對於當今的計算平台,易於訪問和開放對於基於Web的通信和精簡資源的IT管理團隊至關重要。
在一個充滿惡意軟體,黑客威脅和潛在數據竊賊的世界中,採取全面安全措施的必要性日益增加,這是直接矛盾的。
大多數組織將採用分層的安全策略,為他們的IT基礎架構提供儘可能多的保護措施-防火牆,沙箱,IPS和IDS,防病毒-但最安全的計算環境是那些具有「基礎」安全性的環境。
如果不需要將數據存儲在面向公眾的Linux Web伺服器上,則將其完全刪除-如果數據不存在,就不會受到破壞。
如果用戶不需要訪問某些系統或網路的某些部分(例如,安全的Ubuntu伺服器場所在的網路),則撤消其特權-他們需要訪問系統來竊取數據,從而阻止它們靠近任何地方首先。
同樣,如果您的CentOS伺服器不需要FTP或Web服務,請禁用或刪除它們。每次減少訪問方式時,就可以減少安全漏洞的潛在威脅。
簡而言之,您需要加強Linux伺服器。
Linux強化政策背景
Linux的優點在於,它是如此易於訪問且免費提供,以至於只需很少的培訓或知識即可輕鬆啟動和運行。基於Web的支持社區提供了執行任何Linux設置任務或解決可能遇到的問題所需的所有技巧和教程。
為您的Linux主機查找和解釋正確的加固清單可能仍然是一個挑戰,因此,本指南為您提供了一個簡潔的清單,可用於常規Linux伺服器的最高優先順序加固措施。
帳戶政策
- 實施密碼記錄 -365天
- 最長密碼年齡 -42天
- 最小密碼長度 -8個字元
- 密碼複雜度 -啟用
- 帳戶鎖定時間 – 30分鐘
- 帳戶鎖定閾值 -5次嘗試
- 重置帳戶鎖定計數器 – 30分鐘
編輯/etc/pam.d/common-password來定義主機的密碼策略參數。
訪問安全
- 確保正在使用SSH版本2
- 禁用遠程root登錄
- 將AllowGroups啟用為僅允許的組名
- 只允許訪問有效設備
- 將並髮根會話數限制為僅1或2
編輯 sshd.config 為主機定義SSHD策略參數,並 /etc/hosts.allow 和 /etc/hosts.deny 控制訪問。採用 / etc / securetty 限制對 tty1 要麼 tty1 和 tty2 只要。
僅安全啟動
刪除從CD或USB設備啟動的選項,並使用密碼保護計算機,以防止BIOS選項被編輯。
密碼保護 /boot/grub/menu.lst 文件,然後刪除 救援模式啟動 條目。
禁用所有不必要的進程,服務和守護程序
每個系統都是唯一的,因此查看伺服器運行應用程序不需要哪些進程和服務非常重要。
通過運行伺服器來評估伺服器 ps -ax 命令並查看當前正在運行什麼。
同樣,通過運行以下命令評估所有進程的啟動狀態: chkconfig-列表 命令。
使用禁用所有不必要的服務 sysv-rc-conf服務名稱關閉
將敏感文件和文件夾的許可權限制為僅root用戶
確保以下敏感程序僅是root可執行文件
- / etc / fstab
- / etc / passwd
- / bin / ping
- / usr / bin /誰
- / usr / bin / w
- / usr / bin /定位
- / usr / bin / whereis
- / sbin / ifconfig
- / bin / nano
- / usr / bin / vi
- / usr / bin /其中
- / usr / bin / gcc
- / usr / bin / make
- / usr / bin / apt-get
- / usr / bin / aptitude
確保以下文件夾僅是root用戶訪問許可權
- /等等
- / usr / etc
- /箱
- / usr / bin
- / sbin
- / usr / sbin
- / tmp
- / var / tmp
禁用SUID和SGID二進位文件
識別系統上的SUID和SGID文件: 查找/ (-perm -4000 -o -perm -2000 )-列印。
通過使用以下命令刪除SUID或SGID位,使這些文件安全 chmod -s文件名
您還應通過將它們添加到新的「編譯器」組來限制對系統上所有編譯器的訪問。
- chgrp編譯器* cc *
- chgrp編譯器* ++ *
- chgrp編譯器ld
- chgrp編譯器為
加入群組後,請使用 chmod 750編譯器
在敏感的文件夾和文件上實施常規/實時FIM
應該監視所有文件和文件夾的文件完整性,以確保許可權和文件未經批准不會更改。
在Linux伺服器上配置審核
確保對關鍵安全事件進行審核並將其轉發到syslog或SIEM伺服器。編輯 syslog.conf文件 相應地。
內核變數的一般強化
編輯 /etc/sysctl.conf 文件以將所有內核變數設置為安全設置,以防止欺騙,syn Flood和DOS攻擊。