Linux操作系统安全配置
1. 更新系统
更新系统和软件,可以修补部分已知的bug和漏洞
# CentOS
sudo yum makecache
sudo yum update -y
# 如果机器对内核有特俗要求不需要升级
yum update --exclude=kernel* -y
# Ubuntu
sudo apt update
sudo apt upgrade -y
2. 账户相关
• 注释不使用的用户和组
# 需要注释的用户
adm、lp、sync、shutdown、halt、operator、games、ftp
# 编辑文件/etc/passwd
# adm:x:3:4:adm:/var/adm:/sbin/nologin
# lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
# sync:x:5:0:sync:/sbin:/bin/sync
# shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
# halt:x:7:0:halt:/sbin:/sbin/halt
# 需要注释的用户组
adm、lp、games
# 编辑文件/etc/group
# adm:x:4:
# lp:x:7:
# games:x:20:
• 应用账户禁止登陆
# 编辑文件/etc/passwd
postfix:x:89:89::/var/spool/postfix:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
chrony:x:997:995::/var/lib/chrony:/sbin/nologin
tcpdump:x:72:72::/:/sbin/nologin
etcd:x:996:992:etcd user:/var/lib/etcd:/sbin/nologin
rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
# 创建用户时指定/sbin/nologin
useradd user -s /sbin/nologin -M
## -M 不创建用户home
• 设置账户密码策略
# 编辑文件/etc/login.defs
# 设置密码过期天数
PASS_MAX_DAYS 60
# 设置可用密码的最短天数(多长时间不能修改密码)
PASS_MIN_DAYS 0
# 设置密码到期前警告的天数
PASS_WARN_AGE 7
# 设置密码最小长度
PASS_MIN_LEN 9
# 上面的步骤仅仅对新创建的用户生效,现有用户需要命令配置
## PASS_MAX_DAYS
chage -M days user
## PASS_MIN_DAYS
chage -m days user
## PASS_WARN_AGE
chage -W days user
# 强制用户下次登陆修改密码
chage -d 0 user
• 限制su使用
3. 禁用服务
NetworkManager是桌面管理网卡的服务,服务器端不需启动,postfix是邮件服务,通常不需要启动。
# 关闭桌面网卡管理服务
systemctl disable NetworkManager
# 关闭邮件服务
systemctl disable postfix
4. SSH配置
# /etc/ssh/sshd_config
# 禁止root用户ssh登录
PermitRootLogin no
# 绑定监听的网络
ListenAddress 192.168.1.10
# 修改ssh默认端口
Port 22333
# 不显示登录欢迎信息
PrintMotd no
# 配置远程连接超时
ClientAliveInterval 600
ClientAliveCountMax 3
# 最大尝试登录次数
MaxAuthTries 3
# 最大联机数
MaxStartups 3
# 禁止空密码登录
PermitEmptyPasswords no
# 仅允许使用SSH2
Protocol 2
# 禁止密码登录,仅仅允许私钥
# PasswordAuthentication no
# 配置允许ssh的用户(一般只开放一个sudo用户)
AllowUsers user
附:sudo用户创建
# 创建用户
useradd $user
echo $passwd | passwd --stdin $user
# 用户添加sudo
echo "$user ALL=(ALL) ALL" >>/etc/sudoers
5. history优化
histroy表示用户执行命令的历史记录,默认保留2000条
# 仅保留50条命令历史
# 编辑文件/etc/profile
HISTSIZE=50
# 退出终端后自动清理历史记录
# 编辑文件~/.bash_logout
# ~/.bash_logout
history -c
clear
6. 防火墙配置
Linux防火墙在安全方面起到了至关重要的作用,我们尽量去了解下对应的功能和用法。目前Centos7使用的防火墙工具是firewalld,Ubuntu18.04使用的防火墙工具是ufw,为什么说是防火墙工具而不是防火墙呢?
firewalld和ufw自身并不具备防火墙的功能,而是需要通过内核的netfilter来实现,也就是说他们的作用都是用于维护规则,而真正使用规则干活的是内核的netfilter,只不过firewalld和ufw的结构以及使用方法不一样罢了。
下面简单介绍下二者主要功能和用法:
(下面使用sudo用户操作)
# CentOS7
# 允许firewalld服务(默认开放了ssh端口22)
sudo systemctl enalbe firewalld
sudo systemctl start firewalld
# 查看所有打开的端口(默认的域为public)
sudo firewall-cmd --zone=public --list-ports
# 开放端口
sudo firewall-cmd --zone=public --add-port=80/tcp --permanent
# 限制端口
sudo firewall-cmd --zone=public --remove-port=80/tcp --permanent
# 允许特定ip/ip段访问特定端口
sudo firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="80" accept"
# 删除规则
sudo firewall-cmd --permanent --remove-rich-rule="rule family="ipv4" source address="192.168.1.0/24" port protocol="tcp" port="80" accept"
# 重载配置,动态添加规则,服务不中断
sudo firewall-cmd --reload
# 重载配置,停止服务,重新加载配置
sudo firewall-cmd --complete-reload
# Ubuntu
# 允许ufw服务
sudo ufw enable
# 关闭所有外部连结并开启22端口
sudo ufw default deny && sudo ufw allow 22
# 开放端口
sudo ufw allow 80
# 限制端口
sudo ufw delete allow 80
# 允许特定来源ip
sudo ufw allow from 192.168.1.1
# 允许特点来源ip段
sudo ufw allow from 192.168.1.1/24
# 允许特定来源ip/ip段以tcp协议访问特点端口(这个可以随机变通调整)
sudo ufw allow proto tcp from 192.168.0.0/24 to any port 22
7. tcp_wrappers
TCP_Wrappers是一个工作在第四层(传输层)的的安全工具,对有状态连接的特定服务进行安全检测并实现访问控制,凡是包含有libwrap.so库文件的的程序就可以受TCP_Wrappers的安全控制。它的主要功能就是控制谁可以访问,常见的程序有rpcbind、vsftpd、sshd,telnet。
TCP_Wrappers有一个TCP的守护进程叫作tcpd。以ssh为例,每当有ssh的连接请求时,tcpd即会截获请求,先读取系统管理员所设置的访问控制文件,符合要求,则会把这次连接原封不动的转给真正的ssh进程,由ssh完成后续工作;如果这次连接发起的ip不符合访问控制文件中的设置,则会中断连接请求,拒绝提供ssh服务。
# 设定规则格式
service: hosts
# ALL 所有服务或者所有ip
# ALL EXCEPT 从所有服务或所有ip中除去制定的
# 允许 /etc/hosts.allow
# 允许特定ip使用ssh
sshd: 192.168.1.10
# 除特定ip外都允许ssh
sshd: ALL EXCEPT 192.168.1.20
# 禁止 /etc/hosts.deny
# 禁止特定ip使用ssh
sshd: 192.168.1.20
# 禁止ip段访问所有服务
ALL: 192.168.20.0/24
8. 锁定关键文件
# 锁定关键目录为防止rootkit
# 锁定系统关键目录不可修改
chattr -R +i /bin /sbin /lib /boot
# 锁定用户关键目录为只能添加
chattr -R +a /usr/bin /usr/include /usr/lib /usr/sbin
# 系统关键配置文件锁定不可修改
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/hosts
chattr +i /etc/resolv.conf
chattr +i /etc/fstab
chattr +i /etc/sudoers
chattr -R +i /etc/sudoers.d
# 系统日志系统锁定为只能添加
chattr +a /var/log/messages
chattr +a /var/log/wtmp
9. 终端自动注销
# 修改文件/etc/profile
# 终端600s无操作自动注销
export TMOUT=600
# 使配置生效
source /etc/profile