Linux系统深度安全加固.docVIP

★Linux系统深度安全加固 author:ayazero drdos@163.com Personal web -- Teams site -- 注：以下内容可能不适用于某些场合，请对号入座 1.安装和升级 尽量选用最新的Linux发行版本,安装前拔掉网线,断开物理连接, 安装时建议用custom自定义方式安装软件包，数量以少为好， 一般来说服务器没有必要安装X-windows, 在lilo/grub引导器中加入口令限制，防止能够物理接触的恶意用户 因为Linux安装光盘的rescue模式可以跳过这个限制，所以还要给bios加上密码或服务器机箱上锁 /var,/home,/usr,/root等目录用独立的物理分区,防止垃圾数据和日志填满硬盘而导致D.o.S攻击. root账号给予强壮的口令. 安装完毕立即用up2date或apt升级系统软件,有时升级内核也是必要的,因为内核出现问题同样会给攻击者提供机会 Apt是Debian GNU Linux下的一个强大的包管理工具,也可用于其他版本的Linux. 2.账号 如果系统中的用户比较多,可以编辑/etc/login.defs,更改密码策略 删除系统中不必要帐户和组, [root@ayazero /]# userdel -r username 如果不开匿名ftp则可以把ftp账号也删了 最安全的方式是本地维护,可惜不太现实,但还是需要限制root的远程访问,管理员可以用普通账户远程登录, 然后su到root,我们可以把使用su的用户加到wheel组来提高安全性 在/etc/pam.d/su文件的头部加入下面两行： auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel 然后把可以执行su的用户放入wheel组 [root@ayazero /]# usermod -G10 admin 编辑/etc/securetty,注释掉所有允许root远程登录的控制台, 然后禁止使用所有的控制台程序, [root@ayazero /]# rm -f /etc/security/console.apps/servicename 登录采用加密的ssh,如果管理员只从固定的终端登陆,还应限制合法ssh客户端的范围 防止嗅探及中间人攻击 将命令历史纪录归为零,尽可能的隐藏你做过的事情 [root@ayazero /]# unset HISTFILESIZE 3.服务 最少服务原则,凡是不需要的服务一律注释掉 在/etc/inetd.conf中不需要的服务前加#,较高版本中已经没有inetd而换成了Xinetd; 取消开机自动运行服务,把/etc/rc.d/rc3.d下不需要运行的服务第一个字母大写改称小写, 或者由setup命令启动的GUI界面中的service更改 如果你希望简单一点,可以使用/etc/host.allow,/etc/host.deny这两个文件, 但是本文计划用iptables防火墙,所以不在此详述. 4.文件系统权限 找出系统中所有含s位的程序,把不必要得s位去掉,或者把根本不用的直接删除 [root@ayazero /]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} [root@ayazero /]# chmod a-s filename 防止用户滥用及提升权限的可能性 把重要文件加上不可改变属性 [root@ayazero /]# chattr +i /etc/passwd [root@ayazero /]# chattr +i /etc/shadow [root@ayazero /]# chattr +i /etc/gshadow [root@ayazero /]# chattr +i /etc/group [root@ayazero /]# chattr +i /etc/inetd.conf [root@ayazero /]# chattr +i /etc/httpd.conf  具体视需要而定,我怀疑现在的入侵者都知道这个命令, 有些exploit溢出后往inetd.conf写一条语句绑定shell在一个端口监听, 此时这条命令就起了作用,浅薄的入侵者会以为溢出不成功. 找出系统中没有属主的文件: [root@ayazero /]# find / -nouser -o -nogroup 找