CentOS7系統(tǒng)安全加固實施方案

1、為用戶設(shè)置缺省的為用戶設(shè)置缺省的umask值有助于防止用戶建立所有用戶可寫的文件而危及用戶的數(shù)據(jù).CentOS7.0系統(tǒng)安全加固手冊目錄TOC o 1-5 h z HYPERLINK l bookmark4一、用戶帳號和環(huán)境2 HYPERLINK l bookmark8二、系統(tǒng)訪問認(rèn)證和授權(quán)3 HYPERLINK l bookmark10三、核心調(diào)整5 HYPERLINK l bookmark12四、需要關(guān)閉的一些服務(wù)5 HYPERLINK l bookmark14五、SSH安全配置5 HYPERLINK l bookmark16六、封堵openssl的Heartbleed漏洞6 HYPERL

2、INK l bookmark32七、開啟防火墻策略7 HYPERLINK l bookmark34八、啟用系統(tǒng)審計服務(wù)8 HYPERLINK l bookmark38九、部署完整性檢查工具軟件10 HYPERLINK l bookmark40十、部署系統(tǒng)監(jiān)控環(huán)境11為用戶設(shè)置缺省的為用戶設(shè)置缺省的umask值有助于防止用戶建立所有用戶可寫的文件而危及用戶的數(shù)據(jù).以下安全設(shè)置均是在CentOS7.0_x64環(huán)境下minimal安裝進行的驗證。一、用戶帳號和環(huán)境檢查項注釋清除了operator、Ip、shutdown、halt、games、gopher帳號刪除的用戶組有：lp、uucp、games

3、、dip其它系統(tǒng)偽帳號均處于鎖定SHELL登錄的狀態(tài)2驗證是否有賬號存在空口令的情況:3檢查除了3檢查除了root以外是否還有其它賬號的UID為0:awk-F:($3=0)print$1/etc/passwd4檢查root用戶的$PATH中是否有.或者所有用戶/組用戶可寫的目錄超級用戶的$PATH設(shè)置中如果存在這些目錄可能會導(dǎo)致超級用戶誤執(zhí)行一個特洛伊木馬5用戶的home目錄許可權(quán)限設(shè)置為700用戶home目錄的許可權(quán)限限制不嚴(yán)可能會導(dǎo)致惡意用戶讀/修改/刪除其它用戶的數(shù)據(jù)或取得其它用戶的系統(tǒng)權(quán)限6是否有用戶的點文件是所有用戶可讀寫的：fordirinawk-F:($3=500)print$6

4、/etc/passwddoforfilein$dir/.A-Za-z0-9*doUnix/Linux下通常以”開頭的文件是用戶的配置文件,如果存在所有用戶可讀/寫的配置文件可能會使惡意用戶能讀/寫其它用戶的數(shù)據(jù)或取得其它用戶的系統(tǒng)權(quán)限任何UID為0的賬號在系統(tǒng)上都具有超級用戶權(quán)限.if-f$file;thenchmodo-w$filefidonedone7為用戶設(shè)置合適的缺省umask值：cd/etcforfileinprofilecsh.logincsh.cshrcbashrcdoifgrep-cumask$file-eq0;thenechoumask022$filefi為用戶設(shè)置缺省的為用

5、戶設(shè)置缺省的umask值有助于防止用戶建立所有用戶可寫的文件而危及用戶的數(shù)據(jù).chownroot:root$filechmod444$filedone設(shè)備系統(tǒng)口令策略：修改/etc/login.defs文件將PASS_MIN_LEN最小密碼長度設(shè)置為12位。1Q限制能夠su為root的用戶：#vi/etc/pam.d/su在文件頭部添加下面這樣的一行authrequiredpam_wheel.souse_uid這樣，只有wheel組的用戶可以su至Uroot操作樣例：#usermod-G1Qtest將test用戶加入到wheel組11修改別名文件/etc/aliases：#vi/etc/ali

6、ases注釋掉不要的#games:root#ingres:root#system:root#toor:root#uucp:root#manager:root#dumper:root#operator:root#decode:root#root:marc修改后執(zhí)行/usr/bin/newaliases13修改帳戶TMOUT值，設(shè)置自動注銷時間vi/etc/profile無操作600秒后自動退出增加TMOUT=60014設(shè)置Bash保留歷史命令的條數(shù)#vi/etc/profile即只保留最新執(zhí)行的5條命令修改HISTSIZE=516防止IPSPOOF：#vi/etc/host.conf添加：nos

7、poofon不允許服務(wù)器對IP地址進行欺騙17使用日志服務(wù)器：#vi/etc/rsyslog.conf照以下樣式修改*.info;mail.none;authpriv.none;cron.none99這里只是作為參考，需要根據(jù)實際決定怎么配置參數(shù)二、系統(tǒng)訪問認(rèn)證和授權(quán)為用戶設(shè)置缺省的為用戶設(shè)置缺省的umask值有助于防止用戶建立所有用戶可寫的文件而危及用戶的數(shù)據(jù).限制at/cron給授權(quán)的用戶限制at/cron給授權(quán)的用戶:cd/etc/rm-fcron.denyat.deny在多數(shù)系統(tǒng)上通常只有系統(tǒng)管理員Cron.allow和at.allow文件列出了允許允許crontat和at命令的用戶名

8、單,echorootcron.allowechorootcron.allow才需要運行這些命令echorootcron.allowechorootcron.allow才需要運行這些命令echorootat.allowchownroot:rootcron.allowat.allowchmod400cron.allowat.allow系統(tǒng)的crontab文件應(yīng)該只能被cron系統(tǒng)的crontab文件應(yīng)該只能被cron守護進程（它以超級用戶身份運行）來訪問,一個普通用戶可以修改chownroot:root/etc/crontabchmod400/etc/crontabcrontab文件會導(dǎo)致他可以以

9、超級用crontab文件會導(dǎo)致他可以以超級用戶身份執(zhí)行任意程序echorootcron.allowechorootcron.allow才需要運行這些命令echorootcron.allowechorootcron.allow才需要運行這些命令echorootcron.allowechorootcron.allow才需要運行這些命令echorootcron.allowechorootcron.allow才需要運行這些命令6建立恰當(dāng)?shù)木鎎anner:echoAuthorizedusesonly.Allactivitymonitoredandreported./etc/motdchownroot:

10、root/etc/motdchmod644/etc/motdmaybe改變登錄banner可以隱藏操作系統(tǒng)類型和版本號和其它系統(tǒng)信息,這些信息可以會對攻擊者有用.echorootcron.allowechorootcron.allow才需要運行這些命令echorootcron.allowechorootcron.allow才需要運行這些命令echoAuthorizedusesonly.Allactivitymaybemonitoredandreported./etc/issueechoAuthorizedusesonly.Allactivitymaybemonitoredandreported

11、. HYPERLINK file:/etc/etc/通常應(yīng)該以普通用戶身份訪問系統(tǒng),然后通過其它授權(quán)機制（比如SU命令和sudo通常應(yīng)該以普通用戶身份訪問系統(tǒng),然后通過其它授權(quán)機制（比如SU命令和sudo）來獲得更高權(quán)限，這樣做至少可以對登錄事件進行跟蹤cat/etc/securettytty1tty2tty3tty4tty5tty6END_FILEchownroot:root/etc/securettychmod400/etc/securetty8設(shè)置守護進程掩碼系統(tǒng)缺省的umask值應(yīng)該設(shè)vi/etc/rc.d/init.d/functions定為022以避免守護進程創(chuàng)設(shè)置為umask02

12、2建所有用戶可與的文件三、核心調(diào)整禁止coredump:cat/etc/security/limits.conf禁止coredump:cat/etc/security/limits.conf允許coredump會耗費大量的磁盤空間.softcore0hardcore0ENDENTRIESchownroot:root/etc/sysctl.confchmod600/etc/sysctl.confchownroot:root/etc/sysctl.confchmod600/etc/sysctl.conflog_martians將進行ip假冒的ip包記錄至到/var/log/messages其它核心

13、參數(shù)使用DentOS默認(rèn)值。四、需要關(guān)閉的一些服務(wù)多數(shù)Unix/Linux系統(tǒng)運行Sendmail作為郵件服務(wù)器,而該軟件歷史上關(guān)閉MailServerchkconfigpostfixoff出現(xiàn)過較多安全漏洞,如無必要,禁止該服務(wù)五、SSH安全配置設(shè)置項其它核心參數(shù)使用DentOS默認(rèn)值。四、需要關(guān)閉的一些服務(wù)多數(shù)Unix/Linux系統(tǒng)運行Sendmail作為郵件服務(wù)器,而該軟件歷史上關(guān)閉MailServerchkconfigpostfixoff出現(xiàn)過較多安全漏洞,如無必要,禁止該服務(wù)五、SSH安全配置設(shè)置項注釋:1配置空閑登出的超時間隔:Vi/etc/ssh/sshd_configDlie

14、ntAliveInterval300DlientAliveDountMax0禁用.rhosts文件IgnoreRhostsyes禁用基于主機的認(rèn)證HostbasedAuthenticationnoVi/etc/ssh/sshd_configVi/etc/ssh/sshd_config禁止root帳號通過SSH登錄PermitRootLoginno用警告的BannerBanner/etc/issueVi/etc/ssh/sshd_configVi/etc/ssh/sshd_config6iptables防火墻處理SSH端口#64906這里僅作為參考，需根據(jù)實際需要-AINPUT-s/24-mst

15、ate-stateNEW-ptcp-dport64906-j調(diào)整參數(shù)ADDEPT-AINPUT-s/29-mstate-stateNEW-ptcp-dport64906-jADDEPT7修改SSH端口和限制IP綁定：Port64906安裝selinux管理命令yum-yinstallpolicycoreutils-python修改portcontexts（關(guān)鍵），需要對context進行修改semanageport-a-tssh_port_t-ptcp64906semanageport-l|grepssh-查看當(dāng)前SEIinux允許的ssh端口Vi/etc/ssh/sshd_config僅作為

16、參考，需根據(jù)實際需要調(diào)整參數(shù)。8禁用空密碼：PermitEmptyPasswordsno禁止帳號使用空密碼進行遠程登錄SSH9記錄日志：LogLevelINFO確保在sshd_config中將日志級別LogLevel設(shè)置為INFO或者DEBUG，可通過logwatchorlogcheck來閱讀日志。10重啟SSHsystemctlrestartsshd.service重啟ssh六、封堵openssl的Heartbleed漏洞檢測方法：在服務(wù)器上運行以下命令確認(rèn)openssl版本opensslversionOpenSSL1.0.1e-fips11Feb2013以上版本的openssl存在Hear

17、tbleedbug,需要有針對性的打補丁。升及補?。?yum-yinstallopenssl驗證：opensslversion-aOpenSSL1.0.1e-fips11Feb2013builton:ThuJun512:49:27UTC2014以上builton的時間是2014.6.5號，說明已經(jīng)修復(fù)了該漏洞。注：如果能夠臨時聯(lián)網(wǎng)安裝以上補丁,在操作上會比較簡單一些。如果無法聯(lián)網(wǎng),則有兩種處理辦法：首選從安裝光盤拷貝獨立的rpm安裝文件并更新；另一個辦法是提前下載最新版本的openssl源碼，編譯并安裝。七、開啟防火墻策略在CentOS7.0中默認(rèn)使用firewall代替了iptablesse

18、rvice。雖然繼續(xù)保留了iptables命令,但已經(jīng)僅是名稱相同而已。除非手動刪除firewall,再安裝iptables,否則不能繼續(xù)使用以前的iptables配置方法。以下介紹的是firewall配置方法：#cd/usr/lib/firewalld/services/該目錄中存放的是定義好的網(wǎng)絡(luò)服務(wù)和端口參數(shù),只用于參考,不能修改。這個目錄中只定義了一部分通用網(wǎng)絡(luò)服務(wù)。在該目錄中沒有定義的網(wǎng)絡(luò)服務(wù)，也不必再增加相關(guān)xml定義，后續(xù)通過管理命令可以直接增加。#cd/etc/firewalld/services/從上面目錄中將需要使用的服務(wù)的xml文件拷至這個目錄中,如果端口有變化則可以修改

19、文件中的數(shù)值。Checkfirewallstate,firewall-cmd-stateCheckactivezones.firewall-cmd-get-active-zonesCheckcurrentactiveservices.firewall-cmd-get-serviceCheckservicesthatwillbeactiveafternextreload.firewall-cmd-get-service-permanent查看firewall當(dāng)前的配置信息，最后一個命令是查看寫入配置文件的信息。#Setpermanentandreloadtheruntimeconfig.fire

20、wall-cmd-permanent-zone=public-add-service=httpfirewall-cmd-reloadfirewall-cmd-permanent-zone=public-list-services打開HTTP服務(wù)端口并寫入配置文件從配置文件中重載至運行環(huán)境中。firewall-cmd-permanent-zone=public-remove-service=httpsfirewall-cmd-reload從已有配置中刪除一個服務(wù)端口打開或關(guān)閉一段打開或關(guān)閉一段TCP端口的方法，同理如果使用了其它非通用端口，那么也可以這么操作。firewall-cmd一一perm

21、anent-zone=public-add-port=8080-8081/tcpfirewall-cmd-reloadfirewall-cmd-zone=public-list-ports8080-8081/tcpfirewall-cmd-permanent-zone=public-list-ports8080-8081/tcp#firewall-cmd-permanent-zone=public-remove-port=8080-8081/tcpfirewall-cmd-reloadfirewall-cmd-permanent-zone=public-add-rich-rule=rulefa

22、mily=ipv4sourceaddress=/24servicename=httpacceptfirewall-cmd-permanent-zone=public-remove-rich-rule=rulefamily=ipv4sourceaddress=/24servicename=httpacceptThefollowingcommandallowsyoutoopen/closeHTTPaccesstoaspecificIPaddress.八、啟用系統(tǒng)審計服務(wù)審計內(nèi)容包括：系統(tǒng)調(diào)用、文件訪問、用戶登錄等。編輯/etc/audit/audit.rules,在文中添加如下內(nèi)容：-w/var/

23、log/audit/-kLOG_audit-w/etc/audit/-pwa-kCFG_audit-w/etc/sysconfig/auditd-pwa-kCFG_auditd.conf-w/etc/libaudit.conf-pwa-kCFG_libaudit.conf-w/etc/audisp/-pwa-kCFG_audisp-w/etc/cups/-pwa-kCFG_cups-w/etc/init.d/cups-pwa-kCFG_initd_cups-w/etc/netlabel.rules-pwa-kCFG_netlabel.rules-w/etc/selinux/mls/-pwa-k

24、CFG_MAC_policy-w/usr/share/selinux/mls/-pwa-kCFG_MAC_policy-w/etc/selinux/semanage.conf-pwa-kCFG_MAC_policy-w/usr/sbin/stunnel-px-w/etc/security/rbac-self-test.conf-pwa-kCFG_RBAC_test-w/etc/security/rbac-self-test.conf-pwa-kCFG_RBAC_test-w/etc/aide.conf-pwa-kCFG_aide.conf-w/etc/cron.allow-pwa-kCFG_c

25、ron.allow-w/etc/cron.deny-pwa-kCFG_cron.deny-w/etc/cron.d/-pwa-kCFG_cron.d-w/etc/cron.daily/-pwa-kCFG_cron.daily-w/etc/cron.hourly/-pwa-kCFG_cron.hourly-w/etc/cron.monthly/-pwa-kCFG_cron.monthly-w/etc/cron.weekly/-pwa-kCFG_cron.weekly-w/etc/crontab-pwa-kCFG_crontab-w/var/spool/cron/root-kCFG_crontab

26、_root-w/etc/group-pwa-kCFG_group-w/etc/passwd-pwa-kCFG_passwd-w/etc/gshadow-kCFG_gshadow-w/etc/shadow-kCFG_shadow-w/etc/security/opasswd-kCFG_opasswd-w/etc/login.defs-pwa-kCFG_login.defs-w/etc/securetty-pwa-kCFG_securetty-w/var/log/faillog-pwa-kLOG_faillog-w/var/log/lastlog-pwa-kLOG_lastlog-w/var/lo

27、g/tallylog-pwa-kLOG_tallylog-w/etc/hosts-pwa-kCFG_hosts-w/etc/sysconfig/network-scripts/-pwa-kCFG_network-w/etc/inittab-pwa-kCFG_inittab-w/etc/rc.d/init.d/-pwa-kCFG_initscripts-w/etc/ld.so.conf-pwa-kCFG_ld.so.conf-w/etc/localtime-pwa-kCFG_localtime-w/etc/sysctl.conf-pwa-kCFG_sysctl.conf-w/etc/modpro

28、be.conf-pwa-kCFG_modprobe.conf-w/etc/pam.d/-pwa-kCFG_pam-w/etc/security/limits.conf-pwa-kCFG_pam-w/etc/security/pam_env.conf-pwa-kCFG_pam-w/etc/security/namespace.conf-pwa-kCFG_pam-w/etc/security/namespace.init-pwa-kCFG_pam-w/etc/aliases-pwa-kCFG_aliases-w/etc/postfix/-pwa-kCFG_postfix-w/etc/ssh/ssh

29、d_config-kCFG_sshd_config-w/etc/vsftpd.ftpusers-kCFG_vsftpd.ftpusers-aexit,always-Farch=b32-Ssethostname-w/etc/issue-pwa-kCFG_issue-w HYPERLINK file:/etc/etc/-pwa-kCFG_重啟audit服務(wù)#serviceauditdrestart九、部署完整性檢查工具軟件AIDE(AdvancedIntrusionDetectionEnvironment，高級入侵檢測環(huán)境)是個入侵檢測工具，主要用途是檢查文檔的完整性。AIDE能夠構(gòu)造一個指定文檔

30、的數(shù)據(jù)庫，他使用aide.conf作為其配置文檔。AIDE數(shù)據(jù)庫能夠保存文檔的各種屬性，包括：權(quán)限(permission)、索引節(jié)點序號(inodenumber)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最后修改時間(mtime)、創(chuàng)建時間(ctime)、最后訪問時間(atime)、增加的大小連同連接數(shù)。AIDE還能夠使用下列算法：shal、md5、rmdl60、tiger，以密文形式建立每個文檔的校驗碼或散列號。在系統(tǒng)安裝完畢，要連接到網(wǎng)絡(luò)上之前，系統(tǒng)管理員應(yīng)該建立新系統(tǒng)的AIDE數(shù)據(jù)庫。這第一個AIDE數(shù)據(jù)庫是系統(tǒng)的一個快照和以后系統(tǒng)升級的準(zhǔn)繩。數(shù)據(jù)庫應(yīng)該包含這些信息：關(guān)

31、鍵的系統(tǒng)二進制可執(zhí)行程式、動態(tài)連接庫、頭文檔連同其他總是保持不變的文檔。這個數(shù)據(jù)庫不應(yīng)該保存那些經(jīng)常變動的文檔信息，例如：日志文檔、郵件、/proc文檔系統(tǒng)、用戶起始目錄連同臨時目錄安裝方法：#yum-yinstallaide注：如果主機不能聯(lián)網(wǎng)安裝AIDE，那么也可以從安裝光盤拷貝至目標(biāo)主機。檢驗系統(tǒng)文件完整性的要求：因為AIDE可執(zhí)行程序的二進制文檔本身可能被修改了或數(shù)據(jù)庫也被修改了。因此，應(yīng)該把AIDE的數(shù)據(jù)庫放到安全的地方，而且進行檢查時要使用確保沒有被修改過的程序，最好是事先為AIDE執(zhí)行程序生成一份MD5信息。再次使用AIDE可執(zhí)行程序時，需要先驗證該程序沒有被篡改過。配置說明：序

32、號參數(shù)注釋1/etc/aide.conf配置文件2databaseAide讀取文檔數(shù)據(jù)庫的位置，默認(rèn)為/var/lib/aide,默認(rèn)文件名為aide.db.gz3databaseoutAide生成文檔數(shù)據(jù)庫的存放位置，默認(rèn)為/var/lib/aide，默認(rèn)文件名為aide.db.new.gzdatabase_new在使用aide-compare命令時，需要在aide.conf中事先設(shè)置好databasenew并指向需要比較的庫文件4reporturl/var/log/aide，入侵檢測報告的存放位置5其它參數(shù)繼續(xù)使用默認(rèn)值即可。建立、更新樣本庫：1）執(zhí)行初始化，建立第一份樣本庫#aide-i

33、nit#cd/var/lib/aide/#mvaide.db.new.gzaide.db.gz/替換舊的樣本庫2）更新到樣本庫#aide-update#cd/var/lib/aide/#mvaide.db.new.gzaide.db.gz/替換舊的樣本庫執(zhí)行aide入侵檢測：1）查看入侵檢測報告#aide-check報告的詳細程度可以通過-V選項來調(diào)控，級別為0-255,-V0最簡略，-V255最詳細?；?aide-compare這個命令要求在配置文件中已經(jīng)同時指定好了新、舊兩個庫文件。2）保存入侵檢測報告（將檢查結(jié)果保存到其他文件）aide-check-report=file：/tmp/aide-report-20120426.txt3）定期執(zhí)行入侵檢測，并發(fā)送報告#crontab-e4517*/usr/sbin/aide-C-V4|/bin/mail-sAIDEREPORT$（date+%Y%m%d）abcdefg#或4523*aide-C/var/log/aide/date+%Y%m%d_aide.log記錄aid