六招輕鬆搞定你的CentOS系統安全加固
Redhat是目前企業中用的最多的一類Linux,而目前針對Redhat攻擊的黑客也越來越多了。我們要如何爲這類服務器做好安全加固工作呢?
一. 賬戶安全
1.1 鎖定系統中多餘的自建帳號
檢查方法:
執行命令
#cat /etc/passwd
#cat /etc/shadow
查看賬戶、口令文件,與系統管理員確認不必要的賬號。對於一些保留的系統僞帳戶如:bin, sys,adm,uucp,lp, nuucp,hpdb, www, daemon等可根據需要鎖定登陸。
備份方法:
#cp -p /etc/passwd /etc/passwd_bak
#cp -p /etc/shadow /etc/shadow_bak
加固方法:
使用命令passwd -l <用戶名>鎖定不必要的賬號。
使用命令passwd -u <用戶名>解鎖需要恢復的賬號。
圖1 |
風險:
需要與管理員確認此項操作不會影響到業務系統的登錄
1.2設置系統口令策略
檢查方法:
使用命令
#cat /etc/login.defs|grep PASS查看密碼策略設置
備份方法:
cp -p /etc/login.defs /etc/login.defs_bak
加固方法:
#vi /etc/login.defs修改配置文件
PASS_MAX_DAYS 90 #新建用戶的密碼最長使用天數
PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數
PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數
PASS_MIN_LEN 9 #最小密碼長度9
|
圖2 |
風險:無可見風險
1.3禁用root之外的超級用戶
檢查方法:
#cat /etc/passwd 查看口令文件,口令文件格式如下:
login_name:password:user_ID:group_ID:comment:home_dir:command
login_name:用戶名
password:加密後的用戶密碼
user_ID:用戶ID,(1 ~ 6000) 若用戶ID=0,則該用戶擁有超級用戶的權限。查看此處是否有多個ID=0。
group_ID:用戶組ID
comment:用戶全名或其它註釋信息
home_dir:用戶根目錄
command:用戶登錄後的執行命令
備份方法:
#cp -p /etc/passwd /etc/passwd_bak
加固方法:
使用命令passwd -l <用戶名>鎖定不必要的超級賬戶。
使用命令passwd -u <用戶名>解鎖需要恢復的超級賬戶。
風險:需要與管理員確認此超級用戶的用途。
1.4 限制能夠su爲root的用戶
檢查方法:
#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目
備份方法:#cp -p /etc/pam.d /etc/pam.d_bak
加固方法:
#vi /etc/pam.d/su
在頭部添加:
auth required /lib/security/pam_wheel.so group=wheel
這樣,只有wheel組的用戶可以su到root
#usermod -G10 test 將test用戶加入到wheel組
圖3 |
風險:需要PAM包的支持;對pam文件的修改應仔細檢查,一旦出現錯誤會導致無法登陸;和管理員確認哪些用戶需要su。
當系統驗證出現問題時,首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息,根據這些信息判斷用戶賬號的有效
性。如果是因爲PAM驗證故障,而引起root也無法登錄,只能使用single user或者rescue模式進行排錯。
1.5 檢查shadow中空口令帳號
檢查方法:
#awk -F: '($2 == "") { print $1 }' /etc/shadow
備份方法:cp -p /etc/shadow /etc/shadow_bak
加固方法:對空口令賬號進行鎖定,或要求增加密碼
圖4 |
風險:要確認空口令賬戶是否和應用關聯,增加密碼是否會引起應用無法連接。
二、最小化服務
2.1 停止或禁用與承載業務無關的服務
檢查方法:
#who –r或runlevel 查看當前init級別
#chkconfig --list 查看所有服務的狀態
備份方法:記錄需要關閉服務的名稱
加固方法:
#chkconfig --level <服務名> on|off|reset 設置服務在個init級別下開機是否啓動
圖5 |
風險:某些應用需要特定服務,需要與管理員確認。
三、數據訪問控制
3.1 設置合理的初始文件權限
檢查方法:
#cat /etc/profile 查看umask的值
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
umask=027
風險:會修改新建文件的默認權限,如果該服務器是WEB應用,則此項謹慎修改。
四、網絡訪問控制
4.1 使用SSH進行管理
檢查方法:
#ps –aef | grep sshd 查看有無此服務
備份方法:
加固方法:
使用命令開啓ssh服務
#service sshd start
風險:改變管理員的使用習慣
4.2 設置訪問控制策略限制能夠管理本機的IP地址
檢查方法:
#cat /etc/ssh/sshd_config 查看有無AllowUsers的語句
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config,添加以下語句
AllowUsers *@10.138.*.* 此句意爲:僅允許10.138.0.0/16網段所有用戶通過ssh訪問
保存後重啓ssh服務
#service sshd restart
風險:需要和管理員確認能夠管理的IP段
4.3 禁止root用戶遠程登陸
檢查方法:
#cat /etc/ssh/sshd_config 查看PermitRootLogin是否爲no
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
加固方法:
#vi /etc/ssh/sshd_config
PermitRootLogin no
保存後重啓ssh服務
service sshd restart
圖6 |
風險:root用戶無法直接遠程登錄,需要用普通賬號登陸後su
4.4 限定信任主機
檢查方法:
#cat /etc/hosts.equiv 查看其中的主機
#cat /$HOME/.rhosts 查看其中的主機
備份方法:
#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak
加固方法:
#vi /etc/hosts.equiv 刪除其中不必要的主機
#vi /$HOME/.rhosts 刪除其中不必要的主機
風險:在多機互備的環境中,需要保留其他主機的IP可信任。
4.5 屏蔽登錄banner信息
檢查方法:
#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段,或banner字段爲NONE
#cat /etc/motd 查看文件內容,該處內容將作爲banner信息顯示給登錄用戶。
備份方法:
#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
#cp -p /etc/motd /etc/motd_bak
加固方法:
#vi /etc/ssh/sshd_config
banner NONE
#vi /etc/motd
刪除全部內容或更新成自己想要添加的內容
風險:無可見風險
4.6 防止誤使用Ctrl+Alt+Del重啓系統
檢查方法:
#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被註釋
備份方法:
#cp -p /etc/inittab /etc/inittab_bak
加固方法:
#vi /etc/inittab
在行開頭添加註釋符號“#”
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
圖7 |
風險:無可見風險
五、用戶鑑別
5.1 設置帳戶鎖定登錄失敗鎖定次數、鎖定時間
檢查方法:
#cat /etc/pam.d/system-auth 查看有無auth required pam_tally.so條目的設置
備份方法:
#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
加固方法:
#vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設置爲密碼連續錯誤6次鎖定,鎖定時間300秒
解鎖用戶 faillog -u <用戶名> -r
風險:需要PAM包的支持;對pam文件的修改應仔細檢查,一旦出現錯誤會導致無法登陸;
當系統驗證出現問題時,首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息,根據這些信息判斷用戶賬號的有效
性。
5.2 修改帳戶TMOUT值,設置自動註銷時間
檢查方法:
#cat /etc/profile 查看有無TMOUT的設置
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
增加
TMOUT=600 無操作600秒後自動退出
風險:無可見風險
5.3 Grub/Lilo密碼
檢查方法:
#cat /etc/grub.conf|grep password 查看grub是否設置密碼
#cat /etc/lilo.conf|grep password 查看lilo是否設置密碼
備份方法:
#cp -p /etc/grub.conf /etc/grub.conf_bak
#cp -p /etc/lilo.conf /etc/lilo.conf_bak
加固方法:爲grub或lilo設置密碼
風險:etc/grub.conf通常會鏈接到/boot/grub/grub.conf
5.4 限制FTP登錄
檢查方法:
#cat /etc/ftpusers 確認是否包含用戶名,這些用戶名不允許登錄FTP服務
備份方法:
#cp -p /etc/ftpusers /etc/ftpusers_bak
加固方法:
#vi /etc/ftpusers 添加行,每行包含一個用戶名,添加的用戶將被禁止登錄FTP服務
風險:無可見風險
5.5 設置Bash保留歷史命令的條數
檢查方法:
#cat /etc/profile|grep HISTSIZE=
#cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數
備份方法:
#cp -p /etc/profile /etc/profile_bak
加固方法:
#vi /etc/profile
修改HISTSIZE=5和HISTFILESIZE=5即保留最新執行的5條命令
圖8 |
風險:無可見風險
六、審計策略
6.1 配置系統日誌策略配置文件
檢查方法:
#ps –aef | grep syslog 確認syslog是否啓用
#cat /etc/syslog.conf 查看syslogd的配置,並確認日誌文件是否存在
系統日誌(默認)/var/log/messages
cron日誌(默認)/var/log/cron
安全日誌(默認)/var/log/secure
備份方法:
#cp -p /etc/syslog.conf
圖9 |
6.2 爲審計產生的數據分配合理的存儲空間和存儲時間
檢查方法:
#cat /etc/logrotate.conf 查看系統輪詢配置,有無
# rotate log files weekly
weekly
# keep 4 weeks worth of backlogs
rotate 4 的配置
備份方法:
#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak
加固方法:
#vi /etc/logrotate.d/syslog
增加
rotate 4 日誌文件保存個數爲4,當第5個產生後,刪除最早的日誌
size 100k 每個日誌的大小
加固後應類似如下內容:
/var/log/syslog/*_log {
missingok
notifempty
size 100k # log files will be rotated when they grow bigger that 100k.
rotate 5 # will keep the logs for 5 weeks.
compress # log files will be compressed.
sharedscripts
postrotate
/etc/init.d/syslog condrestart >/dev/null 2>1 || true
endscript
}
圖10 |
風險:無可見風險