0x01 前 言
Linux系统被应用于大部分企业的服务器上,因此在等保测评中主机加固也是必须要完成的一项环节。
由于在之后项目开始要进行主机加固,因此对linux的加固流程进行总结学习。
Linux的主机加固主要分为:账号安全、认证授权、协议安全、审计安全。简而言之,就是4A(统一安全管理平台解决方案)。
这边就使用我自己kali的虚拟机进行试验学习。
0x02 基础加固
口令生存期
gedit /etc/login.defs
#在此处对密码的长度、时间、过期警告进行修改
PASS_MAX_DAYS 90 #密码最长过期天数
PASS_MIN_DAYS 10 #密码最小过期天数
PASS_WARN_AGE 7 #密码过期警告天数
如果修改设置有最小长度也需要修改
PASS_MIN_LEN 8 #密码最小长度
口令复杂度(很重要)
vim /etc/pam.d/system-auth
#在文件中找到 password requisite pam_cracklib.so
#将其修改为:
password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8
备注:至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=8
版本信息
cat /proc/version
限制xx用户登录
vim /etc/hosts.deny
#添加内容:
sshd : 192.168.1.1
#禁止192.168.1.1对服务器进行ssh的登陆
检查是否有其他uid=0的用户
awk -F “:” '($3==0) {print $1} ' /etc/passwd
登陆超时限制
cp -p /etc/profile /etc/profile_bak #(备份)
gedit /etc/profile
#增加
TMOUT=300
export TMOUT
#或者
echo 'export TMOUT=300'>>/etc/profile
echo 'readonly TMOUT' >>/etc/profile
source /etc/profile
检查是否使用PAM认证模块禁止wheel组之外的用户su为root
gedit /etc/pam.d/su
#新增
auth sufficient pam_rootok.so
auth required pam_wheel.so use_uid
备注:auth与sufficient之间由两个tab建隔开,sufficient与动态库路径之间使用一个tab建隔开
禁用无用账户
cat /etc/passwd #查看口令文件,确认不必要的账号。
passwd -l user # 锁定不必要的账号
账户锁定
gedit /etc/pam.d/system-auth
#在文件中修改或者添加
auth required pam_tally.so onerr=fail deny=3 unlock_time=7200
#锁定账户举例:
passwd -l bin
passwd -l sys
passwd -l adm
检查系统弱口令
john /etc/shadow --single
john /etc/shadow --wordlist=pass.dic
我这边有报错 就不展示了
使用passwd 用户 命令为用户设置复杂的密码
0x03 软件协议安全
openssh升级(按需做)
yum update openssh
定时任务(防止病毒感染)
#定时任务检查:
crontab -l
#一次性任务检查:
at -l
限制ssh登录(看是否需要)
vim /etc/ssh/sshd_config
#查看PermitRootLogin是否为no
PermitRootLogin no #不允许root登陆
Protocol 2 #修改ssh使用的协议版本
MaxAuthTries 3 #修改允许密码错误次数
echo "tty1" > /etc/securetty
hmod 700 /root
限制su为root用户
gedit /etc/pam.d/su
#在头部添加
auth required /lib/security/pam_wheel.so group=wheel
禁止root用户登录ftp
#因为我的kali下没有这个文件,因此借鉴一下网上的
cat /etc/pam.d/vsftpd
Auth required pam_listfile.so item=user sense=deny file=/etc/vsftpd/ftpusers onerr=succeed
#其中file=/etc/vsftpd/ftpusers即为当前系统上的ftpusers文件.
echo “root” >> /etc/vsftpd/ftpusers
防止flood攻击
gedit /etc/sysctl.conf
#增加
net.ipv4.tcp_syncookies = 1
sysctl -p
禁ping
echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all
检查异常进程
ps aux|sort -rn -k +3|head
#检查cpu占用前10
ps aux|sort -rn -k +4|head
#检查内存占用前10
关闭无效的服务及端口
#比如邮箱
service postfix status
chkconfig --del postfix
chkconfig postfix off
#比如cpus
service cups status
chkconfig --del cups
chkconfig cups off
设置防火墙策略
#或者用防火墙策略:
service iptables status
echo '请根据用户实际业务端口占用等情况进行设置!'
例如:
gedit /etc/sysconfig/iptables #添加如下策略
-A INPUT -m state --state NEW -m tcp -p tcp --dport 8080 -j ACCEPT
-A INPUT -m state --state NEW -m udp -p udp --dport 8080 -j ACCEPT
以下举例:
iptables -I INPUT -s 22.48.11.11 -j DROP
# 22.48.11.11的包全部屏蔽
iptables -I INPUT -s 22.48.11.0/24 -j DROP
#22.48.11.1到22.48.11.255的访问全部屏蔽
iptables -I INPUT -s 192.168.1.1 -p tcp --dport 80 -j DROP
# 192.168.1.1的80端口的访问全部屏蔽
iptables -I INPUT -s 192.168.1.0/24 -p tcp --dport 80 -j DROP
#192.168.1.1到192.168.1.255的80端口的访问全部屏蔽
service iptabels restart
#重启防火墙
设置历史记录数量
cp /etc/profile /etc/profile_xu_bak #(备份)
sed -i s/'HISTSIZE=1000'/'HISTSIZE=5000'/g /etc/profile #(修改)
cat /etc/profile |grep HISTSIZE|grep -v export #(检查)
配置用户最小权限
chmod 644 /etc/passwd
chmod 400 /etc/shadow
chmod 644 /etc/group
文件与目录缺省权限控制
cp /etc/profile /etc/profile.bak #(备份)
gedit /etc/profile
#增加
umask 027
source /etc/profile
0x04 日志审计
启用远程日志功能
gedit /etc/rsyslog.conf
*.* @Syslog日志服务器IP
注意:* 和@之间存在的是tab键,非空格。
检查是否记录安全事件日志
gedit /etc/syslog.conf 或者 /etc/rsyslog.conf
#在文件中加入如下内容:
*.err;kern.debug;daemon.notice /var/log/messages
chmod 640 /var/log/messages
service rsyslog restart
日志保留半年以上
cp/etc/logrotate.conf /etc/logrotate.conf_xu_bak #(备份)
sed -i s/'rotate 4'/'rotate 12'/g /etc/logrotate.conf #(修改)
service syslog restart #(重启)
cat /etc/logrotate.conf |grep -v '#' |grep rotate #(检查)
