对于当今的计算平台,易于访问和开放对于基于Web的通信和精简资源的IT管理团队至关重要。
在一个充满恶意软件,黑客威胁和潜在数据窃贼的世界中,采取全面安全措施的必要性日益增加,这是直接矛盾的。
大多数组织将采用分层的安全策略,为他们的IT基础架构提供尽可能多的保护措施-防火墙,沙箱,IPS和IDS,防病毒-但最安全的计算环境是那些具有“基础”安全性的环境。
如果不需要将数据存储在面向公众的Linux Web服务器上,则将其完全删除-如果数据不存在,就不会受到破坏。
如果用户不需要访问某些系统或网络的某些部分(例如,安全的Ubuntu服务器场所在的网络),则撤消其特权-他们需要访问系统来窃取数据,从而阻止它们靠近任何地方首先。
同样,如果您的CentOS服务器不需要FTP或Web服务,请禁用或删除它们。每次减少访问方式时,就可以减少安全漏洞的潜在威胁。
简而言之,您需要加强Linux服务器。
Linux强化政策背景
Linux的优点在于,它是如此易于访问且免费提供,以至于只需很少的培训或知识即可轻松启动和运行。基于Web的支持社区提供了执行任何Linux设置任务或解决可能遇到的问题所需的所有技巧和教程。
为您的Linux主机查找和解释正确的加固清单可能仍然是一个挑战,因此,本指南为您提供了一个简洁的清单,可用于常规Linux服务器的最高优先级加固措施。
帐户政策
- 实施密码记录 -365天
- 最长密码年龄 -42天
- 最小密码长度 -8个字符
- 密码复杂度 -启用
- 帐户锁定时间 – 30分钟
- 帐户锁定阈值 -5次尝试
- 重置帐户锁定计数器 – 30分钟
编辑/etc/pam.d/common-password来定义主机的密码策略参数。
访问安全
- 确保正在使用SSH版本2
- 禁用远程root登录
- 将AllowGroups启用为仅允许的组名
- 只允许访问有效设备
- 将并发根会话数限制为仅1或2
编辑 sshd.config 为主机定义SSHD策略参数,并 /etc/hosts.allow 和 /etc/hosts.deny 控制访问。采用 / etc / securetty 限制对 tty1 要么 tty1 和 tty2 只要。
仅安全启动
删除从CD或USB设备启动的选项,并使用密码保护计算机,以防止BIOS选项被编辑。
密码保护 /boot/grub/menu.lst 文件,然后删除 救援模式启动 条目。
禁用所有不必要的进程,服务和守护程序
每个系统都是唯一的,因此查看服务器运行应用程序不需要哪些进程和服务非常重要。
通过运行服务器来评估服务器 ps -ax 命令并查看当前正在运行什么。
同样,通过运行以下命令评估所有进程的启动状态: chkconfig-列表 命令。
使用禁用所有不必要的服务 sysv-rc-conf服务名称关闭
将敏感文件和文件夹的权限限制为仅root用户
确保以下敏感程序仅是root可执行文件
- / etc / fstab
- / etc / passwd
- / bin / ping
- / usr / bin /谁
- / usr / bin / w
- / usr / bin /定位
- / usr / bin / whereis
- / sbin / ifconfig
- / bin / nano
- / usr / bin / vi
- / usr / bin /其中
- / usr / bin / gcc
- / usr / bin / make
- / usr / bin / apt-get
- / usr / bin / aptitude
确保以下文件夹仅是root用户访问权限
- /等等
- / usr / etc
- /箱
- / usr / bin
- / sbin
- / usr / sbin
- / tmp
- / var / tmp
禁用SUID和SGID二进制文件
识别系统上的SUID和SGID文件: 查找/ (-perm -4000 -o -perm -2000 )-打印。
通过使用以下命令删除SUID或SGID位,使这些文件安全 chmod -s文件名
您还应通过将它们添加到新的“编译器”组来限制对系统上所有编译器的访问。
- chgrp编译器* cc *
- chgrp编译器* ++ *
- chgrp编译器ld
- chgrp编译器为
加入群组后,请使用 chmod 750编译器
在敏感的文件夹和文件上实施常规/实时FIM
应该监视所有文件和文件夹的文件完整性,以确保权限和文件未经批准不会更改。
在Linux服务器上配置审核
确保对关键安全事件进行审核并将其转发到syslog或SIEM服务器。编辑 syslog.conf文件 相应地。
内核变量的一般强化
编辑 /etc/sysctl.conf 文件以将所有内核变量设置为安全设置,以防止欺骗,syn Flood和DOS攻击。