1、LINUX安全加固规范目录1概述52 安装53 顾客帐号安全Password and account security63.1 密码安全方略63.2 检查密码与否安全63.3 Password Shadowing63.4 管理密码63.5 其他74 网络服务安全(Network Service Security)74.1服务过滤Filtering84.2/etc/inetd.conf94.3R 服务94.4Tcp_wrapper94.5/etc/hosts.equiv 文献104.6 /etc/services104.7/etc/aliases114.8 NFS114.9Trivial ftp
2、 (tftp)114.10 Sendmail114.11 finger124.12UUCP124.13World Wide Web (WWW) httpd134.14FTP安全问题135系统设立安全(System Setting Security)145.1限制控制台使用145.2系统关闭Ping145.3关闭或更改系统信息155.4 /etc/securetty文献155.5 /etc/host.conf文献155.6禁止IP源途径路由155.7资源限制165.8 LILO安全165.9 Control-Alt-Delete 键盘关机命令175.10日记系统安全175.11修正脚本文献在“/
3、etc/rc.d/init.d”目录下权限176文献系统安全(File System Security)186.1文献权限186.2控制mount上文献系统186.3备份与恢复197其他197.1使用防火墙197.2使用第三方安全工具197.3参照网站191概述近几年来Internet变得更加不安全了。网络通信量日益加大,越来越多重要交易正在通过网络完毕,与此同步数据被损坏、截取和修改风险也在增长。 只要有值得盗窃东西就会有想办法窃取它人。Internet今天比过去任何时候都更真实地体现出这一点,基于Linux系统也不能挣脱这个“普遍规律”而独善其身。因而,先进系统应当拥有完善安全办法,应当足
4、够结实、可以抵抗来自Internet侵袭,这正是Linux之因此流行并且成为Internet骨干力量重要因素。但是,如果你不恰本地运用Linux安全工具,它们反而会埋下隐患。配备拙劣安全系统会产生许多问题,本文将为你解释必要掌握Linux安全知识。本文讲述了如何通过基本安全办法,使Linux系统变得可靠。2 安装使系统处在单独(或隔离)网络中。以防止未受保护系统连接到其他网络或互联网中受到也许袭击安装完毕后将下面软件卸载pumpapmdlsapnptoolsredhat-logosmt-stkernel-pcmcia-csSetserialredhat-releseejectlinuxconf
5、kudzugdbcgetty_psraidtoolspciutilsmailcapsetconsolegnupg用下面命令卸载这些软件:rootdeep#rpm e softwarename卸载它们之前最佳停掉三个进程:rootdeep# /etc/rc.d/init.d/apmd stoprootdeep# /etc/rc.d/init.d/sendmail stoprootdeep# /etc/rc.d/init.d/kudzu stop3 顾客帐号安全Password and account security3.1 密码安全方略l 口令至少为6位,并且涉及特殊字符l 口令不要太简朴,不要
6、以你或者关于人有关信息构成密码,例如生日、电话、姓名拼音或者缩写、单位拼音或者英文简称等等。l 口令必要有有效期l 发既有人长时间猜测口令,需要更换口令3.2 检查密码与否安全可以使用如下几种工具检查自己密码与否安全:l JOHN,crack等暴力猜测密码工具l 在线穷举工具,涉及Emailcrk、流光等3.3 Password Shadowingl 使用shadow来隐藏密文(当前已经是默认配备)l 定期检查shadow文献,如口令长度与否为空。#awk -F:length($2)=0 print $1 /etc/shadowl 设立文献属性和属主3.4 管理密码l 设立口令有效最长时限 (
7、编辑/etc/login.defs文献)l 口令最短字符(如linux默以为,可以通过编辑/etc/login.defs修改)l 只容许特定顾客使用su命令成为root。编辑/etc/pam.d/su文献,在文献头部加上:auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheelRed hat 7.0中su文献已做了修改,直接去掉头两行注释符就可以了rootdeep# usermod -G10 admin来将顾客加入wheel组3.5 其他l 清除不必
8、要系统帐户rootdeep# userdel admrootdeep# userdel lprootdeep# userdel syncrootdeep# userdel shutdownrootdeep# userdel haltrootdeep# userdel newsrootdeep# userdel uucprootdeep# userdel operatorrootdeep# userdel games (如果不使用 X Window,则删除)rootdeep# userdel gopherrootdeep# userdel ftp (如果不使用ftp服务则删除)l 尽量不要在pa
9、sswd文献中包括个人信息,防止被finger之类程序泄露。l 修改shadow,passwd,gshadow文献不可变化位rootdeep# chattr +i /etc/passwdrootdeep# chattr +i /etc/shadowrootdeep# chattr +i /etc/grouprootdeep# chattr +i /etc/gshadowl 不要使用.netrc文献,可以预先生成$HOME/.netrc。设立为0000。touch /.rhosts ;chmod 0 /.rhosts l 使用ssh来代替telnetd,ftpd.pop等通用服务。老式网络服务程
10、序,如:ftp、pop和telnet在本质上都是不安全,由于它们在网络上用明文传送口令和数据。4 网络服务安全(Network Service Security)Linux系统对外提供强大、多样服务,由于服务多样性及其复杂性,在配备和管理这些服务时特别容易出错误,此外,提供这些服务软件自身也存在各种漏洞,因此,在决定系统对外开放服务时,必要紧记两个基本原则:l 只对外开放所需要服务,关闭所有不需要服务。对外提供服务越少,所面临外部威胁越小。l 将所需不同服务分布在不同主机上,这样不但提高系统性能,同步便于配备和管理,减小系统安全风险。在上述两个基本原则下,还要进一步检查系统服务功能和安全漏洞。
11、这里针对主机所提供服务进行相应基本安全配备,某些惯用服务安全配备请参照有关文档。4.1服务过滤Filteringl 在SERVER上禁止这些服务l 如果一定要开放这些服务,通过防火墙、路由指定信任IP访问。l 要保证只有真正需要服务才被容许外部访问,并合法地通过顾客路由器过滤检查。特别在下面服务不是顾客真正需要时候,要从路由器上将其过滤掉NAME PORT PROTOCOL echo 7 TCP/UDP systat 11 TCP netstat 15 TCP bootp 67 UDP tftp 69 UDP link 87 TCP supdup 95 TCP sunrpc 111 TCP/U
12、DP news 144 TCP snmp 161 UDP xdmcp 177 UDP exec 512 TCP login 513 TCP shell 514 TCP printer 515 TCP biff 512 UDP who 513 UDP syslog 514 UDP uucp 540 TCP route 520 UDP openwin TCP nfs 2049 UDP/TCP x11 6000 to 6000+n TCP 注意:有些UDP服务可以导致DOS袭击和远程溢出,如rpc.ypupdated rpcbindrpc.cmsd 100068rpc.statd 100024 rp
13、c.ttdbserver 100083sadmind 100232/10 l 配备完毕后来,运用网络扫描器模仿入侵者从外部进行扫描测试。如运用nmap4.2 /etc/inetd.confl 保证文献权限设立为600l 保证文献属主设立为rootl 注释掉所有不需要服务,需要重新启动inetd进程l 使用netstat an命令,查看本机所提供服务。保证已经停掉不需要服务4.3 R 服务不必使用R服务l 关闭R服务,Red hat 6.2在/etc/inetd.conf文献中注释如下服务,并且重新启动inetd服务。Red hat 7.0在/etc/xinetd.d目录中删除exec512TC
14、PRlogin513TCPRshell514TCPl 预先生成$HOME/.rhosts,/etc/hosts.equiv文献,并且设立为0000,防止被写入”+ +”。(袭击者经常使用类似符号链接或者运用ROOTSHELL写入,并且远程打开受保护主机R服务)必要使用R服务l 使用更安全版本r服务。如Wietse Venemalogdaemon程序等。l 在路由或者防火墙上禁止外部网络访问受保护主机512,513 and 514 (TCP)端口。l 使用TCP WRAPPERS设立可访问受保护主机R服务信任机器。4.4 Tcp_wrapper 该软件作用是在Unix平台上过滤TCP/UDP服务
15、,它当前已被广泛用于监视并过滤发生在主机上ftp、telnet、rsh、rlogin、tftp、finger等原则TCP/UDP服务。当系统安装TCP_wrapper之后,in.conf文献中 /usr/sbin/in.telnetdin.telnetd会被TCP_wrapper附带tcpd程序取代。该程序截获来自客户端服务祈求、记录祈求发生时间和IP地址,并按访问控制进行检查。当本次连接顾客、祈求源IP等信息符合管理员预设值时,才将该次祈求传递给系统in.telnetd,由系统in.telnetd完毕后续工作;若连接不符合规定,该连接祈求将被回绝。同样,ftp、rsh等TCP/UDP服务均可
16、被tcpd取代,由tcpd充当二传手。l 使用PARANOID 模式,用此参数后需要在/etc/hosts文献中加上容许使用telnet或ftp服务客户端名字和IP地址l 在/etc/hosts.deny中设立为all:all,默认所有不容许Access is denied by default.# Deny access to everyone.ALL:ALLALL,PARANOID #Matches any host whose name does not match its address,seebellow.l 在/etc/hosts.allow中设立容许服务和地址如:sshd:208
17、.164.186.1 l 使用tcpdchk检查l UDP服务使用tcpwrapper时要使用/etc/inetd.conf中nowait选项。4.5 /etc/hosts.equiv 文献不必使用/etc/hosts.equiv文献l 从系统中删除此文献l 预先生成/etc/hosts.equiv文献,并且设立为0000,防止被写入”+ +”。(袭击者经常使用类似符号链接或者运用ROOTSHELL写入,并且远程打开受保护主机R服务)必要使用/etc/hosts.equiv文献l 保证此文献中可信赖主机为必要。l 预先生成/etc/hosts.equiv文献,并且设立为0000,防止被写入”+
18、 +”。(袭击者经常使用类似符号链接或者运用ROOTSHELL写入,并且远程打开受保护主机R服务)l 如果使用NIS或者NIS+话,此文献中组应当是容易管理。l 信赖主机必要保证可靠l 信赖主机使用全名,如例如 l 任何时候都不应当浮现”+”字符,由于这样会使任何一台主机上任何顾客都可以不加口令地访问系统l 文献中不要使用! 和#符号,由于在该文献中那并不表达注释信息l 文献开始字符不应当为-.,请查阅C8l 保证该文献访问权限被设立成600。l 文献属主保证为ROOT。l 在每次安装补丁程序或操作系统之后,都应当重新检查该文献夹设立状况4.6 /etc/servicesl 保证文献权限设立为
19、600l 保证文献属主设立为rootl 如果需要提供某些常用服务,如telnetd等,可以在此修改端口此文献为端标语和服务相应关系,给此文献加上保护,避免没有授权修改和删除rootdeep# chattr +i /etc/services4.7 /etc/aliasesl 修改/etc/aliases文献,注释掉decode games,ingress,system,toor,manager,.”.等l 使用/usr/bin/newaliases命令激活新配备l 保证文献权限设立为755l 保证文献属主设立为root4.8 NFSNFS文献系统应注意如下几方面安全l 在外部路由上过滤端口111
20、、2049 (TCP/UDP),不容许外部访问。l 检查更新状况。l 检查 /etc/exports 输出途径权限,拟定只有root能修改,all user只能readl 用exportfs 去增长或删除directoriesexportfs -o access=engineering,ro=dancer /usrexportfs -u /usrl 如果你机器没有NIS(YP server)服务,当更改资料时记得修改/etc/passwd/etc/group/etc/hosts/etc/ethersl 不容许export出去包括本地入口目录l 拟定对方机器是完全可信赖。使用全名l 保证输出列表
21、没有超过256个字符。l 使用showmount e命令查看自己export设立l 将/etc/exports权限设立为644,属主为rootl 使用noexec,nodev.nosuid等选项控制mount文献系统,在/etc/fstab中设立。4.9 Trivial ftp (tftp)无论何种状况下都不应当启动这个服务进程。4.10 Sendmailsendmail提供了许多在编译期间选取功能特性。普通状况下,按照其缺省配备,即可满足普通顾客需要。但是,理解研究其提供特性,可以实现对sendmail许多功能更为精确配备使用。从网络安全角度考虑,通过合理地配备关于特性,可以在提供服务和保证
22、安全之间找到更为精确平衡点(配备特性办法是将需要特性加入到相应系统.mc文献中,然后运用工具m4生成最后sendmail.cf文献。当前最新版本是sendmail8.11.1.(.org)l 最新发行包l promiscuous_relay:该特性打开任意转发功能,也即关闭8.9带来邮件转发方面安全增强控制。此特性使用会对电子邮件服务滥用留下许多隐患,建议除非特别状况,不要使用此特性。l accept_unqualified_senders:缺省状况下,该特性被关闭,即当MAIL FROM:参数中地址表白属于网络连接,但是却不包括合法主机地址时,sendmail将回绝继续通信。打开此特性则不再
23、依照MAIL FROM:参数回绝接受邮件。建议不可容易使用该特性。l loose_relay_check :普通状况下,当邮件使用了源路由功能,例如user%siteothersite,如果othersite属于转发邮件范畴,则sendmail将分离othersite,继续检查site与否属于转发范畴.使用该特性将变化上述缺省操作.建议不要容易使用该特性l accept_unresolvable_domains :普通状况下,当MAIL FROM:参数中主机地址某些无法解析,即无法鉴定为合法主机地址时,sendmail将回绝连接.使用该特性将变化上述操作. 在某些状况下,例如,邮件服务器位于防
24、火墙背面,无法正常解析外部主机地址,但是依然但愿可以正常接受邮件时,也许需要运用该特性.l blacklist_recipients :打开接受黑名单功能。接受黑名单可以涉及顾客名、主机名、或其他地址。l relay_entire_domain :缺省配备下,sendmail只为在转发控制数据库(access db)中定义为RELAY主机提供转发邮件服务. 该特性使用,将使sendmail为本地区内(由$=m类定义)所有主机上面顾客提供转发功能l sendmail受限shell程序smrsh可以防止内部顾客恶意操作。l 防止系统信息泄漏,如修改banner,禁止expn,vrfy命令l 建议配
25、备为需要smtp认证功能。l 其她有关mailserverqmail:.orgpostfix:.orgqpop:Imail:4.11 fingerl 不应当启动这个服务进程。l 如果一定要使用,请使用最新版本。4.12 UUCPl 建议不要使用l 删除所有rhosts文献(目录下)l 保证.cmds 文献属主为rootl 对登陆进行限制l 保证文献没有被设立为所有人可写4.13 World Wide Web (WWW) httpdl 使用你选取最新版本l 不要使用顾客运营httpdl 在chroot环境中运营httpdl 尽量不要使用脚本l 对脚本进行安全审计l 链接使用静态库l 过滤危险字符
26、,如n r (.,/;!)|&$ /proc/sys/net/ipv4/icmp_echo_ignore_all可以将这一行加到/etc/rc.d/rc.local文献中去,这样系统重启动后会自动执行恢复系统Ping响应:rootdeep#echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all5.3关闭或更改系统信息关闭telnet系统信息Red Hat 6.2中,编辑/etc/inetd.conftelnet stream tcp nowait root /usr/sbin/tcpd in.telnetd h加上参数-h可以关闭telnet信息Red H
27、at 7.0中,编辑/etc/xinetd.d/telnet加上server_args = -h,可以关闭telnet信息/etc/rc.d/rc.local中关闭或修改系统信息/etc/issue和/etc/中包括本地登录和网络登录时提示系统信息,对它们进行更改可以变化系统信息,或直接删除,并在/etc/rc.d/rc.local文献中注释有关行:#echo /etc/issue#echo $R /etc/issue#echo Kernel $(uname -r) on $a $(uname -m) /etc/issue#cp -f /etc/issue /etc/#echo /etc/is
28、sue5.4 /etc/securetty文献/etc/securetty文献规定root从哪个TTY设备登录,列出是容许tty设备,将不容许tty设备行注释掉.5.5 /etc/host.conf文献/etc/host.conf定义主机名如何解析,使用什么服务,什么顺序解析# Lookup names via DNS first then fall back to /etc/hosts.order bind,hosts# We have machines with multiple IP addresses.multi on# Check for IP address spoofing.no
29、spoof onorder指定选取服务顺序multi指定主机能不能有各种IP地址,ON代表容许nospoof指定不容许IP伪装,此参数必要设立为ON5.6禁止IP源途径路由容许IP源途径路由(IP source routing)会使得黑客可以欺骗你计算机,截取信息包.强烈建议禁止,使用如下命令:for f in /proc/sys/net/ipv4/conf/*/accept_source_route;doecho 0 $fdone将accept_source_route设立为0,并将上述命令加到/etc/rc.d/rc.local中去,每次重启动将自动执行5.7资源限制为了避免回绝服务袭击,
30、需要对系统资源使用做某些限制。一方面,编辑/etc/security/limits.conf,加入或变化如下* hard core 0 (禁止创立core文献)* hard rss 5000 (除root外,其她顾客最多使用5M内存)* hard nproc 20 (最多进程数限制为20)编辑/etc/pam.d/login,在文献末尾加上:session required /lib/security/pam_limits.so对TCP SYN Cookie保护:(防止SYN Flood袭击)rootdeep# echo 1 /proc/sys/net/ipv4/tcp_syncookies5
31、.8 LILO安全在“/etc/lilo.conf”文献中添加3个参数:time-out、restricted 和 password。这些选项会在启动时间(如“linux single”)转到启动转载程序过程中,规定提供密码。环节1编辑lilo.conf文献(/etc/lilo.conf),添加和更改这三个选项:boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #change this line to 00prompt Default=linux restricted #add this linepassword= #ad
32、d this line and put your password image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only 环节2由于其中密码未加密,“/etc/lilo.conf”文献只对根顾客为可读。rootkapil /# chmod 600 /etc/lilo.conf (不再为全局可读)环节3作了上述修改后,更新配备文献“/etc/lilo.conf”。Rootkapil /# /sbin/lilo -v (更新lilo.conf文献)环节
33、4尚有一种办法使“/etc/lilo.conf”更安全,那就是用chattr命令将其设为不可:rootkapil /# chattr +i /etc/lilo.conf它将制止任何对“lilo.conf”文献更改,无论与否故意。5.9 Control-Alt-Delete 键盘关机命令编辑“/etc/inittab”文献,只要在下面行前面加“”,改为注释行。ca:ctrlaltdel:/sbin/shutdown -t3 -r now 改为:#ca:ctrlaltdel:/sbin/shutdown -t3 -r now 然后,为使更改生效,在提示符下输入:rootkapil /# /sbin
34、/init q5.10日记系统安全为了保证日记系统完整性,防止黑客删除日记,需要对日记系统进行安全配备。本专项将有专门文档来讲述日记系统安全。5.11修正脚本文献在“/etc/rc.d/init.d”目录下权限对脚本文献权限进行修正,脚本文献用以决定启动时需要运营所有正常过程启动和停止。添加:rootkapil/# chmod -R 700 /etc/rc.d/init.d/* 这句指是,只有根顾客容许在该目录下使用 Read、Write,和 Execute 脚本文献。6 文献系统安全(File System Security)6.1文献权限 l 去掉不必要suid程序,可以通过脚本查看roo
35、tdeep# find / -type f ( -perm -04000 -o -perm -0 ) -exec ls lg ;通过下面命令来去掉不需要程序s位rootdeep# chmod a-s /usr/bin/commandnamel 重要配备文献如/etc/passwd,/etc/shadow,/etc/inetd.conf等设立为0755,并设立为不可更改l /etc,/usr/etc,/bin,/usr/bin,/sbin,/usr/sbin,/tmp and/var/tmp属主是root,并且设立粘滞。l /dev目录下没有特殊文献。l 查找任何人可写文献和目录rootdeep
36、# find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg ;rootdeep# find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg ;l 查找异常文献,如.文献,文献等find / -name . -print xdevfind / -name .* -print -xdev | cat -vl 检查没有属主文献。Find / -nouser o nogroupl 检查在/dev目录以外尚有无特殊块文献find / ( -type b -o -type c ) -print | gr
37、ep -v /dev/l 使用checksum md5 或者PGP来效验文献6.2控制mount上文献系统可以使用noexec,nodev,nosuid来控制mount上文献系统.在/etc/fstab中设立,例如:将/dev/sda11 /tmp ext2 defaults 1 2/dev/sda6 /home ext2 defaults 1 2改为:/dev/sda11 /tmp ext2 nosuid,nodev,noexec 1 2/dev/sda6 /home ext2 nosuid,nodev 1 2noexec表达不容允许执行,nodev表达不容许块设备,nosuid表达不容许s
38、uid位6.3备份与恢复定期对文献系统进行备份,可以将损失减小到最小限度。Linux下有各种办法进行备份,如:dd,cpio,tar,dump等7 其他7.1使用防火墙防火墙是网络安全重要方面,咱们将另有专项来详细阐述防火墙,涉及防火墙原理,linux 2.2内核下IPChains实现,linux 2.4内核下netfilter实现,商业防火墙产品应用等。7.2使用第三方安全工具Linux下有诸多较好安全工具,例如:Tripwire,SSH,Sudo,Tcpdump,nmap,nessus,snort,sniffit 咱们将安排专项来详细讲述这些非常实用安全工具。7.3参照网站Patches: Exploits:
浙ICP备2021020529号-1 | 浙B2-20240490 
