六招輕鬆搞定你的CentOS系統安全加固
六招輕鬆搞定你的CentOS系統安全加固
Redhat是目前企業中用的最多的一類Linux,而目前針對Redhat攻擊的黑客也越來越多了。我們要如何為這類伺服器做好安全加固工作呢?
一. 賬戶安全
1.1 鎖定系統中多餘的自建帳號
檢查方法:
執行命令
#cat /etc/passwd
#cat /etc/shadow
檢視賬戶、口令檔案,與系統管理員確認不必要的賬號。對於一些保留的系統偽帳戶如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根據需要鎖定登陸。
備份方法:
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
加固方法:
使用命令passwd -l <使用者名稱>鎖定不必要的賬號。
使用命令passwd -u <使用者名稱>解鎖需要恢復的賬號。
 |
| 圖1 |
風險:
需要與管理員確認此項操作不會影響到業務系統的登入
1.2設定系統口令策略
檢查方法:
使用命令
#cat /etc/login.defs|grep PASS檢視密碼策略設定
備份方法:
cp -p /etc/login.defs /etc/login.defs_bak
加固方法:
#vi /etc/login.defs修改配置檔案
PASS_MAX_DAYS 90 #新建使用者的密碼最長使用天數
PASS_MIN_DAYS 0 #新建使用者的密碼最短使用天數
PASS_WARN_AGE 7 #新建使用者的密碼到期提前提醒天數
PASS_MIN_LEN 9 #最小密碼長度9
|
|
| 圖2 |
風險:無可見風險
1.3禁用root之外的超級使用者
檢查方法:
#cat /etc/passwd 檢視口令檔案,口令檔案格式如下:
login_name:password:user_ID:group_ID:comment:home_dir:command
login_name:使用者名稱
password:加密後的使用者密碼
user_ID:使用者ID,(1 ~ 6000) 若使用者ID=0,則該使用者擁有超級使用者的許可權。檢視此處是否有多個ID=0。
group_ID:使用者組ID
comment:使用者全名或其它註釋資訊
home_dir:使用者根目錄
command:使用者登入後的執行命令
備份方法:
#cp -p /etc/passwd /etc/passwd_bak
加固方法:
使用命令passwd -l <使用者名稱>鎖定不必要的超級賬戶。
使用命令passwd -u <使用者名稱>解鎖需要恢復的超級賬戶。
風險:需要與管理員確認此超級使用者的用途。
1.4 限制能夠su為root的使用者
檢查方法:
#cat /etc/pam.d/su,檢視是否有auth required /lib/security/pam_wheel.so這樣的配置條目
備份方法:#cp -p /etc/pam.d /etc/pam.d_bak
加固方法:
#vi /etc/pam.d/su
在頭部新增:
auth required /lib/security/pam_wheel.so group=wheel
這樣,只有wheel組的使用者可以su到root
#usermod -G10 test 將test使用者加入到wheel組
 |
| 圖3 |
風險:需要PAM包的支援;對pam檔案的修改應仔細檢查,一旦出現錯誤會導致無法登陸;和管理員確認哪些使用者需要su。
當系統驗證出現問題時,首先應當檢查/var/log/messages或者/var/log/secure中的輸出資訊,根據這些資訊判斷使用者賬號的有效
性。如果是因為PAM驗證故障,而引起root也無法登入,只能使用single user或者rescue模式進行排錯。
1.5 檢查shadow中空口令帳號
檢查方法:
#awk -F: '($2 == "") { print $1 }' /etc/shadow
備份方法:cp -p /etc/shadow /etc/shadow_bak
加固方法:對空口令賬號進行鎖定,或要求增加密碼
 |
| 圖4 |
風險:要確認空口令賬戶是否和應用關聯,增加密碼是否會引起應用無法連線。
二、最小化服務
2.1 停止或禁用與承載業務無關的服務
檢查方法:
#who –r或runlevel 檢視當前init級別
#chkconfig --list 檢視所有服務的狀態
備份方法:記錄需要關閉服務的名稱
加固方法:
#chkconfig --level <服務名> on|off|reset 設定服務在個init級別下開機是否啟動
 |
| 圖5 |
風險:某些應用需要特定服務,需要與管理員確認。
三、資料訪問控制
3.1 設定合理的初始檔案許可權
檢查方法:
#cat /etc/profile 檢視umask的值
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
umask=027
風險:會修改新建檔案的預設許可權,如果該伺服器是WEB應用,則此項謹慎修改。
四、網路訪問控制
4.1 使用SSH進行管理
檢查方法:
#ps –aef | grep sshd 檢視有無此服務
備份方法:
加固方法:
使用命令開啟ssh服務
#service sshd start
風險:改變管理員的使用習慣
4.2 設定訪問控制策略限制能夠管理本機的IP地址
檢查方法:
#cat /etc/ssh/sshd_config 檢視有無AllowUsers的語句
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config,新增以下語句
AllowUsers *@10.138.*.* 此句意為:僅允許10.138.0.0/16網段所有使用者通過ssh訪問
儲存後重啟ssh服務
#service sshd restart
風險:需要和管理員確認能夠管理的IP段
4.3 禁止root使用者遠端登陸
檢查方法:
#cat /etc/ssh/sshd_config 檢視PermitRootLogin是否為no
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config
PermitRootLogin no
儲存後重啟ssh服務
service sshd restart
 |
| 圖6 |
風險:root使用者無法直接遠端登入,需要用普通賬號登陸後su
4.4 限定信任主機
檢查方法:
#cat /etc/hosts.equiv 檢視其中的主機
#cat /$HOME/.rhosts 檢視其中的主機
備份方法:
#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak
加固方法:
#vi /etc/hosts.equiv 刪除其中不必要的主機
#vi /$HOME/.rhosts 刪除其中不必要的主機
風險:在多機互備的環境中,需要保留其他主機的IP可信任。
4.5 遮蔽登入banner資訊
檢查方法:
#cat /etc/ssh/sshd_config 檢視檔案中是否存在Banner欄位,或banner欄位為NONE
#cat /etc/motd 檢視檔案內容,該處內容將作為banner資訊顯示給登入使用者。
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
#cp -p /etc/motd /etc/motd_bak
加固方法:
#vi /etc/ssh/sshd_config
banner NONE
#vi /etc/motd
刪除全部內容或更新成自己想要新增的內容
風險:無可見風險
4.6 防止誤使用Ctrl+Alt+Del重啟系統
檢查方法:
#cat /etc/inittab|grep ctrlaltdel 檢視輸入行是否被註釋
備份方法:
#cp -p /etc/inittab /etc/inittab_bak
加固方法:
#vi /etc/inittab
在行開頭添加註釋符號“#”
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
 |
| 圖7 |
風險:無可見風險
五、使用者鑑別
5.1 設定帳戶鎖定登入失敗鎖定次數、鎖定時間
檢查方法:
#cat /etc/pam.d/system-auth 檢視有無auth required pam_tally.so條目的設定
備份方法:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
加固方法:
#vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設定為密碼連續錯誤6次鎖定,鎖定時間300秒
解鎖使用者 faillog -u <使用者名稱> -r
風險:需要PAM包的支援;對pam檔案的修改應仔細檢查,一旦出現錯誤會導致無法登陸;
當系統驗證出現問題時,首先應當檢查/var/log/messages或者/var/log/secure中的輸出資訊,根據這些資訊判斷使用者賬號的有效
性。
5.2 修改帳戶TMOUT值,設定自動登出時間
檢查方法:
#cat /etc/profile 檢視有無TMOUT的設定
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
增加
TMOUT=600 無操作600秒後自動退出
風險:無可見風險
5.3 Grub/Lilo密碼
檢查方法:
#cat /etc/grub.conf|grep password 檢視grub是否設定密碼
#cat /etc/lilo.conf|grep password 檢視lilo是否設定密碼
備份方法:
#cp -p /etc/grub.conf /etc/grub.conf_bak
#cp -p /etc/lilo.conf /etc/lilo.conf_bak
加固方法:為grub或lilo設定密碼
風險:etc/grub.conf通常會連結到/boot/grub/grub.conf
5.4 限制FTP登入
檢查方法:
#cat /etc/ftpusers 確認是否包含使用者名稱,這些使用者名稱不允許登入FTP服務
備份方法:
#cp -p /etc/ftpusers /etc/ftpusers_bak
加固方法:
#vi /etc/ftpusers 新增行,每行包含一個使用者名稱,新增的使用者將被禁止登入FTP服務
風險:無可見風險
5.5 設定Bash保留歷史命令的條數
檢查方法:
#cat /etc/profile|grep HISTSIZE=
#cat /etc/profile|grep HISTFILESIZE= 檢視保留歷史命令的條數
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
修改HISTSIZE=5和HISTFILESIZE=5即保留最新執行的5條命令
 |
| 圖8 |
風險:無可見風險
六、審計策略
6.1 配置系統日誌策略配置檔案
檢查方法:
#ps –aef | grep syslog 確認syslog是否啟用
#cat /etc/syslog.conf 檢視syslogd的配置,並確認日誌檔案是否存在
系統日誌(預設)/var/log/messages
cron日誌(預設)/var/log/cron
安全日誌(預設)/var/log/secure
備份方法:
#cp -p /etc/syslog.conf
 |
| 圖9 |
6.2 為審計產生的資料分配合理的儲存空間和儲存時間
檢查方法:
#cat /etc/logrotate.conf 檢視系統輪詢配置,有無
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4 的配置
備份方法:
#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak
加固方法:
#vi /etc/logrotate.d/syslog
增加
rotate 4 日誌檔案儲存個數為4,當第5個產生後,刪除最早的日誌
size 100k 每個日誌的大小
加固後應類似如下內容:
/var/log/syslog/*_log {
missingok
notifempty
size 100k # log files will be rotated when they grow bigger that 100k.
rotate 5 # will keep the logs for 5 weeks.
compress # log files will be compressed.
sharedscripts
postrotate
/etc/init.d/syslog condrestart >/dev/null 2>1 || true
endscript
}
 |
| 圖10 |
風險:無可見風險