Linux系統(tǒng)安全常規(guī)配置

1、Linux 系統(tǒng)安全常規(guī)配置基本安全措施1. 刪除或禁用系統(tǒng)中不使用的用戶(hù)和組# passwd -l wang /禁用賬戶(hù)wang# passwd -u wang /解鎖賬戶(hù)wang或# vi /etc/shadow /保存時(shí)為 :wq! 因?yàn)槲募橹蛔x在密碼字符前加兩個(gè)嘆號(hào)！2. 確認(rèn)程序或服務(wù)的登錄shell不可用# vi /etc/passwd /將用戶(hù)的登錄shell改為/sbin/nologin或# usermod -s /sbin/nologin wang3. 限制用戶(hù)的密碼有效期（最大天數(shù)）# vi /etc/login.defs /只對(duì)新建立的用戶(hù)有效PASS_MAX_DAYS

2、 30或# chage -M 30 wang /只對(duì)已經(jīng)存在的wang用戶(hù)有效4. 指定用戶(hù)下次登錄時(shí)必須更改密碼# chage -d 0 wang或# vi /etc/shadow/將shadow文件中wang用戶(hù)LAST DAY 域（冒號(hào) ：分割的第三列）的值設(shè)為05. 限制用戶(hù)密碼的最小長(zhǎng)度# vi /etc/pam.d/system-authpassword requisite pam_cracklib.so try_first_pass retry=3 minlen=12retry 重試時(shí)間 minlen 安全級(jí)別6. 限制記錄命令歷史的條數(shù)# vi /etc/pro （默認(rèn)為100

3、0）# echo “history -c “ /.bash_logout /注銷(xiāo)時(shí)清除命令歷史記錄7. 設(shè)置閑置超時(shí)自動(dòng)注銷(xiāo)終端# vi /etc /pro TMOUT=600 /添加此行使用SU切換用戶(hù)身份su - 用戶(hù)名- 區(qū)別 ：使用：相當(dāng)于 -login，表示使用目標(biāo)用戶(hù)的登錄shell環(huán)境，工作目錄，PATH變量等不使用： 保持原有的用過(guò)環(huán)境不便案例說(shuō)明su的使用方法允許wang用戶(hù)可以通過(guò)su命令切換為root身份，以便執(zhí)行管理任務(wù)禁止其他用戶(hù)使用su命令切換用過(guò)身份（1） 將允許用戶(hù)加入wheel組# gpasswd -a wang wheel# id wang /查看wang用

4、戶(hù)的附加組（2） 修改PAM設(shè)置，添加pam_wheel認(rèn)證# vi /etc/pam.d/suauth required pam_wheel.so use_uid /去掉該行的#號(hào)（3） 驗(yàn)證su權(quán)限? 使用sudo提升執(zhí)行權(quán)限1./etc/sudoers配置文件visudosudo命令提供一種機(jī)制，只需要預(yù)先在/etc/sudoers配置文件中進(jìn)行授權(quán)，即可以允許特定用戶(hù)以超級(jí)用戶(hù)（或其他普通用戶(hù)）的身份執(zhí)行命令，而該用戶(hù)不需知道root用戶(hù)的密碼（或其他用戶(hù)）的密碼。常見(jiàn)語(yǔ)法格式如下：user MACHINE=COMMANDSuser： 授權(quán)指定用戶(hù)MACHINE主機(jī)： 授權(quán)用戶(hù)可以在哪

5、些主機(jī)上使用COMMANDS命令：授權(quán)用戶(hù)通過(guò)sudo調(diào)用的命令，多個(gè)命令用 ， 分隔/etc/sudoers文件配置中的用戶(hù)、主機(jī)、命令三個(gè)部分均為可以自定義別名進(jìn)行代替，格式如下User_Alias OPERATORS=jerry, tom, tsengyiaHost_Alias MAILSERVERS=smtp , popCmnd_Alias SOFTWARE=/bin/rpm , /usr/bin/yum2.使用sudo執(zhí)行命令sudo -l :查看當(dāng)前用過(guò)被授權(quán)使用的sudo命令sudo -k :清除timestamp時(shí)間戳標(biāo)記，再次使用sudo命令時(shí)需要重新驗(yàn)證密碼sudo -v

6、:重新更新時(shí)間戳（必要時(shí)系統(tǒng)會(huì)再次詢(xún)問(wèn)用戶(hù)密碼）案例說(shuō)明：因系統(tǒng)管理工作繁重，需要將用戶(hù)賬號(hào)管理工作交給專(zhuān)門(mén)管理組成員負(fù)責(zé)設(shè)立組賬號(hào) managers ，授權(quán)組內(nèi)的各個(gè)成員用戶(hù)可以添加、刪除、更改用戶(hù)賬號(hào)（1） 建立管理組賬戶(hù) managers# groupadd managers（2） 將管理員賬號(hào)，如wang加入managers組# gpasswd -M wang.nan managers（3） 配置sudo文件，針對(duì)managers組開(kāi)放useradd 、 userdel 等用戶(hù)管理命令的權(quán)限# visudoCmns_Alias USERADM = /usr/sbin/useradd ,

7、 /usr/sbin/userdel , /usr/sbin/usermod%managers localhost = USERADM（4） 使用wang賬號(hào)登錄，驗(yàn)證是否可以刪除他、添加用戶(hù)# su wang# whoami# sudo -l# sudo /usr/sbin/useradd user1# sudo /usr/sbin/usermod -p “ “ user1# sudo /usr/sbin/userdel -r user1文件和文件系統(tǒng)安全優(yōu)化文件系統(tǒng)層次的安全優(yōu)化1. 合理規(guī)劃系統(tǒng)分區(qū)建議劃分為獨(dú)立分區(qū)的目錄/boot :大小建議在200M以上。/home :該目錄是用戶(hù)默

8、認(rèn)宿主目錄所在的上一級(jí)文件夾，若服務(wù)器用戶(hù)數(shù)量較多，通常無(wú)法預(yù)知每個(gè)用戶(hù)所使用的磁盤(pán)空間大小/var : 該目錄用于保存系統(tǒng)日志、運(yùn)行狀態(tài)、用戶(hù)郵箱目錄等，文件讀寫(xiě)頻繁。占用空間可能會(huì)較多/opt : 用于安裝服務(wù)器的附加應(yīng)用程序及其他可選工具，方便擴(kuò)展使用2. 通過(guò)掛載選項(xiàng)禁止執(zhí)行set位程序、二進(jìn)制程序使/var分區(qū)中程序文件的執(zhí)行（x）權(quán)限失效，禁止直接執(zhí)行該分區(qū)中二進(jìn)制程序# vi /etc/fstab/dev/sdc1 /var ext3 defaults,noexec 1 2# mount -o remount /var如果想要從文件系統(tǒng)層面禁止文件的suid 或 sgid位權(quán)限，

9、將上邊的noexec改為nosuid即可3. 鎖定不希望更改的系統(tǒng)文件使用 +i 屬性鎖定service 、passwd、grub.conf 文件（將不能正常添加系統(tǒng)用戶(hù)）# chattr +i /etc/service /etc/passd /boot/grub.conf解除/etc/passwd文件的 +i 鎖定屬性# lsattr /etc/passwd /查看文件的屬性狀態(tài)# chattr -i /etc/passwd? 應(yīng)用程序和服務(wù)1. 關(guān)閉不必要的系統(tǒng)服務(wù)2. 禁止普通用戶(hù)執(zhí)行init.d目錄中的腳本# chmod -R o-rwx /etc/init.d或# chmod -R

10、750 /etc/init.d3. 禁止普通用戶(hù)執(zhí)行控制臺(tái)程序/etc/security/console.apps/目錄下每一文件對(duì)應(yīng)一個(gè)系統(tǒng)程序，如果不希望普通用戶(hù)調(diào)用這些控制臺(tái)程序，可以將對(duì)應(yīng)的配置文件移除# cd /etc/security/console.apps/# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot remove4. 去除程序文件中非必需的set-uid 或 set-gid 附加權(quán)限查找系統(tǒng)中設(shè)置了set-uid或set-gid權(quán)限的文件，并結(jié)合 exec 選項(xiàng)顯示這些文件的詳細(xì)權(quán)限屬性# find / -ty

11、pe f perm +6000 -exec ls -lh ;去掉程序文件的suid/sgid位權(quán)限# chmod a-s /tmp/back.vim編寫(xiě)shell腳本，檢查系統(tǒng)中新增加的帶有suid或者sgid位權(quán)限的程序文件（1） 在系統(tǒng)處于干凈狀態(tài)時(shí)，建立合法suid/sgid文件的列表，作為是否有新增可疑suid文件的比較依據(jù)# find / -type f -prem +6000 > /etc/s# chmod 600 /etc/s（2） 建立chksfile腳本文件，與s比較，輸出新增的帶suid/sgid屬性的文件# vi /usr/sbin/chksOLD_LIST=/et

12、c/sfor i in find / -type -prem +6000 dogrep -F “$i” $OLD_LIST > /dev/null $? -ne 0 && ls -lh $idone# chmod 700 /usr/bin/chkfile（3） 執(zhí)行chkfile腳本，檢查是否有新增suid/sgid文件# cp /bin/touch /bin/mytouch /建立測(cè)試用程序文件# chmod 4755 /bin/mytouch# chks執(zhí)行程序腳本，輸出檢查結(jié)果系統(tǒng)引導(dǎo)和登錄安全優(yōu)化文件系統(tǒng)層次的安全優(yōu)化1. 合理規(guī)劃系統(tǒng)分區(qū)建議劃分為獨(dú)立分區(qū)的目錄

13、/boot :大小建議在200M以上。/home :該目錄是用戶(hù)默認(rèn)宿主目錄所在的上一級(jí)文件夾，若服務(wù)器用戶(hù)數(shù)量較多，通常無(wú)法預(yù)知每個(gè)用戶(hù)所使用的磁盤(pán)空間大小/var : 該目錄用于保存系統(tǒng)日志、運(yùn)行狀態(tài)、用戶(hù)郵箱目錄等，文件讀寫(xiě)頻繁。占用空間可能會(huì)較多/opt : 用于安裝服務(wù)器的附加應(yīng)用程序及其他可選工具，方便擴(kuò)展使用2. 通過(guò)掛載選項(xiàng)禁止執(zhí)行set位程序、二進(jìn)制程序使/var分區(qū)中程序文件的執(zhí)行（x）權(quán)限失效，禁止直接執(zhí)行該分區(qū)中二進(jìn)制程序# vi /etc/fstab/dev/sdc1 /var ext3 defaults,noexec 1 2# mount -o remount /v

14、ar如果想要從文件系統(tǒng)層面禁止文件的suid 或 sgid位權(quán)限，將上邊的noexec改為nosuid即可3. 鎖定不希望更改的系統(tǒng)文件使用 +i 屬性鎖定service 、passwd、grub.conf 文件（將不能正常添加系統(tǒng)用戶(hù)）# chattr +i /etc/service /etc/passd /boot/grub.conf解除/etc/passwd文件的 +i 鎖定屬性# lsattr /etc/passwd /查看文件的屬性狀態(tài)# chattr -i /etc/passwd? 應(yīng)用程序和服務(wù)1. 關(guān)閉不必要的系統(tǒng)服務(wù)2. 禁止普通用戶(hù)執(zhí)行init.d目錄中的腳本# chmod

15、 -R o-rwx /etc/init.d或# chmod -R 750 /etc/init.d3. 禁止普通用戶(hù)執(zhí)行控制臺(tái)程序/etc/security/console.apps/目錄下每一文件對(duì)應(yīng)一個(gè)系統(tǒng)程序，如果不希望普通用戶(hù)調(diào)用這些控制臺(tái)程序，可以將對(duì)應(yīng)的配置文件移除# cd /etc/security/console.apps/# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot remove4. 去除程序文件中非必需的set-uid 或 set-gid 附加權(quán)限查找系統(tǒng)中設(shè)置了set-uid或set-gid權(quán)限的文件，并結(jié)合

16、 exec 選項(xiàng)顯示這些文件的詳細(xì)權(quán)限屬性# find / -type f perm +6000 -exec ls -lh ;去掉程序文件的suid/sgid位權(quán)限# chmod a-s /tmp/back.vim編寫(xiě)shell腳本，檢查系統(tǒng)中新增加的帶有suid或者sgid位權(quán)限的程序文件（1） 在系統(tǒng)處于干凈狀態(tài)時(shí)，建立合法suid/sgid文件的列表，作為是否有新增可疑suid文件的比較依據(jù)# find / -type f -prem +6000 > /etc/s# chmod 600 /etc/s（2） 建立chksfile腳本文件，與s比較，輸出新增的帶suid/sgid屬性的

17、文件# vi /usr/sbin/chksOLD_LIST=/etc/sfor i in find / -type -prem +6000 dogrep -F “$i” $OLD_LIST > /dev/null $? -ne 0 && ls -lh $idone# chmod 700 /usr/bin/chkfile（3） 執(zhí)行chkfile腳本，檢查是否有新增suid/sgid文件# cp /bin/touch /bin/mytouch /建立測(cè)試用程序文件# chmod 4755 /bin/mytouch# chks執(zhí)行程序腳本，輸出檢查結(jié)果系統(tǒng)引導(dǎo)和登錄安全優(yōu)化開(kāi)

18、關(guān)機(jī)安全控制1. 調(diào)整BIOS引導(dǎo)設(shè)置將第一優(yōu)先引導(dǎo)設(shè)備設(shè)為當(dāng)前系統(tǒng)所在硬盤(pán)，其他引導(dǎo)設(shè)置為Disabled.為BIOS設(shè)置管理員密碼，安全級(jí)別調(diào)整為setup2. 防止用戶(hù)通過(guò)Ctrl+Alt_Del熱鍵重啟系統(tǒng)# vi /etc/inittab# ca : :ctrlaltdel ：/sbin/shutdown -t3 -r now /注掉該行# init -q /使配置文件立即生效? GRUB引導(dǎo)菜單加密在grub.conf文件中設(shè)置明文密碼# vi /boot/grub/grub.confpassword 123456 /僅在需要變更grub引導(dǎo)參數(shù)時(shí)才需要提供密碼tiltle Red

19、 Enterprise Linux Server （2.6.18-8.el5）root （ hd0,0 ）password 1234 /進(jìn)入系統(tǒng)時(shí)輸入的密碼在grub.conf文件中設(shè)置md5加密的密碼字符串# vi mimawangwang# grub-md5-crypt < mima /boot/grub/grub.conf? 終端登錄控制1. 即時(shí)禁止普通用戶(hù)登錄# touch /etc/nologin /通過(guò)/etc/nologin文件即時(shí)禁止普通用戶(hù)登錄系統(tǒng)2. 控制服務(wù)器開(kāi)放的tty終端# vi /etc/inittab1. 控制允許root用戶(hù)登錄的tty終端# vi /etc/securetty1. 更改系統(tǒng)登錄提示，隱藏內(nèi)核版本信息通過(guò)