22-系統(tǒng)安全02-操作系統(tǒng)安全02-linux安全配置_第1頁(yè)
22-系統(tǒng)安全02-操作系統(tǒng)安全02-linux安全配置_第2頁(yè)
22-系統(tǒng)安全02-操作系統(tǒng)安全02-linux安全配置_第3頁(yè)
22-系統(tǒng)安全02-操作系統(tǒng)安全02-linux安全配置_第4頁(yè)
22-系統(tǒng)安全02-操作系統(tǒng)安全02-linux安全配置_第5頁(yè)
已閱讀5頁(yè),還剩37頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶(hù)提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

Linux安全配置理解Linux安全配置維度掌握Linux安全配置的方法教學(xué)目標(biāo)Linux安全配置簡(jiǎn)介L(zhǎng)inux的網(wǎng)絡(luò)配置Linux的日志和審計(jì)配置Linux的訪問(wèn)認(rèn)證和授權(quán)配置Linux的系統(tǒng)運(yùn)維配置目錄Linux種類(lèi)較多,常見(jiàn)的有Redhat、Ubuntu、Centos、SUSE等根據(jù)不同版本,其安全配置都不太相同,主要體現(xiàn)在以下三點(diǎn)配置文件所存放的路徑操作系統(tǒng)的命令操作系統(tǒng)自身的安全特性或工具本小節(jié),我們以Centos7為例,進(jìn)行安全配置講解,其它版本Linux可能存在安全配置方式不同,但整體配置的維度和原則是一致的。Linux安全配置簡(jiǎn)介Centos安全配置維度安裝配置(默認(rèn)配置即可)服務(wù)配置(默認(rèn)配置即可)網(wǎng)絡(luò)配置日志和審計(jì)訪問(wèn)、授權(quán)和認(rèn)證系統(tǒng)運(yùn)維Linux安全配置簡(jiǎn)介Centos安全配置原則最小安全(最小安裝、最小權(quán)限)不影響業(yè)務(wù)可用(安全與業(yè)務(wù)的矛盾)職責(zé)分離審計(jì)記錄因?yàn)镃entos安全配置較多,本文僅列舉部分典型代表,更多具體配置,可以參照相關(guān)國(guó)內(nèi)或國(guó)際標(biāo)準(zhǔn),如等保、CIS等。Linux安全配置簡(jiǎn)介禁用不使用的網(wǎng)絡(luò)協(xié)議禁用IPv6,,執(zhí)行以下命令sysctl-wnet.ipv6.conf.all.disable_ipv6=1sysctl-wnet.ipv6.conf.default.disable_ipv6=1sysctl-wnet.ipv6.route.flush=1

查看配置是否生效sysctlnet.ipv6.conf.all.disable_ipv6Linux安全配置--網(wǎng)絡(luò)配置禁用不使用的無(wú)線設(shè)備,因?yàn)長(zhǎng)inux作為服務(wù)器工作時(shí),無(wú)需使用無(wú)線查看無(wú)線設(shè)備iwlist查看當(dāng)前連接iplinkshowupLinux安全配置--網(wǎng)絡(luò)配置關(guān)閉網(wǎng)絡(luò)連接iplinkset<interface>down

這里以本地環(huán)回口lo為例,進(jìn)行關(guān)閉Linux安全配置--網(wǎng)絡(luò)配置當(dāng)Linux作為獨(dú)立主機(jī)使用時(shí),配置網(wǎng)絡(luò)關(guān)閉IP轉(zhuǎn)發(fā),默認(rèn)即關(guān)閉查看IP轉(zhuǎn)發(fā)配置sysctlnet.ipv4.ip_forward關(guān)閉IP轉(zhuǎn)發(fā)sysctl-wnet.ipv4.ip_forware=0Linux安全配置--網(wǎng)絡(luò)配置關(guān)閉數(shù)據(jù)包重定向查看重定向設(shè)置sysctlnet.ipv4.conf.all.send_redirects關(guān)閉重定向設(shè)置sysctl-wnet.ipv4.conf.all.send_redirects=0Linux安全配置--網(wǎng)絡(luò)配置開(kāi)啟TCPSYN

Cookies功能TCPSYN功能某種程度上可以防止TCP的SYNDDOS攻擊。查看TCPSYNCookies功能sysctlnet.ipv4.tcp_syncookies開(kāi)啟TCPSYNCookies功能sysctl-wnet.ipv4.tcp_syncookies=1Linux安全配置--網(wǎng)絡(luò)配置防火墻配置在Centos較新的版本中,引入了nftables內(nèi)核取代傳統(tǒng)netfilter內(nèi)核通常nftables和netfilter只用安裝一種即可。基于netfilter,又有兩種前端操作工具,即firewalld和iptables本節(jié)我們以netfilter+firewalld進(jìn)行操作講解Linux安全配置--網(wǎng)絡(luò)配置防火墻配置確定安裝了firewalld和iptables管理工具rpm-qfirewalldiptables安裝firewalld和iptablesyuminstallfirewalldiptablesLinux安全配置--網(wǎng)絡(luò)配置防火墻配置關(guān)閉iptables的服務(wù)管理(因?yàn)橥瑫r(shí)開(kāi)啟iptables與firewalld會(huì)沖突)查看iptables服務(wù)rpm-qiptables-services如果已安裝,可以使用以下命令停止systemctlstopiptablesyumremoveiptables-servicesLinux安全配置--網(wǎng)絡(luò)配置確保沒(méi)有安裝nftables查看安裝nftables的狀態(tài)rpm-qnftables如果安裝,可以刪除yumremovenftablesLinux安全配置--網(wǎng)絡(luò)配置確保防火墻服務(wù)自動(dòng)啟動(dòng),并正在運(yùn)行查看firewalld狀態(tài)systemctlis-enabledfirewalld查看firewalld狀態(tài)(第二種方式)firewall-cmd--stateLinux安全配置--網(wǎng)絡(luò)配置開(kāi)啟firewalldsystemctlunmaskfirewalldsystemctlenablefirewalld開(kāi)啟防火墻,可能會(huì)導(dǎo)致網(wǎng)絡(luò)中斷,所以一定要分析清楚,當(dāng)前網(wǎng)絡(luò)連接與網(wǎng)絡(luò)配置,再來(lái)開(kāi)啟防火墻Linux安全配置--網(wǎng)絡(luò)配置確定防火墻區(qū)域配置默認(rèn)firewalld會(huì)創(chuàng)建一個(gè)名為public的區(qū)域區(qū)域代表防火墻中的信任等級(jí),每一個(gè)接口都應(yīng)該屬于區(qū)域查看當(dāng)前區(qū)域,默認(rèn)是publicfirewall-cmd--get-default-zoneLinux安全配置--網(wǎng)絡(luò)配置防火墻默認(rèn)區(qū)域配置設(shè)置默認(rèn)區(qū)域?yàn)閜ublicfirewall-cmd--set-default-zone=public查看當(dāng)前活動(dòng)的區(qū)域和接口firewall-cmd--get-active-zones設(shè)置接口到區(qū)域firewall-cmd--zone=public--change-interface=ens33Linux安全配置--網(wǎng)絡(luò)配置查看當(dāng)前允許的端口和服務(wù)firewall-cmd--list-all--zone=publicLinux安全配置--網(wǎng)絡(luò)配置關(guān)閉不需要的端口和服務(wù)關(guān)閉端口firewall-cmd--remove-port=<port-number>/<port-type>如:firewall-cmd--remove-port=25/tcp關(guān)閉服務(wù)firewall-cmd--remove-service=<service>如:firewall-cmd--remove-service=smtpLinux安全配置--網(wǎng)絡(luò)配置系統(tǒng)審核查看系統(tǒng)是否安裝審核服務(wù)rpm-qauditaudit-libs如果沒(méi)有安裝,而進(jìn)行安裝yuminstallauditaudit-libsLinux安全配置--日志和審核系統(tǒng)審核查看審核服務(wù)是否開(kāi)啟systemctlis-enabledauditd查看服務(wù)狀態(tài)systemctlstatusauditdLinux安全配置--日志和審計(jì)配置審計(jì)數(shù)據(jù)大小查看audit日志最大空間,默認(rèn)單位為M如圖,顯示為8MLinux安全配置--日志和審計(jì)審計(jì)用戶(hù)和用戶(hù)組的操作查看當(dāng)前用戶(hù)和用戶(hù)組相關(guān)的操作記錄grepidentity/etc/audit/rules.d/*.rules當(dāng)前沒(méi)有任何相關(guān)配置配置記錄如下:vi/etc/audit/rules.d/identity.rules加入右圖內(nèi)容同樣,也可以輸入其他命令路徑Linux安全配置--日志和審計(jì)配置rsyslog日志rsyslog是取代syslog的新版本。rsyslog有一些優(yōu)秀的特性,比如使用tcp連接,可以將日志存儲(chǔ)到數(shù)據(jù)庫(kù),可以加密傳輸日志等。確保系統(tǒng)安裝了rsyslogrpm-qrsyslog查看rsyslog服務(wù)狀態(tài)systemctlis-enabledrsyslogLinux安全配置--日志和審計(jì)確保日志正常輸入查看當(dāng)前日志目錄及日志權(quán)限,日志權(quán)限應(yīng)該為600(僅root可讀寫(xiě))ls-l/var/logLinux安全配置--日志和審計(jì)查看日志歸檔處理Linux系統(tǒng)使用logrotate按定期或指定大小進(jìn)行歸檔處理確保logrotate正常的處理syslog日志查看是否存在文件ls/etc/logrotate.d/syslogLinux安全配置--日志和審計(jì)查看計(jì)劃任務(wù)的訪問(wèn)授權(quán)stat/etc/crontab如圖展示了,僅root可以訪問(wèn)計(jì)劃任務(wù),且相關(guān)訪問(wèn)時(shí)間。同理還應(yīng)檢查文件dailyhourlymonthlyweeklyLinux安全配置--訪問(wèn)、認(rèn)證和授權(quán)查看SSH配置文件權(quán)限因?yàn)镾SH可以使用密鑰直接登錄,如果SSH配置文件權(quán)限限制不嚴(yán)格,則造成SSH提權(quán)檢查/etc/ssh/sshd_config的權(quán)限Linux安全配置--訪問(wèn)、認(rèn)證和授權(quán)配置允許通過(guò)SSH訪問(wèn)的用戶(hù)使用以下命令查看當(dāng)前允許SSH訪問(wèn)的用sshd-T|grep-E'^\s*(allow|deny)(users|groups)\s+\S+'如果輸出為空,說(shuō)明沒(méi)有配置編輯文件/etc/ssh/sshd_config,配置僅允許sangfor用戶(hù)訪問(wèn)在文件中加入以下行allowuserssangfor保存,退出,并重啟SSH服務(wù)。驗(yàn)證生效。Linux安全配置--訪問(wèn)、認(rèn)證和授權(quán)配置SSH驗(yàn)證失敗次數(shù)查看SSH驗(yàn)證失敗次數(shù)sshd-T|grepmaxauthtries默認(rèn)為6次,建議改為4次或更低編輯SSH配置文件修改即可vi/etc/ssh/sshd_configLinux安全配置--訪問(wèn)、認(rèn)證和授權(quán)禁止空密碼登錄SSHsshd-T|greppermitemptypasswords查看SSH支持的加密方式,確保不要出現(xiàn)如desmd5這類(lèi)已經(jīng)不再安全的算法sshd-T|grepciphersLinux安全配置--訪問(wèn)、認(rèn)證和授權(quán)PAM模塊配置PAM(PluggableAuthenticationModules)是Linux中的認(rèn)證管理模塊,所有認(rèn)證相關(guān)可由PAM處理。密碼要求由/etc/security/pwquality.conf管理minlen=14,最小密碼長(zhǎng)度mincalss=4,密碼復(fù)雜度,分別是是大寫(xiě)字母、小寫(xiě)字母、數(shù)字、符號(hào)Linux安全配置--訪問(wèn)、認(rèn)證和授權(quán)用戶(hù)賬戶(hù)和環(huán)境查看密碼過(guò)期時(shí)間,建議設(shè)為60,如圖為99999,顯然不合適grep^\s*PASS_MAX_DAYS/etc/login.defs查看用戶(hù)的過(guò)期時(shí)間grep-E'^[^:]+:[^!*]'/etc/shadow|cut-d:-f1,5Linux安全配置--訪問(wèn)、認(rèn)證和授權(quán)修改用戶(hù)過(guò)期時(shí)間方法一,編輯默認(rèn)文件,中的PASS_MAX_DAYS值vi

/etc/login.defs方法二chage--maxdays365<user>Linux安全配置--訪問(wèn)、認(rèn)證和授權(quán)用戶(hù)賬戶(hù)和環(huán)境查看密碼最小天數(shù)(原理同windows密碼最小天數(shù)),建議設(shè)為1grep^\s*PASS_MIN_DAYS/etc/login.defs提示密碼過(guò)期時(shí)間,建議設(shè)置為7或更多查看方法如下Linux安全配置--訪問(wèn)、認(rèn)證和授權(quán)用戶(hù)賬戶(hù)和環(huán)境自動(dòng)禁用賬號(hào),建議設(shè)置為30天或更少當(dāng)用戶(hù)指定時(shí)間沒(méi)有使用時(shí),自動(dòng)禁用用戶(hù)查看useradd-D|grepINACTIVE配置方法useradd-D-f30Linux安全配置--訪問(wèn)、認(rèn)證和授權(quán)檢查文件/etc/p

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶(hù)所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶(hù)上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶(hù)上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶(hù)因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論