六招輕鬆搞定你的CentOS系統安全加固

六招輕鬆搞定你的CentOS系統安全加固

 

Redhat是目前企業中用的最多的一類Linux，而目前針對Redhat攻擊的黑客也越來越多了。我們要如何爲這類服務器做好安全加固工作呢？

一.  賬戶安全

1.1 鎖定系統中多餘的自建帳號

檢查方法:

執行命令

#cat /etc/passwd

#cat /etc/shadow

查看賬戶、口令文件，與系統管理員確認不必要的賬號。對於一些保留的系統僞帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據需要鎖定登陸。

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命令passwd -l <用戶名>鎖定不必要的賬號。

使用命令passwd -u <用戶名>解鎖需要恢復的賬號。

 

圖1

 

風險:

需要與管理員確認此項操作不會影響到業務系統的登錄

1.2設置系統口令策略

檢查方法：

使用命令

#cat /etc/login.defs|grep PASS查看密碼策略設置

備份方法：

cp -p /etc/login.defs /etc/login.defs_bak

加固方法：

#vi /etc/login.defs修改配置文件

PASS_MAX_DAYS   90        #新建用戶的密碼最長使用天數

PASS_MIN_DAYS   0         #新建用戶的密碼最短使用天數

PASS_WARN_AGE   7         #新建用戶的密碼到期提前提醒天數

PASS_MIN_LEN    9         #最小密碼長度9

 

 

圖2

 

風險：無可見風險

1.3禁用root之外的超級用戶

檢查方法：

#cat /etc/passwd 查看口令文件，口令文件格式如下：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：用戶名

password：加密後的用戶密碼

user_ID：用戶ID，（1 ~ 6000）   若用戶ID=0，則該用戶擁有超級用戶的權限。查看此處是否有多個ID=0。

group_ID：用戶組ID

comment：用戶全名或其它註釋信息

home_dir：用戶根目錄

command：用戶登錄後的執行命令

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

加固方法：

使用命令passwd -l <用戶名>鎖定不必要的超級賬戶。

使用命令passwd -u <用戶名>解鎖需要恢復的超級賬戶。

風險：需要與管理員確認此超級用戶的用途。

1.4 限制能夠su爲root的用戶

檢查方法：

#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目

備份方法：#cp -p /etc/pam.d /etc/pam.d_bak

加固方法：

#vi /etc/pam.d/su

在頭部添加：

auth required /lib/security/pam_wheel.so group=wheel

這樣，只有wheel組的用戶可以su到root

#usermod -G10 test 將test用戶加入到wheel組

 

圖3

 

風險：需要PAM包的支持；對pam文件的修改應仔細檢查，一旦出現錯誤會導致無法登陸；和管理員確認哪些用戶需要su。

當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效
性。如果是因爲PAM驗證故障，而引起root也無法登錄，只能使用single user或者rescue模式進行排錯。

1.5  檢查shadow中空口令帳號

檢查方法：

#awk -F: '($2 == "") { print $1 }' /etc/shadow

備份方法：cp -p /etc/shadow /etc/shadow_bak

加固方法：對空口令賬號進行鎖定，或要求增加密碼

 

圖4

 

風險：要確認空口令賬戶是否和應用關聯，增加密碼是否會引起應用無法連接。

二、最小化服務

2.1 停止或禁用與承載業務無關的服務

檢查方法：

#who –r或runlevel    查看當前init級別

#chkconfig --list     查看所有服務的狀態

備份方法：記錄需要關閉服務的名稱

加固方法：

#chkconfig --level <服務名> on|off|reset    設置服務在個init級別下開機是否啓動

 

圖5

 

風險：某些應用需要特定服務，需要與管理員確認。

三、數據訪問控制

3.1 設置合理的初始文件權限

檢查方法：

#cat /etc/profile    查看umask的值

備份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

umask=027

風險：會修改新建文件的默認權限，如果該服務器是WEB應用，則此項謹慎修改。

四、網絡訪問控制

4.1 使用SSH進行管理

檢查方法：

#ps –aef | grep sshd    查看有無此服務

備份方法：

加固方法：

使用命令開啓ssh服務

#service sshd start

風險：改變管理員的使用習慣

4.2  設置訪問控制策略限制能夠管理本機的IP地址

檢查方法：

#cat /etc/ssh/sshd_config  查看有無AllowUsers的語句

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config，添加以下語句

AllowUsers  *@10.138.*.*     此句意爲：僅允許10.138.0.0/16網段所有用戶通過ssh訪問

保存後重啓ssh服務

#service sshd restart

風險：需要和管理員確認能夠管理的IP段

4.3 禁止root用戶遠程登陸

檢查方法：

#cat /etc/ssh/sshd_config  查看PermitRootLogin是否爲no

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

加固方法：

#vi /etc/ssh/sshd_config

PermitRootLogin no

保存後重啓ssh服務

service sshd restart

 

圖6

 

風險：root用戶無法直接遠程登錄，需要用普通賬號登陸後su

4.4 限定信任主機

檢查方法：

#cat /etc/hosts.equiv 查看其中的主機

#cat /$HOME/.rhosts   查看其中的主機

備份方法：

#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak

#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak

加固方法：

#vi /etc/hosts.equiv 刪除其中不必要的主機

#vi /$HOME/.rhosts   刪除其中不必要的主機

風險：在多機互備的環境中，需要保留其他主機的IP可信任。

4.5  屏蔽登錄banner信息

檢查方法：

#cat /etc/ssh/sshd_config    查看文件中是否存在Banner字段，或banner字段爲NONE

#cat /etc/motd               查看文件內容，該處內容將作爲banner信息顯示給登錄用戶。

備份方法：

#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak

#cp -p /etc/motd /etc/motd_bak

加固方法：

#vi /etc/ssh/sshd_config   

banner NONE

#vi /etc/motd

刪除全部內容或更新成自己想要添加的內容

風險：無可見風險

4.6 防止誤使用Ctrl+Alt+Del重啓系統

檢查方法：

#cat /etc/inittab|grep ctrlaltdel     查看輸入行是否被註釋

備份方法：

#cp -p /etc/inittab /etc/inittab_bak

加固方法：

#vi /etc/inittab

在行開頭添加註釋符號“#”

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

 

圖7

 

風險：無可見風險

五、用戶鑑別

5.1  設置帳戶鎖定登錄失敗鎖定次數、鎖定時間

檢查方法：

#cat /etc/pam.d/system-auth   查看有無auth required pam_tally.so條目的設置

備份方法：

#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak

加固方法：

#vi /etc/pam.d/system-auth

auth required pam_tally.so onerr=fail deny=6 unlock_time=300  設置爲密碼連續錯誤6次鎖定，鎖定時間300秒

解鎖用戶 faillog  -u  <用戶名>  -r

風險：需要PAM包的支持；對pam文件的修改應仔細檢查，一旦出現錯誤會導致無法登陸；

當系統驗證出現問題時，首先應當檢查/var/log/messages或者/var/log/secure中的輸出信息，根據這些信息判斷用戶賬號的有效
性。

5.2 修改帳戶TMOUT值，設置自動註銷時間

檢查方法：

#cat /etc/profile    查看有無TMOUT的設置

備份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

增加

TMOUT=600    無操作600秒後自動退出

風險：無可見風險

5.3 Grub/Lilo密碼

檢查方法：

#cat /etc/grub.conf|grep password    查看grub是否設置密碼

#cat /etc/lilo.conf|grep password    查看lilo是否設置密碼

備份方法：

#cp -p /etc/grub.conf /etc/grub.conf_bak

#cp -p /etc/lilo.conf /etc/lilo.conf_bak

加固方法：爲grub或lilo設置密碼

風險：etc/grub.conf通常會鏈接到/boot/grub/grub.conf

5.4 限制FTP登錄

檢查方法：

#cat /etc/ftpusers    確認是否包含用戶名，這些用戶名不允許登錄FTP服務

備份方法：

#cp -p /etc/ftpusers /etc/ftpusers_bak

加固方法：

#vi /etc/ftpusers    添加行，每行包含一個用戶名，添加的用戶將被禁止登錄FTP服務

風險：無可見風險

5.5 設置Bash保留歷史命令的條數

檢查方法：

#cat /etc/profile|grep HISTSIZE=

#cat /etc/profile|grep HISTFILESIZE=    查看保留歷史命令的條數

備份方法：

#cp -p /etc/profile /etc/profile_bak

加固方法：

#vi /etc/profile

修改HISTSIZE=5和HISTFILESIZE=5即保留最新執行的5條命令

 

圖8

 

風險：無可見風險

六、審計策略

6.1 配置系統日誌策略配置文件

檢查方法：

#ps –aef | grep syslog   確認syslog是否啓用

#cat /etc/syslog.conf     查看syslogd的配置，並確認日誌文件是否存在

系統日誌（默認）/var/log/messages

cron日誌（默認）/var/log/cron

安全日誌（默認）/var/log/secure

備份方法：

#cp -p /etc/syslog.conf

 

圖9

 

6.2 爲審計產生的數據分配合理的存儲空間和存儲時間

檢查方法：

#cat /etc/logrotate.conf    查看系統輪詢配置，有無

# rotate log files weekly

weekly

# keep 4 weeks worth of backlogs

rotate 4  的配置

備份方法：

#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak

加固方法：

#vi /etc/logrotate.d/syslog

增加

rotate 4     日誌文件保存個數爲4，當第5個產生後，刪除最早的日誌

size 100k    每個日誌的大小

加固後應類似如下內容：

/var/log/syslog/*_log {
missingok
notifempty
size 100k # log files will be rotated when they grow bigger that 100k.
rotate 5  # will keep the logs for 5 weeks.
compress  # log files will be compressed.
sharedscripts
postrotate
/etc/init.d/syslog condrestart >/dev/null 2>1 || true
endscript
}

 

圖10

 

風險：無可見風險