LINUX系统加固

Power by Will.Lee(lisheng)2014.12.01LINUX系统加固目录一、关于服务器的安全级别2二、系统加固2A、漏洞修补21、内核漏洞42、应用漏洞4B、系统防护提升51、系统配置的安全性52、应用软件配置的安全性83、用户权限配置的安全性12一、关于服务器的安全级别可信计算机评估标准TCSEC（Trusted Computer System Evaluation Criteria），又称桔皮书。”可信计算机系统评估准则”将计算机系统的可信程度（安全等级）划分成四大类（D、C、B、A），七个小类（D、C1、C2、B1、B2、B3、A）。类别名称主要特征A1可验证的安全设计形式化的最高级描述和验证，形式化的隐秘通道分析，非形式化的代码一致性证明。B3安全域机制安全内核，高抗渗透能力。B2结构化安全保护设计系统必须有一个合理的总体设计方案，面向安全的体系结构， 遵循最小授权原则，较好的抗渗透能力，访问控制应对所有的主体和客体进行保护，对系统进行隐蔽通道分析。B1标号安全控制除了C2级的安全需求外，增加安全策略模型，数据标号（安全和属性），托管访问控制。C2受控的访问控制存取控制以用户为单位，广泛的审计。C1选择的安全保护有选择的存取控制，用户与数据分离，数据的保护以用户组为单位。D最小保护保护措施很少，没有安全功能。按照行业领域和我司业务情况分析，我司的LINUX系统安全级别做到B2级别防护即可。更高级别的防护涉及到网安产品需求，如硬件防火墙，硬件网关。由于我司MCU产品均在系统网络防火墙和网关的后端，MCU处于受保护状态。 二、系统加固系统加固分A、漏洞修补，B、系统防护提升A、漏洞修补针对LINUX系统，有做一套自有的分析方式，可以使用NMAP、lsat、tiger和Nessus, NMAP倾向网络端口漏洞扫描， lsat和tiger倾向去本地漏洞扫描，Nessus是兼顾本地和网络漏洞扫描，推荐使用Nessus。NMAP是一款嗅探服务器是否开放了不安全端口的扫描器。扫描结果参看1400.xmlLsat和tiger是本地的命令行下执行的漏洞扫描器。Nessus漏洞扫描是S/C模式的，便于操作和使用，由于该软件是商业版的，目前使用的均为试用版本。扫描后会有详细的安全检测报告，详见Nessus Scan Report.doc 可以依照安全检测报告，对系统进行有针对性的打补丁包修复。修复请况依照实际情况考量和取舍。 漏洞分类针对系统漏洞分两种类型：内核漏洞和应用漏洞1、 内核漏洞属于本地漏洞，同时能使用此类漏洞的入侵者都属于软件高手，此类入侵较为麻烦和困难，此类漏洞必须等待新版内核修正。2、 应用漏洞有本地漏洞和远程漏洞之分。本地漏洞，只能本地入侵后使用；远程漏洞，入侵者可以透过网络应用漏洞B、系统防护提升是对既有系统进行相关的系统策略和用户权限管控，涉及的方面有：1、系统配置的安全性，2、应用软件配置的安全性，3、用户权限配置的安全性，系统配置的安全性用户权限配置的安全性应用软件配置的安全性1、系统配置的安全性名称只开放有用的服务实施目的根据实际需求删除未使用的服务，提高系统安全。问题影响防止未知服务对系统产生漏洞风险。系统当前状态who r或runlevel 查看当前init级别chkconfig -list 查看所有服务的状态实施步骤KS.CFG脚本执行代码段：for i in ls /etc/rc3.d/S*do CURSRV=echo $i|cut -c 15-echo $CURSRVcase $CURSRV in sysstat | lvm2-monitor | iscsid | auditd | rsyslog | iscsi | mdmonitor | messagebus | acpid | udev-post | postfix | qpidd | sanlock | wdmd | local | crond | irqbalance | microcode_ctl | network | sshd | cpuspeed ) echo Base services, Skip! echo $CURSRV /root/server.txt ; *) echo change $CURSRV to off chkconfig -level 235 $CURSRV off service $CURSRV stop echo $CURSRV /root/server.txt ;esacdone名称屏蔽掉泄露信息的文件的读写权限实施目的修改文件的授权群组问题影响任何用户可获取系统安全敏感信息，出现风险。系统当前状态cat /etc/passwd 记录当前用户列表实施步骤chmod 600 /etc/ssh/sshd_config chown -R sshd:sshd /home/avconssh/chmod 0744 /home/avconssh/chmod 600 /etc/serviceschmod -R 700 /etc/rc.d/init.d/*mv /etc/issue /etc/issue.bakmv /etc/ /etc/.bak如sshd_config、passwd、group等。名称设置帐户锁定登录失败锁定次数、锁定时间实施目的禁止无限制的错误密码输入问题影响防止入侵者口令扫描。系统当前状态cat /etc/pam.d/system-auth 查看有无auth required pam_tally.so条目的设置实施步骤vi /etc/pam.d/system-authauth required pam_tally.so onerr=fail deny=6 unlock_time=300 设置为密码连续错误6次锁定，锁定时间300秒解锁用户 faillog -u -r风险：需要PAM包的支持;对pam文件的修改应仔细检查，一旦出现错误会导致无法登陆;当系统验证出现问题时，首先应当检查/var/log/messages或者/var/log/secure中的输出信息，根据这些信息判断用户账号的有效性。名称去除不需要的帐号、修改默认帐号的shell变量实施目的删除系统不需要的默认帐号、更改危险帐号缺省的shell变量问题影响允许非法利用系统默认账号系统当前状态cat /etc/passwd 记录当前用户列表， cat /etc/shadow 记录当前密码配置实施步骤1、参考配置操作 # userdel lp # groupdel lp 如果下面这些系统默认帐号不需要的话，建议删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP 功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh 等Shell变量。可以在/etc/passwd中将它们的shell 变量设为/bin/false 或者/dev/null 等，也可以使用usermod -s /dev/null username命令来更改username的shell为/dev/null。名称限制超级管理员远程登录实施目的限制具备超级管理员权限的用户远程登录。远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账。问题影响允许root远程非法登陆系统当前状态cat /etc/ssh/sshd_config cat /etc/securetty实施步骤1、 参考配置操作 SSH: #vi /etc/ssh/sshd_config 把 PermitRootLogin yes 改为 PermitRootLogin no 重启sshd服务#service sshd restart CONSOLE: 在/etc/securetty文件中配置：CONSOLE = /dev/tty0名称为空口令用户设置密码实施目的禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。问题影响用户被非法利用系统当前状态cat /etc/passwd awk -F: ($2 = )print $1 /etc/passwd实施步骤awk -F: ($2 = )print $1 /etc/passwd 用root用户登陆Linux系统，执行passwd命令，给用户增加口令。例如：passwd test test。2、应用软件配置的安全性名称shhd_config文件配置实施目的加强SSH登陆安全性问题影响防止入侵者恶意SSH登陆，获取root权限系统当前状态cat /etc/ssh/sshd_config实施步骤1、 参考配置操作 sed -i s/#PermitRootLogin yes/PermitRootLogin no/ /etc/ssh/sshd_configsed -i s/#PermitEmptyPasswords no/PermitEmptyPasswords no/ /etc/ssh/sshd_configsed -i 38i AllowGroups sshd /etc/ssh/sshd_configsed -i 38i AllowUsers avconssh /etc/ssh/sshd_configsed -i s/#X11Forwarding no/X11Forwarding no/ /etc/ssh/sshd_configsed -i s/X11Forwarding yes/#X11Forwarding yes/ /etc/ssh/sshd_configsed -i s/#MaxStartups 10:30:100/MaxStartups 6:30:60/ /etc/ssh/sshd_configsed -i s/UseDNS no/UseDNS yes/ /etc/ssh/sshd_config 详情如下图： I禁用SSH使用ROOT登录可能不行，AVCON软件安装权限要求很高。先用普通权限登陆ssh后，通过LINUX系统自带的su命令键入root密码可以提升为root权限就可以达到要求了。这样的好处是黑客即使获取了ssh的权限却没有root对系统的危害性小。消除root带有直接网络登陆的隐形风险。II修改SSH登录端口，这个需要考虑一线的方便性。这个可以向一线宣导一下，下图为ssh登陆界面，只要设置一次并保存后续只需键入密码就好了。名称更改默认端口实施目的更改Apache服务器默认端口，防止非法访问。问题影响恶意攻击。系统当前状态查看 httpd.conf文件，查看端口是否与原来相同。 实施步骤1、参考配置操作（1）修改httpd.conf配置文件，更改默认端口到8080 Listen x.x.x.x:8080（2）重启Apache服务回退方案恢复原始状态。判断依据1、判定条件使用8080端口登陆页面成功2、检测操作登陆http:/ip:8080 名称禁用Apache Server 中的执行功能实施目的避免用户直接执行Apache 服务器中的执行程序，而造成服务器系统的公开化。问题影响越权使用造成非法攻击。系统当前状态 ls -al which apachectl apachectl V | grep SERVER_CONFIG实施步骤在配置文件access.conf 或httpd.conf中的Options指令处加入Includes NO EXEC选项，用以禁用Apache Server 中的执行功能。避免用户直接执行Apache 服务器中的执行程序，而造成服务器系统的公开化。备份access.conf 或httpd.conf文件修改：Options Includes Noexec名称隐藏Apache的版本号及其它敏感信息实施目的隐藏Apache的版本号及其它敏感信息问题影响越权使用造成非法攻击。系统当前状态 ls -al which apachectl apachectl V | grep SERVER_CONFIG实施步骤默认情况下，很多Apache安装时会显示版本号及操作系统版本，甚至会显示服务器上安装的是什么样的Apache模块。这些信息可以为黑客所用，并且黑客还可以从中得知你所配置的服务器上的很多设置都是默认状态。 添加到你的httpd.conf文件中： ServerSignature Off ServerTokens Prod 补充说明：ServerSignature出现在Apache所产生的像404页面、目录列表等页面的底部。ServerTokens目录被用来判断Apache会在Server HTTP响应包的头部填充什么信息。如果把ServerTokens设为Prod，那么HTTP响应包头就会被设置成： Server：Apache 也可以通过源代码和安全模块进行修改名称Apache 413错误页面跨站脚本漏洞修复实施目的修复Apache HTTP Server处理畸形用户请求时存在漏洞问题影响远程攻击者可能利用此漏洞获取脚本源系统当前状态Cat httpd.conf实施步骤Apache HTTP Server处理畸形用户请求时存在漏洞，远程攻击者可能利用此漏洞获取脚本源码。向Apache配置文件httpd.conf添加ErrorDocument 413语句禁用默认的413错误页面。名称限制请求消息长度实施目的限制http请求的消息主体的大小。问题影响恶意攻击。系统当前状态Cat httpd.conf文件，看是否与原来相同。实施步骤1、参考配置操作编辑httpd.conf配置文件，修改为102400ByteLimitRequestBody 102400名称错误页面处理实施目的Apache错误页面重定向。问题影响恶意攻击。系统当前状态查看 httpd.conf文件，查看ErrorDocument文件是否与修改前相同。 实施步骤1、参考配置操作(1) 修改httpd.conf配置文件：ErrorDocument 400 /custom400.htmlErrorDocument 401 /custom401.htmlErrorDocument 403 /custom403.htmlErrorDocument 404 /custom404.htmlErrorDocument 405 /custom405.html ErrorDocument 500 /custom500.htmlCustomxxx.html为要设置的错误页面。(2)重新启动Apache服务名称拒绝服务防范实施目的防止恶意攻击问题影响恶意攻击。系统当前状态查看 httpd.conf文件，查看Timeout等文件是否与原来相同。 实施步骤1、参考配置操作(1) 编辑httpd.conf配置文件， Timeout 10 KeepAlive OnKeepAliveTimeout 15AcceptFilter http dataAcceptFilter https data (2)重新启动Apache服务3、 用户权限配置的安全性名称为不同