Linux安全加固

1. 賬戶口令密碼

1.1 設置密碼策略

修改文件 /etc/login.defs

vim /etc/login.defs#口令生存周期,即密碼最長有效期PASS_MAX_DAYS 90 #口令更改最小間隔天數PASS_MIN_DAYS 7 #口令最小長度,已經被 PAM 模塊取代,所以這個選項并不生效PASS_MIN_LEN 8 #口令失效前多少天開始通知用戶修改密碼PASS_WARN_AGE 7 

注意:此處的更改優先級低于 chage 命令的設置

注意:更改完后,對所有新創建的用戶生效。對已經存在的用戶無效

1.2 設置密碼強度

修改文件 /etc/pam.d/password-auth

vim /etc/pam.d/password-authpassword requisite pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type= difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-1 ocredit=-1

• retry:嘗試次數
• difok:定義新密碼中必須要有幾個字符和舊密碼不同
• minlen:最小密碼長度
• ucredit:大寫字母個數。注意:-1表示最少1位
• lcredit:小寫字母個數
• dcredit:數字個數
• ocredit:特殊字符個數

但這個密碼強度的設定只對"普通用戶"有限制作用,root用戶無論修改自己的密碼還是修改普通用戶的時候,不符合強度設置依然可以設置成功。

1.3 限制密碼重用

vim  /etc/pam.d/system-auth

檢查password sufficient pam_unix.so 這項是否有remember參數(已經使用過的密碼會保存在/etc/security/opasswd 下面)

修改:

password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

末尾加上 remember=5,表示禁止使用最近用過的5個密碼

1.4 登錄失敗鎖定

修改文件 /etc/pam.d/sshd

vim /etc/pam.d/sshd #普通賬戶3次密碼錯誤,300s后重試。root賬戶5次密碼錯誤后,300s后重試auth required pam_tally2.so deny=3 unlock_time=300 even_deny_root=5 root_unlock_time=300

????關于鎖定

# 查看被鎖定的用戶 pam_tally2 -u# 將被鎖定的用戶解鎖pam_tally2 --reset -u username或pam_tally2 -u username -r# helppam_tally2: [-f rooted-filename] [--file rooted-filename]   [-u username] [--user username]   [-r] [--reset[=n]] [--quiet]

1.5 登錄超時自動注銷

vim /etc/profile后面添加:export TMOUT=180#180s后無操作自動注銷

2. SSH配置

2.1 打開配置文件

vim /etc/ssh/sshd_config

2.2 限制root遠程登錄

配置PermitRootLogin

• 不設置:默認是yes,root可以登錄
• 設置no:root禁止遠程登陸
• 設置without-password:root可以登錄,但是不允許通過密碼ssh登陸
• 設置forced-commands-only:可以登錄,但是登陸后不能進入交互,而是執行指定的命令后自動退出

2.3 禁止SSH空密碼用戶登錄

配置PermitEmptyPasswords,設置為no:禁止SSH空密碼用戶登錄

PermitEmptyPasswords no

2.4 限制嘗試次數

配置MaxAuthTries

vim /etc/ssh/sshd_config# 取消注釋,設置最大密碼嘗試失敗次數3-6,建議為4MaxAuthTries 4

2.5 空閑超時退出

配置ClientAliveInterval、ClientAliveCountMax

vim /etc/ssh/sshd_config# 取消注釋,將ClientAliveInterval設置為300到900,即5-15分鐘,將ClientAliveCountMax設置為0-3ClientAliveInterval 600ClientAliveCountMax 2

2.6 切換登錄端口

vim /etc/ssh/sshd_config#修改PortPort <新端口>

SELinux放行:

semanage port -a -t ssh_port_t -p tcp <新端口>

防火墻放行:

firewalld -cmd --zone=pulic --add-port=ssh <新端口>/tcp --permanent

2.7 密鑰對

具體過程:

1. 生成密鑰

   [root@host ~]$ ssh-keygen <== 建立密鑰對Generating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa): <== 按 EnterCreated directory '/root/.ssh'.Enter passphrase (empty for no passphrase): <== 輸入密鑰鎖碼,或直接按 Enter 留空Enter same passphrase again: <== 再輸入一遍密鑰鎖碼Your identification has been saved in /root/.ssh/id_rsa. <== 私鑰Your public key has been saved in /root/.ssh/id_rsa.pub. <== 公鑰The key fingerprint is: xxxxxxx

2. 服務器安裝公鑰

   # 安裝公鑰cd .sshcat id_rsa.pub >> authorized_keys# 文件權限chmod 600 authorized_keyschmod 700 ~/.ssh# 配置文件/etc/ssh/sshd_config# 允許密鑰登錄RSAAuthentication yesPubkeyAuthentication yes# 允許root通過SSH登錄PermitRootLogin yes# 禁用密碼登錄PasswordAuthentication no# 重啟服務service sshd restart

3. 客戶端SSH使用私鑰登錄

2.8 日志記錄

配置LogLevel,設置為INFO:記錄登錄和注銷活動

vim /etc/ssh/sshd_config#取消注釋LogLevel INFO

2.9 使用V2安全協議

設置參數: Protocol 2,SSHD強制使用V2安全協議

vim /etc/ssh/sshd_configProtocol 2

3. 權限管理

3.1 常用命令

chmod

變更文件或目錄的權限

chmod u+x,g+w filename　　//設置自己可以執行,組員可以寫入的權限chmod u=rwx,g=rw,o=r filenamechmod 764 filenamechmod a+x filename

• u: User,即文件或目錄的擁有者
• g: Group,即文件或目錄的所屬群組
• o: Other,除了文件或目錄擁有者或所屬群組之外,其他用戶皆屬于這個范圍
• a: All,即全部的用戶,包含擁有者,所屬群組以及其他用戶
• r: 讀取權限,數字代號為 4
• w: 寫入權限,數字代號為 2
• x: 執行或切換權限,數字代號為 1
• -:不具任何權限,數字代號為 0
• s: 特殊功能說明:變更文件或目錄的權限

umask

設置限制新建文件權限的掩碼,在原有權限的基礎上刪除指定的權限

umask 022#若初始權限是777,之后變為755

文件默認權限 644,目錄默認權限 755

umask值可在/etc/profile文件中修改

chown

改變某個文件或目錄的所有者和所屬的組

chown -R <username>:<groupname> <filename>

3.2 重要目錄文件

/etc/passwd/etc/shadow/etc/gshadow/etc/group/etc/hosts.deny/etc/hosts.allow/etc/services/etc/ssh/sshd_config

3.3 配置文件權限

chown root:root /etc/passwd /etc/shadow /etc/group /etc/gshadowchmod 0644 /etc/groupchmod 0644 /etc/passwdchmod 0400 /etc/shadowchmod 0400 /etc/gshadow

4. 日志管理

4.1 查看系統日志

tail /var/log/messages

4.2 rsyslog服務

rsyslog具體參考:https://www.cnblogs.com/shu-sheng/p/13275474.html

配置文件

vim /etc/rsyslog.conf

/etc/rsyslog.d 目錄是單獨配置的rsyslog配置文件

文件部分詳解

rules格式: 認證相關服務.所有日志等級(服務名稱[連接符號]日志等級)日志記錄的位置

#$ModLoad imudp#$UDPServerRun 514  #允許514端口接收使用UDP協議轉發過來的日志#$ModLoad imtcp#$InputTCPServerRun 514#允許514端口接收使用TCP協議轉發過來的日志#### RULES #####kern.*                                                 /dev/console# 關于內核的所有日志都放到/dev/console(控制臺)*.info;mail.none;authpriv.none;cron.none                /var/log/messages# 記錄所有日志類型的info級別以及大于info級別的信息到/var/log/messages,但是mail郵件信息,authpriv驗證方面的信息和cron時間任務相關的信息除外authpriv.*                                              /var/log/secure# authpriv驗證相關的所有信息存放在/var/log/securemail.*                                                  -/var/log/maillog# 郵件的所有信息存放在/var/log/maillog; 這里有一個-符號, 表示是使用異步的方式記錄, 因為日志一般會比較大cron.*                                                  /var/log/cron# 計劃任務有關的信息存放在/var/log/cron*.emerg                                                 :omusrmsg:*# 記錄所有的大于等于emerg級別信息, 以wall方式發送給每個登錄到系統的人uucp,news.crit                                          /var/log/spooler# 記錄uucp,news.crit等存放在/var/log/spooler# uucp  –unix to unix copy, unix主機之間相關的通訊,news   –新聞組local7.*                                                /var/log/boot.log# 啟動的相關信息#*.* @@remote-host:514  # @@表示通過tcp協議發送,使用TCP協議轉發到remote-host的514(默認)端口,@表示通過udp進行轉發

查看rsyslog服務狀態

systemctl stauts rsyslog.service

設置rsyslog開機自啟動

systemctl enable rsyslog

啟動rsyslog服務

systemctl start rsyslog

5. 其他

ASLR-地址空間隨機化

開啟地址空間布局隨機化

sysctl -w kernel.randomize_va_space=2

配置文件

cat /proc/sys/kernel/randomize_va_space

配置kernel.randomize_va_space參數

• 0 :關閉進程地址空間隨機化。
• 1:半隨機。共享庫、棧、mmap() 以及 VDSO 將被隨機化。
• 2:全隨機。在1的基礎上增加堆(heap)的隨機化。