22-系統(tǒng)安全02-操作系統(tǒng)安全02-linux安全配置

Linux安全配置理解Linux安全配置維度掌握Linux安全配置的方法教學目標Linux安全配置簡介Linux的網絡配置Linux的日志和審計配置Linux的訪問認證和授權配置Linux的系統(tǒng)運維配置目錄Linux種類較多，常見的有Redhat、Ubuntu、Centos、SUSE等根據不同版本，其安全配置都不太相同，主要體現(xiàn)在以下三點配置文件所存放的路徑操作系統(tǒng)的命令操作系統(tǒng)自身的安全特性或工具本小節(jié)，我們以Centos7為例，進行安全配置講解，其它版本Linux可能存在安全配置方式不同，但整體配置的維度和原則是一致的。Linux安全配置簡介Centos安全配置維度安裝配置（默認配置即可）服務配置（默認配置即可）網絡配置日志和審計訪問、授權和認證系統(tǒng)運維Linux安全配置簡介Centos安全配置原則最小安全（最小安裝、最小權限）不影響業(yè)務可用（安全與業(yè)務的矛盾）職責分離審計記錄因為Centos安全配置較多，本文僅列舉部分典型代表，更多具體配置，可以參照相關國內或國際標準，如等保、CIS等。Linux安全配置簡介禁用不使用的網絡協(xié)議禁用IPv6,，執(zhí)行以下命令sysctl-wnet.ipv6.conf.all.disable_ipv6=1sysctl-wnet.ipv6.conf.default.disable_ipv6=1sysctl-wnet.ipv6.route.flush=1

查看配置是否生效sysctlnet.ipv6.conf.all.disable_ipv6Linux安全配置--網絡配置禁用不使用的無線設備，因為Linux作為服務器工作時，無需使用無線查看無線設備iwlist查看當前連接iplinkshowupLinux安全配置--網絡配置關閉網絡連接iplinkset<interface>down

這里以本地環(huán)回口lo為例，進行關閉Linux安全配置--網絡配置當Linux作為獨立主機使用時，配置網絡關閉IP轉發(fā)，默認即關閉查看IP轉發(fā)配置sysctlnet.ipv4.ip_forward關閉IP轉發(fā)sysctl-wnet.ipv4.ip_forware=0Linux安全配置--網絡配置關閉數(shù)據包重定向查看重定向設置sysctlnet.ipv4.conf.all.send_redirects關閉重定向設置sysctl-wnet.ipv4.conf.all.send_redirects=0Linux安全配置--網絡配置開啟TCPSYN

Cookies功能TCPSYN功能某種程度上可以防止TCP的SYNDDOS攻擊。查看TCPSYNCookies功能sysctlnet.ipv4.tcp_syncookies開啟TCPSYNCookies功能sysctl-wnet.ipv4.tcp_syncookies=1Linux安全配置--網絡配置防火墻配置在Centos較新的版本中，引入了nftables內核取代傳統(tǒng)netfilter內核通常nftables和netfilter只用安裝一種即可?；趎etfilter，又有兩種前端操作工具，即firewalld和iptables本節(jié)我們以netfilter+firewalld進行操作講解Linux安全配置--網絡配置防火墻配置確定安裝了firewalld和iptables管理工具rpm-qfirewalldiptables安裝firewalld和iptablesyuminstallfirewalldiptablesLinux安全配置--網絡配置防火墻配置關閉iptables的服務管理（因為同時開啟iptables與firewalld會沖突）查看iptables服務rpm-qiptables-services如果已安裝，可以使用以下命令停止systemctlstopiptablesyumremoveiptables-servicesLinux安全配置--網絡配置確保沒有安裝nftables查看安裝nftables的狀態(tài)rpm-qnftables如果安裝，可以刪除yumremovenftablesLinux安全配置--網絡配置確保防火墻服務自動啟動，并正在運行查看firewalld狀態(tài)systemctlis-enabledfirewalld查看firewalld狀態(tài)（第二種方式）firewall-cmd--stateLinux安全配置--網絡配置開啟firewalldsystemctlunmaskfirewalldsystemctlenablefirewalld開啟防火墻，可能會導致網絡中斷，所以一定要分析清楚，當前網絡連接與網絡配置，再來開啟防火墻Linux安全配置--網絡配置確定防火墻區(qū)域配置默認firewalld會創(chuàng)建一個名為public的區(qū)域區(qū)域代表防火墻中的信任等級，每一個接口都應該屬于區(qū)域查看當前區(qū)域，默認是publicfirewall-cmd--get-default-zoneLinux安全配置--網絡配置防火墻默認區(qū)域配置設置默認區(qū)域為publicfirewall-cmd--set-default-zone=public查看當前活動的區(qū)域和接口firewall-cmd--get-active-zones設置接口到區(qū)域firewall-cmd--zone=public--change-interface=ens33Linux安全配置--網絡配置查看當前允許的端口和服務firewall-cmd--list-all--zone=publicLinux安全配置--網絡配置關閉不需要的端口和服務關閉端口firewall-cmd--remove-port=<port-number>/<port-type>如：firewall-cmd--remove-port=25/tcp關閉服務firewall-cmd--remove-service=<service>如：firewall-cmd--remove-service=smtpLinux安全配置--網絡配置系統(tǒng)審核查看系統(tǒng)是否安裝審核服務rpm-qauditaudit-libs如果沒有安裝，而進行安裝yuminstallauditaudit-libsLinux安全配置--日志和審核系統(tǒng)審核查看審核服務是否開啟systemctlis-enabledauditd查看服務狀態(tài)systemctlstatusauditdLinux安全配置--日志和審計配置審計數(shù)據大小查看audit日志最大空間，默認單位為M如圖，顯示為8MLinux安全配置--日志和審計審計用戶和用戶組的操作查看當前用戶和用戶組相關的操作記錄grepidentity/etc/audit/rules.d/*.rules當前沒有任何相關配置配置記錄如下：vi/etc/audit/rules.d/identity.rules加入右圖內容同樣，也可以輸入其他命令路徑Linux安全配置--日志和審計配置rsyslog日志rsyslog是取代syslog的新版本。rsyslog有一些優(yōu)秀的特性，比如使用tcp連接，可以將日志存儲到數(shù)據庫，可以加密傳輸日志等。確保系統(tǒng)安裝了rsyslogrpm-qrsyslog查看rsyslog服務狀態(tài)systemctlis-enabledrsyslogLinux安全配置--日志和審計確保日志正常輸入查看當前日志目錄及日志權限，日志權限應該為600（僅root可讀寫）ls-l/var/logLinux安全配置--日志和審計查看日志歸檔處理Linux系統(tǒng)使用logrotate按定期或指定大小進行歸檔處理確保logrotate正常的處理syslog日志查看是否存在文件ls/etc/logrotate.d/syslogLinux安全配置--日志和審計查看計劃任務的訪問授權stat/etc/crontab如圖展示了，僅root可以訪問計劃任務，且相關訪問時間。同理還應檢查文件dailyhourlymonthlyweeklyLinux安全配置--訪問、認證和授權查看SSH配置文件權限因為SSH可以使用密鑰直接登錄，如果SSH配置文件權限限制不嚴格，則造成SSH提權檢查/etc/ssh/sshd_config的權限Linux安全配置--訪問、認證和授權配置允許通過SSH訪問的用戶使用以下命令查看當前允許SSH訪問的用sshd-T|grep-E'^\s*(allow|deny)(users|groups)\s+\S+'如果輸出為空，說明沒有配置編輯文件/etc/ssh/sshd_config，配置僅允許sangfor用戶訪問在文件中加入以下行allowuserssangfor保存，退出，并重啟SSH服務。驗證生效。Linux安全配置--訪問、認證和授權配置SSH驗證失敗次數(shù)查看SSH驗證失敗次數(shù)sshd-T|grepmaxauthtries默認為6次，建議改為4次或更低編輯SSH配置文件修改即可vi/etc/ssh/sshd_configLinux安全配置--訪問、認證和授權禁止空密碼登錄SSHsshd-T|greppermitemptypasswords查看SSH支持的加密方式，確保不要出現(xiàn)如desmd5這類已經不再安全的算法sshd-T|grepciphersLinux安全配置--訪問、認證和授權PAM模塊配置PAM（PluggableAuthenticationModules）是Linux中的認證管理模塊，所有認證相關可由PAM處理。密碼要求由/etc/security/pwquality.conf管理minlen=14，最小密碼長度mincalss=4，密碼復雜度，分別是是大寫字母、小寫字母、數(shù)字、符號Linux安全配置--訪問、認證和授權用戶賬戶和環(huán)境查看密碼過期時間，建議設為60，如圖為99999，顯然不合適grep^\s*PASS_MAX_DAYS/etc/login.defs查看用戶的過期時間grep-E'^[^:]+:[^!*]'/etc/shadow|cut-d:-f1,5Linux安全配置--訪問、認證和授權修改用戶過期時間方法一，編輯默認文件，中的PASS_MAX_DAYS值vi

/etc/login.defs方法二chage--maxdays365<user>Linux安全配置--訪問、認證和授權用戶賬戶和環(huán)境查看密碼最小天數(shù)（原理同windows密碼最小天數(shù)），建議設為1grep^\s*PASS_MIN_DAYS/etc/login.defs提示密碼過期時間，建議設置為7或更多查看方法如下Linux安全配置--訪問、認證和授權用戶賬戶和環(huán)境自動禁用賬號，建議設置為30天或更少當用戶指定時間沒有使用時，自動禁用用戶查看useradd-D|grepINACTIVE配置方法useradd-D-f30Linux安全配置--訪問、認證和授權檢查文件/etc/p