LINUX系統(tǒng)加固

1、LINUX系統(tǒng)加固目錄、關(guān)于效勞器的平安級(jí)別 2、系統(tǒng)加固 2A漏洞修補(bǔ)21、內(nèi)核漏洞 42、應(yīng)用漏洞 4B系統(tǒng)防護(hù)提升51、系統(tǒng)配置的平安性 52、應(yīng)用軟件配置的平安性 83、用戶權(quán)限配置的平安性 12、關(guān)于效勞器的平安級(jí)別?可信電腦評(píng)估標(biāo)準(zhǔn)?TCSE Trusted Computer System Evaluatio nCriteria ，又稱桔皮書?？尚烹娔X系統(tǒng)評(píng)估準(zhǔn)那么將電腦系統(tǒng)的可信程度安 全等級(jí)劃分成四大類DC、B、A，七個(gè)小類D C1、C2、B1、B2、B3A。類別名稱主要特征A1可驗(yàn)證的平安設(shè)計(jì)形式化的最高級(jí)描述和驗(yàn)證，形式化的隱秘通道 分析，非形式化的代碼一致性證明。B3平安

2、域機(jī)制平安內(nèi)核，高抗?jié)B透能力。B2結(jié)構(gòu)化平安保護(hù)設(shè)計(jì)系統(tǒng)必須有一個(gè)合理的總體設(shè)計(jì)方案，面向 平安的體系結(jié)構(gòu)，遵循最小授權(quán)原那么，較好的抗 滲透能力，訪冋控制應(yīng)對(duì)所有的主體和客體進(jìn)行 保護(hù)，對(duì)系統(tǒng)進(jìn)行隱蔽通道分析。B1標(biāo)號(hào)平安控制除了 C2級(jí)的平安需求外，增加平安策略模型，數(shù) 據(jù)標(biāo)號(hào)平安和屬性，托管訪問(wèn)控制。C2受控的訪問(wèn)控制存取控制以用戶為單位，廣泛的審計(jì)。C1選擇的平安保護(hù)有選擇的存取控制，用戶與數(shù)據(jù)別離，數(shù)據(jù)的保 護(hù)以用戶組為單位。D最小保護(hù)保護(hù)措施很少，沒有平安功能。按照行業(yè)領(lǐng)域和我司業(yè)務(wù)情況分析，我司的LINUX系統(tǒng)平安級(jí)別做到B2級(jí)別防護(hù)即可。更高級(jí)別的防護(hù)涉及到網(wǎng)安產(chǎn)品需求，如硬件

3、防火墻，硬件網(wǎng)關(guān)。由于 我司MCI產(chǎn)品均在系統(tǒng)網(wǎng)絡(luò)防火墻和網(wǎng)關(guān)的后端，MCI處于受保護(hù)狀態(tài)。、系統(tǒng)加固 系統(tǒng)加固分A、漏洞修補(bǔ)，B系統(tǒng)防護(hù)提升A、漏洞修補(bǔ)針對(duì)LINUX系統(tǒng)，有做一套自有的分析方式，可以使用 NMAPIsat、tiger 和Nessus, NMA傾向網(wǎng)絡(luò)端口漏洞掃描，lsat和tiger傾向去本地漏洞掃 描，Nessus是兼顧本地和網(wǎng)絡(luò)漏洞掃描，推薦使用 Nessus。NMA是一款嗅探效勞器是否開放了不平安端口的掃描器。掃描結(jié)果參看?Lsat和tiger是本地的命令行下執(zhí)行的漏洞掃描器。Nessus漏洞掃描是S/C模式的，便于操作和使用，由于該軟件是商業(yè)版的, 目前使用的均為試

4、用版本。IF: 192. 1G3. LIP； )es_ ir is可以依照平安檢測(cè)報(bào)告，對(duì)系統(tǒng)進(jìn)行有針對(duì)性的打補(bǔ)丁包修復(fù)。修復(fù)請(qǐng)況依 照實(shí)際情況考量和取舍。漏洞分類針對(duì)系統(tǒng)漏洞分兩種類型：內(nèi)核漏洞和應(yīng)用漏洞1、內(nèi)核漏洞屬于本地漏洞，同時(shí)能使用此類漏洞的入侵者都屬于軟件高手， 此類入侵較為麻 煩和困難，此類漏洞必須等待新版內(nèi)核修正。2、應(yīng)用漏洞有本地漏洞和遠(yuǎn)程漏洞之分。本地漏洞，只能本地入侵后使用；遠(yuǎn)程漏洞，入侵 者可以透過(guò)網(wǎng)絡(luò)應(yīng)用漏洞B、系統(tǒng)防護(hù)提升是對(duì)既有系統(tǒng)進(jìn)行相關(guān)的系統(tǒng)策略和用戶權(quán)限管控， 涉及的方面有：1、系統(tǒng) 配置的平安性，2、應(yīng)用軟件配置的平安性，3、用戶權(quán)限配置的平安性，系統(tǒng)配置

5、的平安性應(yīng)用軟件配置用戶權(quán)限配置的平安性丨的平安性-1、系統(tǒng)配置的平安性名稱只開放有用的效勞實(shí)施目的根據(jù)實(shí)際需求刪除未使用的效勞，提高系統(tǒng)平安。問(wèn)題影響防止未知效勞對(duì)系統(tǒng)產(chǎn)生漏洞風(fēng)險(xiǎn)。系統(tǒng)當(dāng)前狀態(tài)who - r或runlevel查看當(dāng)前init 級(jí)別chkc onfig -list查看所有效勞的狀態(tài)實(shí)施步驟KS.CFG卻本執(zhí)行代碼段：for i in 'Is /etc/rc3.d/S*'doCURSRV='echo $i|cut -c 15-'echo $CURSRVcase $CURSRV insysstat | Ivm2-m on itor | iscsid

6、 | auditd | rsyslog |iscsi | mdmonitor | messagebus| acpid | udev-post | postfix | qpidd | sanl ock | wdmd | local | crond | irqbala nee | microcode_ctl | n etwork | sshd | cpuspeed )echo "Base services, Skip!"J J*)echo "cha nge $CURSRV to off" chkco nfig -level 235 $CURSRV off s

7、ervice $CURSRV stopJ Jesacdone名稱屏蔽掉泄露信息的文件的讀寫權(quán)限實(shí)施目的修改文件的授權(quán)群組問(wèn)題影響任何用戶可獲取系統(tǒng)平安敏感信息，出現(xiàn)風(fēng)險(xiǎn)。系統(tǒng)當(dāng)前狀態(tài)cat /etc/passwd 記錄當(dāng)前用戶列表實(shí)施步驟chmod 600 /etc/ssh/sshd_c onfig chow n -R sshd:sshd /home/avc on ssh/ chmod 0744 /home/avc on ssh/chmod 600 /etc/serviceschmod -R 700 /etc/rc.d/i ni t.d/*如 sshd config 、 passwc、grou

8、p 等。名稱設(shè)置帳戶鎖定登錄失敗鎖定次數(shù)、鎖定時(shí)間實(shí)施目的禁止無(wú)限制的錯(cuò)誤密碼輸入問(wèn)題影響防止入侵者口令掃描。系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟authrequiredpam_tally.soon err=faildeny=6uniock_time=300設(shè)置為密碼連續(xù)錯(cuò)誤6次鎖定，鎖定時(shí)間300 秒解鎖用戶faillog -u <用戶名>-r風(fēng)險(xiǎn)：需要PAM包的支持；對(duì)pam文件的修改應(yīng)仔細(xì)檢查，一旦 出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無(wú)法登陸；當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問(wèn)題時(shí)，首先應(yīng)當(dāng)檢查/var/log/messages 或者 /var/log/secure 中的輸出信息，根據(jù)這些信息判斷用戶賬號(hào)的 有效性。名稱去除不需

9、要的帳號(hào)、修改默認(rèn)帳號(hào)的shell變量實(shí)施目的刪除系統(tǒng)不需要的默認(rèn)帳號(hào)、更改危險(xiǎn)帳號(hào)缺省的shell變量問(wèn)題影響允許非法利用系統(tǒng)默認(rèn)賬號(hào)系統(tǒng)當(dāng)前狀態(tài)cat /etc/passwd 記錄當(dāng)前用戶列表， cat /etc/shadow記錄當(dāng)前密碼配置實(shí)施步驟1參考配置操作# userdel lp# groupdel lp如果下面這些系統(tǒng)默認(rèn)帳號(hào)不需要的話，建議刪除。lp, sync, shutdown, halt, news, uucp, operator, games, gopher修改一些系統(tǒng)帳號(hào)的shell變量，例如uucp,ftp 和news等， 還有一些僅僅需要FTP功能的帳號(hào)，一定不要

10、給他們?cè)O(shè)置/bin/bash 或者/bin/sh 等 Shell 變量?？梢栽?/etc/passwd 中 將它們的shell變量設(shè)為/bin/false或者/dev/null等，也可以使用usermod -s /dev/ null user name命令來(lái)更改 user name 的shell為 /dev/null 。名稱限制超級(jí)管理員遠(yuǎn)程登錄實(shí)施目的限制具備超級(jí)管理員權(quán)限的用戶遠(yuǎn)程登錄。遠(yuǎn)程執(zhí)行管理員 權(quán)限操作，應(yīng)先以普通權(quán)限用戶遠(yuǎn)程登錄后，再切換到超級(jí) 管理員權(quán)限賬。問(wèn)題影響允許root遠(yuǎn)程非法登陸系統(tǒng)當(dāng)前狀態(tài)cat /etc/ssh/sshd_c onfig cat /etc/secu

11、retty實(shí)施步驟1 參考配置操作SSH:#vi /etc/ssh/sshd_c onfig 把_PermitRootLog in yes改為PermitRootLog in no重啟sshd效勞#service sshd restartCONSOLE:在 /etc/securetty文件中配置：CONSOLE = /dev/ttyO名稱為空口令用戶設(shè)置密碼實(shí)施目的禁止空口令用戶，存在空口令是很危險(xiǎn)的，用戶不用口令認(rèn) 證就能進(jìn)入系統(tǒng)。問(wèn)題影響用戶被非法利用系統(tǒng)當(dāng)前狀態(tài)cat /etc/passwd awk -F: '($2 = "")pri nt $1' /

12、etc/passwd實(shí)施步驟awk -F: '($2 = "")pri nt $1' /etc/passwd用root用戶登陸Linux系統(tǒng)，執(zhí)行passwd命令，給用戶增 加口令。例如：passwd test test 。2、應(yīng)用軟件配置的平安性名稱shhd_config文件配置實(shí)施目的加強(qiáng)SSH登陸平安性問(wèn)題影響防止入侵者惡意SSH登陸，獲取root權(quán)限系統(tǒng)當(dāng)前狀態(tài)cat /etc/ssh/sshd c onfig實(shí)施步驟1、參考配置操作sed -i's/#PermitRootLogi nyes/PermitRootLogi nno/'/

13、etc/ssh/sshd_c onfigsed -i 's/#PermitEmptyPasswords n o/PermitEmptyPasswordsno/' /etc/ssh/sshd_c onfigsed -i '3 8i AllowGroups sshd' /etc/ssh/sshd_c onfigsed -i '3 8i AllowUsers avc on ssh' /etc/ssh/sshd_c onfigsed -i's/#X11Forwardi ngno/X11Forwardi ngno/'/etc/ssh/ssh

14、d_c onfigsed -i's/X11Forwardi ngyes/#X11Forwardi ngyes/'/etc/ssh/sshd_c onfigsed -i 's/#MaxStartups 10:30:100/MaxStartups 6:30:60/' /etc/ssh/sshd_c onfigsed -i 's/UseDNS no/UseDNS yes/' /etc/ssh/sshd co nfig詳情如以下圖：I禁用SSH使用R00登錄可能不行，AVCO軟件安裝權(quán)限要求很高先用普通權(quán)限登陸ssh后，通過(guò)LINUX系統(tǒng)自帶的su命令鍵

15、入root密碼可 以提升為root權(quán)限就可以到達(dá)要求了。這樣的好處是黑客即使獲取了 ssh的權(quán) 限卻沒有root對(duì)系統(tǒng)的危害性小。消除root帶有直接網(wǎng)絡(luò)登陸的隱形風(fēng)險(xiǎn)。II修改SSH登錄端口，這個(gè)需要考慮一線的方便性。這個(gè)可以向一線宣導(dǎo)一下，以下圖為 ssh登陸界面，只要設(shè)置一次并保存后續(xù)只需鍵入密碼就好了。- defdQU k - SSH Secure ShelUo | 回 | K JFfe Edit View 坐ndovi 旦eZ1 Qdick Connect '.J Profiles53H Secure Shell 3Z.3 (Eulld 225)Cnpyrigtit (c)

16、2000-2003 SSE Cornnmnicatlo-as SECurity CBtp 一/wm. ssh. con/This c口匚y cf SSH Secureis a. non-c_htlEsecidl veraiDn.Not corrte-cfed - pF色瓷t Enter o-*" g戶自亡& fa :込昶一廠図. 乙名稱更改默認(rèn)端口實(shí)施目的更改Apache效勞器默認(rèn)端口，防止非法訪冋。問(wèn)題影響惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)查看 d.co nf文件，查看端口是否與原來(lái)相同。實(shí)施步驟1參考配置操作1修改d.co nf配置文件，更改默認(rèn)端口到8080Liste n x.x.

17、x.x:80802重啟Apache效勞回退方案恢復(fù)原始狀態(tài)。判斷依據(jù)1判定條件使用8080端口登陸頁(yè)面成功2、檢測(cè)操作登陸 ：ip:8080名稱禁用Apache Server中的執(zhí)行功能實(shí)施目的防止用戶直接執(zhí)行Apache效勞器中的執(zhí)行程序，而造成效勞器 系統(tǒng)的公開化。問(wèn)題影響越權(quán)使用造成非法攻擊。系統(tǒng)當(dāng)前狀態(tài)Is -al 'which apachectl' 即achectl- V | grep SERVER CONFIG實(shí)施步驟在配置文件access.conf 或 d.conf中的Options指令處加入Includes NO EXEC選項(xiàng)，用以禁用 Apache Serve

18、r中的執(zhí)行 功能。防止用戶直接執(zhí)行Apache效勞器中的執(zhí)行程序，而造成 效勞器系統(tǒng)的公開化。備份文件修改：Opti ons In cludes Noexec名稱隱藏Apache的版本號(hào)及其它敏感信息實(shí)施目的隱藏Apache的版本號(hào)及其它敏感信息問(wèn)題影響越權(quán)使用造成非法攻擊。系統(tǒng)當(dāng)前狀態(tài)ls -al 'which apachectl'即achectl- V | grep SERVER CONFIG實(shí)施步驟默認(rèn)情況下，很多Apache安裝時(shí)會(huì)顯示版本號(hào)及操作系統(tǒng)版本， 甚至?xí)@示效勞器上安裝的是什么樣的Apache模塊。這些信息可以為黑客所用，并且黑客還可以從中得知你所配置的效勞

19、器上 的很多設(shè)置都是默認(rèn)狀態(tài)。添加到你的d.co nf文件中：ServerSig nature OffServerToke ns Prod補(bǔ)充說(shuō)明：ServerSignature 出現(xiàn)在 Apache所產(chǎn)生的像404頁(yè)面、目錄列 表等頁(yè)面的底部。ServerTokens目錄被用來(lái)判斷Apache會(huì)在 Server響應(yīng)包的頭部填充什么信息。如果把ServerTokens設(shè)為Prod，那么響應(yīng)包頭就會(huì)被設(shè)置成：Server: Apache也可以通過(guò)源代碼和平安模塊進(jìn)行修改名稱Apache 413錯(cuò)誤頁(yè)面跨站腳本漏洞修復(fù)實(shí)施目的修復(fù)Apache Server處理畸形用戶請(qǐng)求時(shí)存在漏洞問(wèn)題影響遠(yuǎn)程攻擊

20、者可能利用此漏洞獲取腳根源系統(tǒng)當(dāng)前狀態(tài)實(shí)施步驟Apache Server處理畸形用戶請(qǐng)求時(shí)存在漏洞，遠(yuǎn)程攻擊者可能利用此漏洞獲取腳根源碼。向Apache配置文件添加ErrorDocument 413語(yǔ)句禁用默認(rèn)的413 錯(cuò)誤頁(yè)面。名稱限制請(qǐng)求消息長(zhǎng)度實(shí)施目的限制請(qǐng)求的消息主體的大小。問(wèn)題影響惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)Cat d.co nf文件，看是否與原來(lái)相同。實(shí)施步驟1、參考配置操作編輯 d.co nf配置文件，修改為102400ByteLimitRequestBody 102400名稱錯(cuò)誤頁(yè)面處理實(shí)施目的Apache錯(cuò)誤頁(yè)面重疋向。問(wèn)題影響惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)查看 d.conf文件，查看Er

21、rorDocument文件是否與修改前相同。名稱拒絕效勞防范實(shí)施目的防止惡意攻擊問(wèn)題影響惡意攻擊。系統(tǒng)當(dāng)前狀態(tài)查看d.conf文件，查看Timeout等文件是否與原來(lái)相同。實(shí)施步驟1參考配置操作(1)文件，Timeout 10 KeepAlive On KeepAliveTimeout 15 AcceptFilter data AcceptFilter s data 重新啟動(dòng)Apache效勞實(shí)施步驟1參考配置操作ErrorDocume ntErrorDocume nt 405 /custom405.htmlCustomxxx.html為要設(shè)置的錯(cuò)誤頁(yè)面。 重新啟動(dòng)Apache效勞Customxxx.html為要設(shè)置的錯(cuò)誤頁(yè)面。 重新啟動(dòng)Apache效勞3、用戶權(quán)限配置的平安性名稱為不同的管理員分配不同的