dark

Linux服务器强化

2020年1月4日

对于当今的计算平台,易于访问和开放对于基于Web的通信和精简资源的IT管理团队至关重要。

在一个充满恶意软件,黑客威胁和潜在数据窃贼的世界中,采取全面安全措施的必要性日益增加,这是直接矛盾的。

大多数组织将采用分层的安全策略,为他们的IT基础架构提供尽可能多的保护措施-防火墙,沙箱,IPS和IDS,防病毒-但最安全的计算环境是那些具有“基础”安全性的环境。

如果不需要将数据存储在面向公众的Linux Web服务器上,则将其完全删除-如果数据不存在,就不会受到破坏。

如果用户不需要访问某些系统或网络的某些部分(例如,安全的Ubuntu服务器场所在的网络),则撤消其特权-他们需要访问系统来窃取数据,从而阻止它们靠近任何地方首先。

同样,如果您的CentOS服务器不需要FTP或Web服务,请禁用或删除它们。每次减少访问方式时,就可以减少安全漏洞的潜在威胁。

简而言之,您需要加强Linux服务器。

Linux强化政策背景

Linux的优点在于,它是如此易于访问且免费提供,以至于只需很少的培训或知识即可轻松启动和运行。基于Web的支持社区提供了执行任何Linux设置任务或解决可能遇到的问题所需的所有技巧和教程。

为您的Linux主机查找和解释正确的加固清单可能仍然是一个挑战,因此,本指南为您提供了一个简洁的清单,可用于常规Linux服务器的最高优先级加固措施。

帐户政策

  • 实施密码记录 -365天
  • 最长密码年龄 -42天
  • 最小密码长度 -8个字符
  • 密码复杂度 -启用
  • 帐户锁定时间 – 30分钟
  • 帐户锁定阈值 -5次尝试
  • 重置帐户锁定计数器 – 30分钟

编辑/etc/pam.d/common-password来定义主机的密码策略参数。

访问安全

  • 确保正在使用SSH版本2
  • 禁用远程root登录
  • 将AllowGroups启用为仅允许的组名
  • 只允许访问有效设备
  • 将并发根会话数限制为仅1或2

编辑 sshd.config 为主机定义SSHD策略参数,并 /etc/hosts.allow/etc/hosts.deny 控制访问。采用 / etc / securetty 限制对 tty1 要么 tty1tty2 只要。

仅安全启动

删除从CD或USB设备启动的选项,并使用密码保护计算机,以防止BIOS选项被编辑。

密码保护 /boot/grub/menu.lst 文件,然后删除 救援模式启动 条目。

禁用所有不必要的进程,服务和守护程序

每个系统都是唯一的,因此查看服务器运行应用程序不需要哪些进程和服务非常重要。

通过运行服务器来评估服务器 ps -ax 命令并查看当前正在运行什么。

同样,通过运行以下命令评估所有进程的启动状态: chkconfig-列表 命令。

使用禁用所有不必要的服务 sysv-rc-conf服务名称关闭

将敏感文件和文件夹的权限限制为仅root用户

确保以下敏感程序仅是root可执行文件

  • / etc / fstab
  • / etc / passwd
  • / bin / ping
  • / usr / bin /谁
  • / usr / bin / w
  • / usr / bin /定位
  • / usr / bin / whereis
  • / sbin / ifconfig
  • / bin / nano
  • / usr / bin / vi
  • / usr / bin /其中
  • / usr / bin / gcc
  • / usr / bin / make
  • / usr / bin / apt-get
  • / usr / bin / aptitude

确保以下文件夹仅是root用户访问权限

  • /等等
  • / usr / etc
  • /箱
  • / usr / bin
  • / sbin
  • / usr / sbin
  • / tmp
  • / var / tmp

禁用SUID和SGID二进制文件

识别系统上的SUID和SGID文件: 查找/ (-perm -4000 -o -perm -2000 )-打印。

通过使用以下命令删除SUID或SGID位,使这些文件安全 chmod -s文件名

您还应通过将它们添加到新的“编译器”组来限制对系统上所有编译器的访问。

  • chgrp编译器* cc *
  • chgrp编译器* ++ *
  • chgrp编译器ld
  • chgrp编译器为

加入群组后,请使用 chmod 750编译器

在敏感的文件夹和文件上实施常规/实时FIM

应该监视所有文件和文件夹的文件完整性,以确保权限和文件未经批准不会更改。

在Linux服务器上配置审核

确保对关键安全事件进行审核并将其转发到syslog或SIEM服务器。编辑 syslog.conf文件 相应地。

内核变量的一般强化

编辑 /etc/sysctl.conf 文件以将所有内核变量设置为安全设置,以防止欺骗,syn Flood和DOS攻击。

相关文章