Linux安全加固

0x00 简介

　　安全加固是企业安全中及其重要的一环，其主要内容包括账号安全、认证授权、协议安全、审计安全四项，今天首先学习Linux下的系统加固（CentOS）。

0x01 账号安全

　　这一部分主要是对Linux账号进行加固。

与账号相关的文件

/etc/passwd    -- 记录了系统中各用户的一些基本属性，root可写，所有用户可读

/etc/shadow    -- 记录了所有用户的密码

/etc/group     -- 记录了用户组属性

修改密码策略

　　vim /etc/login.defs

PASS_MAX_DAYS      90               密码最长有效期
PASS_MIN_DAYS      10               密码修改之间最小的天数
PASS_MIN_LEN       8                密码长度
PASS_WARN_AGE      7                口令失效前多少天开始通知用户修改密码

设置密码强度

　　vim  /etc/pam.d/system-auth，将

password requisite  pam_cracklib.so

　　修改为至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=8:

password requisite  pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8  

　　Ubuntu中vi /etc/pam.d/common-password。

限制用户登陆

　　vim  /etc/hosts.deny，若禁止192.168.0.1对服务器进行ssh的登陆，添加如下内容

sshd : 192.168.0.1  

限制登陆次数

　　应对暴力破解，我们可以限制登陆次数为5，超过5次登陆失败就锁定。vim /etc/pam.d/sshd，在 #%PAM-1.0 的下面，加入下面的内容，表示当密码输入错误达到3次，就锁定用户150秒，如果root用户输入密码错误达到3次，锁定300秒。

auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time300

　　锁定用户的管理：

pam_tally2                             查看被锁定的用户

pam_tally2  --reset  -u  username      将被锁定的用户解锁            

0x02 认证授权

　　认证授权主要是验证你是谁，你能够做什么。

文件目录权限

　　在用户登陆中非常重要的三个文件

　　/etc/passwd 必须所有用户都可读，root用户可写 –rw-r—r— 权限值为644

　　/etc/shadow 只有root可读 –r--------  权限值为400

　　/etc/group 必须所有用户都可读，root用户可写 –rw-r—r— 权限值为644

chmod 644 /etc/passwd
chmod 400 /etc/shadow
chmod 644 /etc/group

检查是否存在除root之外UID为0的用户：

awk -F ':' '($3==0){print $1)' /etc/passwd

　　检索出来的非root用户用userdel命令全部删除。

检查是否使用PAM认证模块禁止wheel组之外的用户su为root

[root@centos ~]# #vim /etc/pam.d/su       # 新添加以下两行

auth            sufficient      pam_rootok.so

auth            required        pam_wheel.so use_uid

　　注意：auth与sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开

　　然后，:usermod -G wheel username    #username为需要添加至wheel组的用户名称，将用户添加到wheel组。注意，第一步加固表明只有wheel组中的用户才能使用su命令切换到root用户，因此必须将需要切换到root的用户添加到wheel组,以使它可以使用su命令成为root用户，如果系统不存在wheel组，则新增，新增方法：groupadd wheel。

　　PAM(Pluggable Authentication Module)是一个可插入式认证模块，在Linux系统中,各种不同的应用程序都需要完成认证功能，为了实现统一调配,把所有需要认证的功能做成一个模块(认证机制特别复杂的除外，如:https)，当特定的程序需要完成认证功能的时候，就去调用PMA的认证模块。

文件与目录缺省权限控制

[root@centos ~]#cp /etc/profile /etc/profile.bak

[root@centos ~]# vim   /etc/profile

umask 027

[root@centos ~]#source  /etc/profile

0x03 协议安全

　　协议加固主要阻止入侵者远程获取服务器的权限。

SSH安全
　　SSH是一个协议，利用它可以登录到一个远程系统或远程执行系统命令，默认允许root登录，并且sshv1存在缺陷，我们应该在sshd_config禁止root访问和使用sshv2来让ssh更加安全。vim /etc/ssh/sshd_config 修改为：

PermitRootLogin    no

telnet安全

　　早期的Linux默认开启telnet服务，telnet,ftp,rlogin都是明文传输的协议，如果必须使用telnet，则需要进行安全配置：

/etc/xinetd.d/telnet
disable=yes

禁止匿名ftp

　　[root@wenzhiyi ~]# vim  /etc/vsftpd/vsftpd.conf

　　anonymous_enable=NO    #如果存在anonymous_enable则修改,如果不存在则手动增加

预防Flood攻击

[root@centos ~]# vim  /etc/sysctl.conf

[root@centos ~]# net.ipv4.tcp_syncookies = 1

[root@centos ~]# sysctl  -p  #让命令生效

禁止ping

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 开启
# echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all  关闭

0x04 审计安全

　　日志就是计算机系统、设备、软件等在某种情况下记录的信息。具体的内容取决于日志的来源

检查是否记录安全事件日志

[root@wenzhiyi ~]# vim  /etc/syslog.conf 或者 /etc/rsyslog.conf,在文件中加入如下内容: 

*.err;kern.debug;daemon.notice     /var/log/messages

[root@wenzhiyi ~]# chmod 640 /var/log/messages

[root@wenzhiyi ~]#  service rsyslog restart 

建立日志服务器

　　日志服务器的好处在于，每个工作服务器将自己的日志信息发送给日志服务器进行集中管理，即使有人入侵了服务器并将自己的登录信息悄悄删除，但由于日志信息实时与日志服务器同步，保证了日志的完整性。以备工作人员根据日志服务器信息对服务器安全进行评测。

　　在客户端修改配置文件/etc/rsyslog.conf

　　想把哪种类型的日志文件发送给服务端，你就把他原来的对应的目录改成： @日志服务器ip

　　然后重启rsyslog服务：

 systemctl  restart  rsyslog

　　在服务器端打开 /etc/rsyslog.conf 配置文件，将后两行注释给去掉

 

　　然后重启rsyslog服务，开启防火墙，这样就完成了日志服务器的搭建。

systemctl  restart  rsyslog
firewall-cmd  --add-port=514/tcp