4、常规安全配置

4.1 重要目录和文件权限

  • 操作目的
  • 合理配置重要目录和文件的权限,增强安全性
  • 检查方法
  • 使用命令“ls -l” 查看目录和文件的权限设置情况
  • 加固方法
  • 对于重要目录,建议执行如下类似操作:
  • #chmod -R 750 /etc/rc.d/init.d/*
  • 这样只有root可读、写和执行这个目录下的脚本。

4.2 umask值

  • 操作目的
  • 设置默认的umask值,增强安全性
  • 检查方法
  • 使用命令“umask”查看默认的umask值是否为027
  • 加固方法
  • 使用命令“vi /etc/profile”修改配置文件,添加行“umask 027”,即新创建的文件赋一个统一的默认的权限,即创建文件的属主有读、写、执行权限,同组的用户只有有读和执行权限,其他用户无任何权限,使用命令“umask 027”应用设置

 4.3 Bash历史命令

  • 操作目的
  • 设置Bash保留历史命令的条数
  • 检查方法
  • 使用命令“cat /etc/profile|grep HISTSIZE=”和“cat /etc/profile|grep HISTFILESIZE=”查看保留历史命令的条数
  • 加固方法
  • 使用命令“vi /etc/profile”修改配置文件,修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令

4.4 登录超时

  • 操作目的
  • 设置系统登录后,连接超时时间,增强安全性
  • 检查方法
  • 使用命令“cat /etc/profile|grep TMOUT”查看TMOUT是否被设置
  • 加固方法
  • 使用命令“vi /etc/profiel”修改配置文件,添加“TMOUT=”行开头的注释,设置为“TMOUT=180”,即超时时间为3分钟

4.5 root路径

  • 危害
  • 如果在path设置中包含当前目录“.”的话,会有一定的安全隐患。比如说我们在某个目录下查看当前目录下的文件时会使用ls命令,如果恶意用户在当前目录创建一个名为ls的bash脚本,当path设置中包含当前目录“.”时,我们执行ls命令时会执行当前目录下的ls脚本,这样可能会有意想不到的效果,如果脚本带有恶意行为的话,会导致一定的安全问题。因此root用户环境变量path中不应该包含当前目录“.”。
  • 操作目的
  • 检查系统root用户环境变量path设置中是否包含“.”
  • 检查方法
  • root用户环境变量path中不应该包含当前目录“.”
  • 以root用户身份执行如下命令:
  • #echo $PATH
  • /usr/local/sbin:/sbin:/bin:/usr/sbin:/usr/bin:/root/bin:.
  • 加固方法
  • 使用命令“vi /erc/profile”,修改echo $PATH后面的路径

5、账户安全

5.1 禁用无用账号

  • 操作目的
  • 减少系统无用账号,降低风险
  • 检查方法
  • 使用命令“cat /etc/passwd”查看口令文件,与系统管理员确认不必要的账号
  • FTP等服务的账号,如果不需要登录系统,shell应该/sbin/nologin
  • 加固方法
  • 使用命令“passwd -l <用户名>”锁定不必要的账号

5.2 账号策略

  • 操作目的
  • 防止口令暴力破解,降低风险
  • 检查方法
  • 使用命令“cat /etc/pam.d/system-auth”查看配置文件
  • 加固方法
  • 设置连续输错10次密码,账号锁定5分钟
  • 使用命令“vi /etc/pam.d/system-auth”修改配置文件,添加auth required pam_tally.so onerr=fail deny=10 unlock_time=300

5.3 检查特殊账号

  • 操作目的
  • 查看空口令和root权限的账号
  • 检查方法
  • 使用命令“awk -F:'($2=="")' /etc/shadow”查看空口令账号
  • 使用命令“awk -F:'($3==0)' /etc/passwd”查看UID为0的账号
  • 加固方法
  • 使用命令“passwd <用户名>”为空口令账号设定密码
  • UID为0的账号应该只有root,设置UID方法:
  • usermod -u UID <用户名>

5.4 口令周期策略

  • 操作目的
  • 加强口令的复杂度等,降低被猜解的可能性
  • 检查方法
  • 使用命令“cat /etc/login.defs|grep PASS”和“cat /etc/pam.d/system-auth”查看密码策略设置
  • 加固方法
  • 使用命令“vi /etc/login.defs”修改配置文件
  • PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
  • PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
  • PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
  • 使用chage命令修改用户设置,例如
  • chage -m 0 -M 30 -E 2000-01-01 -W 7 <用户名>
  • 表示:将此用户的密码最长使用天数设置为30,最短使用天数设为0,账号2000年1月1日过期,过期前7天里警告用户

5.5 口令复杂度策略

  • 操作目的
  • 加强口令的复杂度等,降低被猜解的可能性
  • 检查方法
  • 使用命令“cat /etc/pam.d/system-auth |grep pam_cracklib.so”查看密码复杂度策略设置
  • 加固方法
  • 建议在/etc/pam.d/system-auth 文件中配置:
  • password requisite pam_cracklib.so difok=3 minlen=8 ucredit=-1|credit=-1 dcredit=-1
  • 至少8位,包含一位大写字母,一位小写字母和一位数字

5.6 限制root远程登录

  • 操作目的
  • 限制root远程telnet登录
  • 检查方法
  • 使用命令“cat /etc/securetty |grep CONSOLE”查看是否禁止root远程登录
  • 加固方法
  • vi编辑/etc/securetty文件,配置:CONSOLE=/dev/tty01

5.7 限制用户su

  • 操作目的
  • 检查是否使用PAM认证模块禁止wheel组之外的用户su为root
  • 检查方法
  • 使用命令“cat /etc/pam.d/su|grep pam_wheel.so”查看配置文件,确认是否有相关限制
  • 加固方法
  • 编辑su文件(vi /etc/pam.d/su),在文件的开头添加相应配置

5.8 检查Grub/Lilo密码

  • 操作目的
  • 查看系统引导管理器是否设置密码
  • 检查方法
  • 使用命令“cat /etc/grub.conf|grep password”查看grub是否设置密码
  • 使用命令“cat /etc/lilo.conf|grep password”查看lilo是否设置密码
  • 加固方法
  • vi编辑/etc/grub.conf
  • splashimage这个参数下一行添加:password 密码
  • 如果需要md5加密,可以添加一行:password --md5 密码
  • vi编辑/etc/lilo.conf
  • password=密码

5.9 SNMP团体字

  • 操作目的
  • 如果打开了SNMP协议,snmp团体字设置不能使用默认的团体字
  • 检查方法
  • 查看配置文件cat /etc/snmp/snmpd.conf
  • 加固方法
  • vi编辑/etc/snmp/snmpd.conf文件
  • 应禁止使用public、private默认团体字,使用用户自定义的团体字,例如将以下设置中的public替换为用户自定义的团体字:
  • com2sec notConfigUser default public
  • 另外,如果不需SNMP服务的话,建议禁用

5.10 弱口令审计

  • 操作目的
  • 检查系统弱口令
  • 检查方法
  • 使用第三方工具来检查当前系统中存在的弱口令账号,这里我们使用John工具。
  • 方法1 使用用户名的各种变体来尝试爆破弱口令
  • #john /etc/shadow --single
  • 方法2 指定密码字典使用内部常见弱口令进行有针对性的审计
  • #john /etc/shadow --wordlist=pass.dic
  • 加固方法
  • 使用“passwd 用户名”命令为用户设置复制密码 

6、服务进程

6.1 linux系统的服务/进程

  • 系统守护进程(服务)
  • 服务就是运行在网络服务器上监听用户请求的进程
  • 服务是通过端口号来区分的
  • 常见的服务及其对应的端口
  • ftp:21
  • ssh:22
  • telnet:23
  • smtp:25
  • ssl:443
  • http(www):80
  • pop3:110

6.2 linux系统的服务/进程

  • 系统守护进程(服务)
  • 在UNIX/linux系统中,服务是一般通过inetd进程或启动脚本来启动。
  • 通过inetd来启动的服务可以通过在/etc/inetd.conf文件进行注释来禁用。
  • 通过启动脚本启动的服务可以通过改变脚本名称的方式禁用。
  • pstree命令以树状图的方式展示进程之间的关系
  • linux系统安全-2_root用户
  • ps命令可以显示每个进程的pid\cpu\内存等
  • linux系统安全-2_root用户_02

6.3 检查ssh服务

  • 操作目的
  • 对ssh服务进行安全检查
  • 检查方法
  • 使用命令“cat /etc/ssh/sshd_config”查看配置文件
  • 加固方法
  • 使用命令“vi /etc/ssh/sshd_config”编辑配置文件
  • (1)不允许root直接登录——设置“PermitRootLogin”的值为no
  • (2)修改ssh使用的协议版本——设置“Protocol”的版本为2
  • (3)修改允许密码错误次数(默认为6次)——设置“MaxAuthTries”的值为3

6.4 TCP Wrapper

  • 操作目的
  • 使用TCP Wrapper对libwrap库支持的程序做访问控制
  • 检查方法
  • 使用命令“cat /etc/hosts.allow”和“cat /etc/hosts.deny”查看配置
  • 加固方法
  • 使用命令“vi /etc/hosts.allow”和“vi /etc/hosts.deny”修改配置
  • vi /etc/hosts.allow
  • 按“i”进入编辑模式
  • 加入:sshd:IP地址
  • vi /etc/hosts.deny
  • 按“i”进入编辑模式
  • 加入:sshd:ALL
  •  (该配置为仅允许特定IP地址访问SSH)

6.5 NFS共享

  • 操作目的
  • 查看NFS共享
  • 检查方法
  • 使用“exportfs”查看NFS输出的共享目录
  • 加固方法
  • 使用命令“vi /etc/exports”编辑配置文件,删除不必要的共享

6.6 Syslogd认证相关记录

  • 操作目的
  • 查看所有日志记录
  • 检查方法
  • #cat /etc/rsyslog.conf | grep authpriv
  • 查看是否有authpriv.* /var/log/secure
  • 加固方法
  • 添加相关日志的记录:
  • 将authpriv设备的任何级别的信息记录到/var/log/secure文件中

6.7 Syslogd日志设置

  • 操作目的
  • 查看所有日志记录
  • 检查方法
  • 使用命令“cat /etc/rsyslog.conf”查看rsyslogd的配置
  • 系统日志(默认) /var/log/messages
  • cron日志(默认)  /var/log/cron
  • 安全日志(默认) /var/log/secure
  • 加固方法
  • 添加相关日志的记录

6.8 限制Ctrl+Alt+Del命令

  • 操作目的
  • 防止误使用Ctrl+Alt+Del重启系统 
  • 检查方法
  • 使用命令“cat /etc/inittab|grep ctrlaltdel”查看输入行是否被注释
  • 加固方法
  • 先使用命令“vi /etc/inittab”编辑配置文件,在行开头添加注释符号“#”
  • #ca::ctrlaltdel:/sbin/shutdown -t3 -r now,再使用命令“init q”应用设置

6.9 服务/进程安全

  • 关闭不必要的服务:
  • (1)使用命令“who -r”查看当前init级别
  • (2)使用命令“chkconfig -list <服务名>” 查看所有服务的状态
  • (3)使用命令“chkconfig -level <init级别>  <服务名> on|off|reset”设置服务在各init级别下开机是否启动