts 1net ipv4 conf all accept source route 0net ipv4 tcp syncookies 1net ipv4 conf all accept redirects 0net ipv4 ip always defrag 1net ipv4 icmp ignore bogus error responses 1net ipv4 conf all rp filter 1net ipv4 conf all log martians 1 安全相关 SecurityThroughObscurity 不公开 即安全 日志 备份升级 Sec