Linux安全加固

安全加固的方案原则

1. 版本升级
2. 关闭端口服务
3. 修改配置项
4. 修改代码
5. 主机和网络ACL（iptables）策略
6. 部署设备防护

Linux安全加固的主要方向

1. 账号管理与认证授
   1. 为不同的管理员分配不同的账号
   2. 检查高权限文件
   3. 去除不需要的账号、修改默认账号shell环境
   4. 限制超级管理员远程登录
   5. 删除root以外UID为0的用户
   6. 不应该存在位于高权限组的用户
   7. 缩短默认密码生存周期
   8. 设置密码强度策略（高强度密码）
   9. 设置强制密码历史（设置密码时不能跟之前的密码历史相冲突）
   10. 设置账户锁定策略（防账户猜测，暴力破解）
   11. 设置关键目录的权限
   12. 修改umask（反码）值（防止属于该组的其他用户级别组的用户修改该用户的文件）
       • /etc/profile
       • /etc/csh.login
       • /etc/csh.cshrc
       • /etc/bashrc
       • 在以上文件的末尾添加 umask 027
   13. 限制硬件资源（限制用户对系统资源的使用，减缓DDOS攻击）
   14. 对用户使用ls、rm设置别名等等（让ls随时看清文件属性，让rm需要确认后删除目标实施方法）
   15. 禁止任何人su切换为root账户（减少提权风险），让加入了wheel组的用户才可以切换root账户
   16. 去掉所有SUID和SGID（防止被利用提权）
   17. 为开放目录设置粘滞位
   18. 启用日志记录功能，使用日志服务器
   19. 重要日志权限不应该高于640
   20. 设置关键文件底层属性
   • chattr +a /var/log/messages
   • chattr +i /var/log/messages.*
   • chattr +i /etc/shadow
   • chattr +i /etc/passwd
   • chattr +i /etc/group
2. 通讯协议
   1. 关闭非加密远程管理telnet
   2. 使用加密的远程连接ssh
   3. 设置访问控制列表（设置访问控制白名单，减少入侵的风险）
   4. 固化常用DNS解析（降低DNS被劫持的可能）
   5. 打开syncookie（当syn溢出时，使用cookie的方式写入文件来调用，来缓解syn flood<洪水攻击>）
   6. 不响应ICMP请求（不对ICMP请求做出响应，避免信息泄露，让用户无法ping）
   7. 禁止处理无源路由（防止中间人ARP抓包）
   8. 防御syn flood攻击优化（修改半连接上限，缓解syn flood攻击）
   9. FTP使用黑白名单限制（防止非法账户访问ftp）
   10. FTP设置上传文件后的默认权限（防止脚本执行）
   11. FTP设置banner信息（去掉banner信息）
   12. 配置可信任的NTP（时间）服务器，确保服务开启（保持时间同步，防止某些服务错误）
   13. 检查账户目录中是否存在高危文件:.netrc、.rhosts（防止被使用远程登录漏洞）
   14. 补丁装载（不推荐yum update，防止不兼容的软件版本使服务宕机，先进行服务器克隆，然后再进行补丁测试，没有问题再放到生产环境）
   15. 关闭NFS服务（防止被外挂文件系统，导致入侵）
3. 服务进程与启动
   1. 　　关闭无用服务（systemctl list-unit-files | grep enabled 命令来查看所有开启的服务）
4. 　　banner与自动注销
   1. 隐藏系统提示信息（避免信息提示泄露系统状态）
   2. 设置登录超时注销（防止疏忽导致命令行被他人利用）
   3. 减少history历史数量
   4. 跳过grup菜单（防止再grup菜单对引导过程进行修改）
   5. 关闭ctrl+alt+del重启功能（防止误操作重启服务器）