• 售前

  • 售后

热门帖子
入门百科

Linux/CentOS服务器安全设置通用指南

[复制链接]
却写杂布计 显示全部楼层 发表于 2021-10-25 19:19:17 |阅读模式 打印 上一主题 下一主题
Linux 是一个开放式系统,可以在网络上找到许多现成的程序和工具,这既方便了用户,也方便了黑客,因为他们也能很容易地找到程序和工具来潜入 Linux 系统,大概偷取 Linux 系统上的紧张信息。不外,只要我们细致地设定 Linux 的各种系统功能,并且加上须要的安全步伐,就能让黑客们无机可乘。
一般来说,对 Linux 系统的安全设定包括取消不须要的服务、限定长途存取、隐蔽紧张资料、修补安全漏洞、接纳安全工具以及经常性的安全检查等。
本文是可参考的现实操纵,不涉及如 IP 欺骗这样的原理,而且安全问题也不算几行命令就能防备的
这里只是 Linux 系统上根本的安全加固方法,后续有新的内容再添加进来。
注:所有文件在修改之前都要举行备份如
  1. cp /etc/passwd{,.dist}
复制代码
1. Linux禁用不使用的用户

留意:不发起直接删除,当你须要某个用户时,自己重新添加会很贫苦。也可以
  1. usermod -L
复制代码
  1. passwd -l user
复制代码
锁定。
  1. cp /etc/passwd{,.bak}
复制代码
修改之前先备份
  1. vi /etc/passwd
复制代码
编辑用户,在前面加上#表明掉此行
表明的用户名:
  1. # cat /etc/passwd|grep ^#
  2. #adm:x:3:4:adm:/var/adm:/sbin/nologin
  3. #lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
  4. #shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
  5. #halt:x:7:0:halt:/sbin:/sbin/halt
  6. #uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
  7. #operator:x:11:0:operator:/root:/sbin/nologin
  8. #games:x:12:100:games:/usr/games:/sbin/nologin
  9. #gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
  10. #ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
  11. #nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
  12. #postfix:x:89:89::/var/spool/postfix:/sbin/nologin
复制代码
Linux表明的组:
  1. # cat /etc/group|grep ^#
  2. #adm:x:4:adm,daemon
  3. #lp:x:7:daemon
  4. #uucp:x:14:
  5. #games:x:20:
  6. #gopher:x:30:
  7. #video:x:39:
  8. #dip:x:40:
  9. #ftp:x:50:
  10. #audio:x:63:
  11. #floppy:x:19:
  12. #postfix:x:89:
复制代码
2. Linux关闭不使用的服务
  1. # chkconfig --list |grep '3:on'
复制代码
邮件服务,使用公司邮件服务器:
  1. service postfix stop
  2. chkconfig postfix --level 2345 off
复制代码
通用unix打印服务,对服务器无用:
  1. service cups stop
  2. chkconfig cups --level 2345 off
复制代码
调节cpu速率用来省电,常用在Laptop上:
  1. service cpuspeed stop
  2. chkconfig cpuspeed --level 2345 off
复制代码
蓝牙无线通讯,对服务器无用:
  1. service bluetooth stop
  2. chkconfig bluetooth --level 2345 off
复制代码
系统安装后初始设定,第一次启动系统后就没用了:
  1. service firstboot stop
  2. chkconfig firstboot --level 2345 off
复制代码
Linux关闭nfs服务及客户端:
  1. service netfs stop
  2. chkconfig netfs --level 2345 off
  3. service nfslock stop
  4. chkconfig nfslock --level 2345 off
复制代码
如果要恢复某一个服务,可以实行下面操纵:
  1. service acpid start && chkconfig acpid on
复制代码
也可以使用setup工具来设置
3. Linux禁用IPV6
IPv6是为相识决IPv4地址耗尽的问题,但我们的服务器一般用不到它,反而禁用IPv6不光仅会加快网络,还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁用ipv6。
Linux禁止加载IPv6模块:

让系统不加载ipv6相关模块,这须要修改
  1. modprobe
复制代码
相关设定文件,为了管理方便,我们新建立定文件
  1. /etc/modprobe.d/ipv6off.conf
复制代码
,内容如下
  1. alias net-pf-10 off
  2. options ipv6 disable=1
复制代码
Linux禁用基于IPv6网络,使之不会被触发启动:
  1. # vi /etc/sysconfig/network
  2. NETWORKING_IPV6=no
复制代码
Linux禁用网卡IPv6设置,使之仅在IPv4模式下运行:
  1. # vi /etc/sysconfig/network-scripts/ifcfg-eth0
  2. IPV6INIT=no
  3. IPV6_AUTOCONF=no
复制代码
Linux关闭ip6tables:
  1. # chkconfig ip6tables off
复制代码
重启系统,验证是否生效:
  1. # lsmod | grep ipv6
  2. # ifconfig | grep -i inet6
复制代码
如果没有任何输出就阐明IPv6模块已被禁用,否则被启用。
4. Linux iptables规则

启用linux防火墙来禁止非法程序访问。使用iptable的规则来过滤入站、出站和转发的包。我们可以针对来源和目的地址举行特定udp/tcp端口的准许和拒绝访问。
关于防火墙的设置规则请参考博客文章 iptables设置实例。
5. Linux SSH安全

如果有大概,第一件事就是修改ssh的默认端口22,改成如20002这样的较大端口会大幅提高安全系数,低落ssh破解登录的大概性。
创建具备辨识度的应用用户如crm以及系统管理用户sysmgr
  1. # useradd crm -d /apps/crm
  2. # passwd crm
  3. # useradd sysmgr
  4. # passwd sysmgr
复制代码
5.1 Linux只允许wheel用户组的用户su切换

  1. # usermod -G wheel sysmgr
  2. # vi /etc/pam.d/su
  3. # Uncomment the following line to require a user to be in the "wheel" group.
  4. auth      required    pam_wheel.so use_uid
复制代码
其他用户切换root,纵然输对密码也会提示 su: incorrect password
5.2 Linux登录超时

用户在线5分钟无操纵则超时断开毗连,在/etc/profile中添加:
  1. export TMOUT=300
  2. readonly TMOUT
复制代码
5.3 Linux禁止root直接长途登录
  1. # vi /etc/ssh/sshd_config
  2. PermitRootLogin no
复制代码
5.4 Linux限定登录失败次数并锁定

  1. /etc/pam.d/login
复制代码
后添加
  1. auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180
复制代码

登录失败5次锁定180秒,根据须要设置是否包括root。
5.5 Linux登录IP限定

(由于要与某一固定IP或IP段绑定,暂未设置)

更严酷的限定是在sshd_config中定死允许ssh的用户和来源ip:
  1. ## allowed ssh users sysmgr
  2. AllowUsers sysmgr@172.29.73.*
  3. 或者使用tcpwrapper:
  4. vi /etc/hosts.deny
  5. sshd:all
  6. vi /etc/hosts.allow
  7. sshd:172.29.73.23
  8. sshd:172.29.73.
复制代码
6. Linux设置只能使用密钥文件登录

使用密钥文件代替平常的简单密码认证也会极大的提高安全性:
  1. [dir@username ~]$ ssh-keygen -t rsa -b 2048
  2. Generating public/private rsa key pair.
  3. Enter file in which to save the key (/root/.ssh/id_rsa):  //默认路径,回车
  4. Enter passphrase (empty for no passphrase):   //输入你的密钥短语,登录时使用
  5. Enter same passphrase again:
  6. Your identification has been saved in /root/.ssh/id_rsa.
  7. Your public key has been saved in /root/.ssh/id_rsa.pub.
  8. The key fingerprint is:
  9. 3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64 root@ibpak.tp-link.net
  10. The key's randomart image is:
  11. +--[ RSA 2048]----+
  12. |         |
  13. |   o++o..oo..o|
  14. +-----------------+
复制代码
将公钥重定名为authorized_key:
  1. $ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys
  2. $ chmod 600 ~/.ssh/authorized_keys
复制代码
下载私钥文件 id_rsa 到本地(为了更加容易辨认,可重定名为hostname_username_id_rsa),保存到安全的地方。以后 username 用户登录这台主机就必须使用这个私钥,配合密码短语来登录(不再使用 username 用户自身的密码)
别的还要修改/etc/ssh/sshd_config文件

打开表明
  1. RSAAuthentication yes
  2. PubkeyAuthentication yes
  3. AuthorizedKeysFile   .ssh/authorized_keys
复制代码
我们要求 username 用户(可以切换到其他用户,特别是root)必须使用ssh密钥文件登录,而其他平常用户可以直接密码登录。因此还需在sshd_config文件末了加入:
  1. Match User itsection
  2.     PasswordAuthentication no
复制代码
重启sshd服务
  1. # service sshd restart
复制代码

别的提示一句,这对公钥和私钥肯定要单独保存在别的的呆板上,服务器上丢失公钥或毗连端丢失私钥(或密钥短语),大概导致再也无法登岸服务器得到root权限!
7. Linux减少history命令记载

实行过的历史命令记载越多,从肯定水平上讲会给维护带来简便,但同样会陪同安全问题
  1. vi /etc/profile
复制代码

找到
  1. HISTSIZE=1000
复制代码
改为
  1. HISTSIZE=50
复制代码

或每次退出时清理
  1. history,history -c
复制代码
8. Linux加强特殊文件权限

给下面的文件加上不可更改属性,从而防止非授权用户得到权限
  1. chattr +i /etc/passwd
  2. chattr +i /etc/shadow
  3. chattr +i /etc/group
  4. chattr +i /etc/gshadow
  5. chattr +i /etc/services #给系统服务端口列表文件加锁,防止未经许可的删除或添加服务
  6. chattr +i /etc/pam.d/su
  7. chattr +i /etc/ssh/sshd_config
复制代码
显示文件的属性
  1. lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config
复制代码
留意:实行以上 chattr 权限修改之后,就无法添加删除用户了。
如果再要添加删除用户,须要先取消上面的设置,等用户添加删除完成之后,再实行上面的操纵,比方取消只读权限
  1. chattr -i /etc/passwd
复制代码
。(记得重新设置只读)
9. Linux防止一般网络攻击

网络攻击不是几行设置就能制止的,以下都只是些简单的将大概性降到最低,增大攻击的难度但并不能完全制止。
9.1 Linux禁ping

制止ping如果没人能ping通您的系统,安全性自然增长了,可以有效的防止ping洪水。为此,可以在/etc/rc.d/rc.local文件中增长如下一行:
  1. # echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
复制代码
或使用iptable禁ping:
  1. iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP
复制代码
不允许ping其他主机:

  1. iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP
复制代码
9.2. Linux防止IP欺骗

编辑/etc/host.conf文件并增长如下几行来防止IP欺骗攻击。
  1. order hosts,bind  #名称解释顺序
  2. multi on      #允许主机拥有多个IP地址
  3. nospoof on     #禁止IP地址欺骗
复制代码
9.3 Linux防止DoS攻击
对系统所有的用户设置资源限定可以防止DoS类型攻击,如最大进程数和内存使用数目等。
可以在/etc/security/limits.conf中添加如下几行:
  1. *  soft  core  0
  2. *  soft  nproc  2048
  3. *  hard  nproc  16384
  4. *  soft  nofile 1024
  5. *  hard  nofile 65536
复制代码
core 0 表现禁止创建core文件;
  1. nproc 128
复制代码
把最多的进程数限定到20;
  1. nofile 64
复制代码
表现把一个用户同时打开的最大文件数限定为64;* 表现登录到系统的所有效户,不包括root
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
  1. session    required     pam_limits.so
复制代码
  1. limits.conf
复制代码
参数的值须要根据详细环境调整。
10. Linux修复已知安全漏洞

在linux上偶尔会爆出毁灭级的漏洞,如
  1. udev
复制代码
  1. heartbleed
复制代码
  1. shellshock
复制代码
  1. ghost
复制代码
等,如果服务器袒露在外网,肯定实时修复。
11. Linux定期做日记安全检查

将日记移动到专用的日记服务器里,这可制止入侵者轻易的改动本地日记。下面是常见linux的默认日记文件及其用处:
  1. /var/log/message – 记录系统日志或当前活动日志。
  2. /var/log/auth.log – 身份认证日志。
  3. /var/log/cron – Crond 日志 (cron 任务).
  4. /var/log/maillog – 邮件服务器日志。
  5. /var/log/secure – 认证日志。
  6. /var/log/wtmp 历史登录、注销、启动、停机日志和,lastb命令可以查看登录失败的用户
  7. /var/run/utmp 当前登录的用户信息日志,w、who命令的信息便来源与此
  8. /var/log/yum.log Yum 日志。
复制代码
参考 深度分析CentOS通过日记反查入侵。
11.1 Linux安装logwatch
  1. Logwatch
复制代码
是使用 Perl 开发的一个日记分析工具。能够对Linux 的日记文件举行分析,并主动发送mail给相关处理职员,可定制需求。
Logwatch的mail功能是借助宿主系统自带的 mail server 发邮件的,以是系统需安装mail server , 如sendmail,postfix,Qmail等
安装和设置方法见博文 linux日记监控logwatch。
12.Linux web服务器安全

像apache或tomcat这样的服务端程序在设置时,如果有安全问题存在可以查阅文档举行安全加固。日后有时间再补充到新的文章。
更多Linux服务器安全设置方案请检察以下相关文章

帖子地址: 

回复

使用道具 举报

分享
推广
火星云矿 | 预约S19Pro,享500抵1000!
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

草根技术分享(草根吧)是全球知名中文IT技术交流平台,创建于2021年,包含原创博客、精品问答、职业培训、技术社区、资源下载等产品服务,提供原创、优质、完整内容的专业IT技术开发社区。
  • 官方手机版

  • 微信公众号

  • 商务合作