【轉】CentOS 6 伺服器安全配置指南

標籤：

原文串連：

CentOS 6 伺服器安全配置指南（通用）

 

Linux 是一個開放式系統，可以在網路上找到許多現成的程式和工具，這既方便了使用者，也方便了駭客，因為他們也能很容易地找到程式和工具來潛入 Linux 系統，或者盜取 Linux 系統上的重要訊息。不過，只要我們仔細地設定 Linux 的各種系統功能，並且加上必要的安全措施，就能讓駭客們無機可乘。一般來說，對 Linux 系統的安全設定包括取消不必要的服務、限制遠程存取、隱藏重要資料、修補安全性漏洞、採用安全工具以及經常性的安全檢查等。

本文是可參考的實際操作，不涉及如 IP 欺騙這樣的原理，而且安全問題也不算幾行命令就能預防的，這裡只是 Linux 系統上基本的安全強化方法，後續有新的內容再添加進來。

註：所有檔案在修改之前都要進行備份如

cp /etc/passwd{,.dist}

1. 禁用不使用的使用者

注意：不建議直接刪除，當你需要某個使用者時，自己重新添加會很麻煩。也可以 usermod -L 或 passwd -l user 鎖定。

cp /etc/passwd{,.bak} 修改之前先備份vi /etc/passwd 編輯使用者，在前面加上#注釋掉此行

注釋的使用者名稱：

# cat /etc/passwd|grep ^##adm:x:3:4:adm:/var/adm:/sbin/nologin#lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin#shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown#halt:x:7:0:halt:/sbin:/sbin/halt#uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin#operator:x:11:0:operator:/root:/sbin/nologin#games:x:12:100:games:/usr/games:/sbin/nologin#gopher:x:13:30:gopher:/var/gopher:/sbin/nologin#ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin#nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin#postfix:x:89:89::/var/spool/postfix:/sbin/nologin

注釋的組：

# cat /etc/group|grep ^##adm:x:4:adm,daemon#lp:x:7:daemon#uucp:x:14:#games:x:20:#gopher:x:30:#video:x:39:#dip:x:40:#ftp:x:50:#audio:x:63:#floppy:x:19:#postfix:x:89:

2. 關閉不使用的服務

# chkconfig --list |grep ‘3:on‘

郵件服務，使用公司郵件伺服器：

service postfix stopchkconfig postfix --level 2345 off

通用unix列印服務，對伺服器無用：

service cups stopchkconfig cups --level 2345 off

調節cpu速度用來省電，常用在Laptop上：

service cpuspeed stopchkconfig cpuspeed --level 2345 off

藍芽無線通訊，對伺服器無用：

service bluetooth stopchkconfig bluetooth --level 2345 off

系統安裝後初始設定，第一次啟動系統後就沒用了：

service firstboot stopchkconfig firstboot --level 2345 off

關閉nfs服務及用戶端：

service netfs stopchkconfig netfs --level 2345 offservice nfslock stopchkconfig nfslock --level 2345 off

如果要恢複某一個服務，可以執行下面操作：

service acpid start && chkconfig acpid on

也可以使用setup工具來設定

3. 禁用IPV6

IPv6是為瞭解決IPv4地址耗盡的問題，但我們的伺服器一般用不到它，反而禁用IPv6不僅僅會加快網路，還會有助於減少管理開銷和提高安全層級。以下幾步在CentOS上完全禁用ipv6。

禁止載入IPv6模組：
讓系統不載入ipv6相關模組，這需要修改modprobe相關設定檔案，為了管理方便，我們建立設定檔案/etc/modprobe.d/ipv6off.conf，內容如下

alias net-pf-10 offoptions ipv6 disable=1

禁用基於IPv6網路，使之不會被觸發啟動：

# vi /etc/sysconfig/networkNETWORKING_IPV6=no

禁用網卡IPv6設定，使之僅在IPv4模式下運行：

# vi /etc/sysconfig/network-scripts/ifcfg-eth0IPV6INIT=noIPV6_AUTOCONF=no

關閉ip6tables：

# chkconfig ip6tables off

重啟系統，驗證是否生效：

# lsmod | grep ipv6# ifconfig | grep -i inet6

如果沒有任何輸出就說明IPv6模組已被禁用，否則被啟用。

4. iptables規則

啟用linux防火牆來禁止非法程式訪問。使用iptable的規則來過濾入站、出站和轉寄的包。我們可以針對來源和目的地址進行特定udp/tcp連接埠的准許和拒絕訪問。

關於防火牆的設定規則請參考部落格文章 iptables設定執行個體。

5. SSH安全

如果有可能，第一件事就是修改ssh的預設連接埠22，改成如20002這樣的較大連接埠會大幅提高安全係數，降低ssh破解登入的可能性。

建立具備辨識度的應用使用者如crm以及系統管理使用者sysmgr

# useradd crm -d /apps/crm# passwd crm# useradd sysmgr# passwd sysmgr

5.1 只允許wheel使用者組的使用者su切換

# usermod -G wheel sysmgr# vi /etc/pam.d/su# Uncomment the following line to require a user to be in the "wheel" group.auth            required        pam_wheel.so use_uid

其他使用者切換root，即使輸對密碼也會提示 su: incorrect password

5.2 登入逾時

使用者線上5分鐘無操作則逾時中斷連線，在/etc/profile中添加：

export TMOUT=300readonly TMOUT

5.3 禁止root直接遠程登入

# vi /etc/ssh/sshd_configPermitRootLogin no

5.4 限制登入失敗次數並鎖定

在/etc/pam.d/login後添加

auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180

登入失敗5次鎖定180秒，根據需要設定是否包括root。

5.5 登入IP限制

（由於要與某一固定IP或IP段綁定，暫未設定）
更嚴格的限制是在sshd_config中定死允許ssh的使用者和來源ip：

## allowed ssh users sysmgrAllowUsers [email protected]*

或者使用tcpwrapper:

vi /etc/hosts.denysshd:allvi /etc/hosts.allowsshd:172.29.73.23sshd:172.29.73.

6. 配置只能使用密鑰檔案登入

使用密鑰檔案代替普通的簡單密碼認證也會極大的提高安全性：

[[email protected] ~]$ ssh-keygen -t rsa -b 2048Generating public/private rsa key pair.Enter file in which to save the key (/root/.ssh/id_rsa):   //預設路徑，斷行符號Enter passphrase (empty for no passphrase):     //輸入你的密鑰短語，登入時使用Enter same passphrase again: Your identification has been saved in /root/.ssh/id_rsa.Your public key has been saved in /root/.ssh/id_rsa.pub.The key fingerprint is:3e:fd:fc:e5:d3:22:86:8e:2c:4b:a7:3d:92:18:9f:64 [email protected]link.netThe key‘s randomart image is:+--[ RSA 2048]----+|                 |…|      o++o..oo..o|+-----------------+

將公開金鑰重新命名為authorized_key：

$ mv ~/.ssh/id_rsa.pub ~/.ssh/authorized_keys$ chmod 600 ~/.ssh/authorized_keys

下載私密金鑰檔案 id_rsa 到本地（為了更加容易識別，可重新命名為hostname_username_id_rsa），儲存到安全的地方。以後 username 使用者登入這台主機就必須使用這個私密金鑰，配合密碼短語來登入（不再使用 username 使用者自身的密碼）

另外還要修改/etc/ssh/sshd_config檔案
開啟注釋

RSAAuthentication yesPubkeyAuthentication yesAuthorizedKeysFile      .ssh/authorized_keys

我們要求 username 使用者（可以切換到其他使用者，特別是root）必須使用ssh密鑰檔案登入，而其他普通使用者可以直接密碼登入。因此還需在sshd_config檔案最後加入：

Match User itsectionPasswordAuthentication no

重啟sshd服務

# service sshd restart

另外提醒一句，這對公開金鑰和私密金鑰一定要單獨儲存在另外的機器上，伺服器上丟失公開金鑰或串連端丟失私密金鑰（或密鑰短語），可能導致再也無法登陸伺服器獲得root許可權！

7. 減少history命令記錄

執行過的曆史命令記錄越多，從一定程度上講會給維護帶來簡便，但同樣會伴隨安全問題

vi /etc/profile

找到 HISTSIZE=1000 改為 HISTSIZE=50。

或每次退出時清理history，history -c

8. 增強特殊檔案許可權

給下面的檔案加上不可更改屬性，從而防止非授權使用者獲得許可權

chattr +i /etc/passwdchattr +i /etc/shadowchattr +i /etc/groupchattr +i /etc/gshadowchattr +i /etc/services #給系統服務連接埠列表檔案加鎖，防止未經許可的刪除或添加服務chattr +i /etc/pam.d/suchattr +i /etc/ssh/sshd_config

顯示檔案的屬性

lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config

注意：執行以上 chattr 許可權修改之後，就無法添加刪除使用者了。

如果再要添加刪除使用者，需要先取消上面的設定，等使用者添加刪除完成之後，再執行上面的操作，例如取消唯讀許可權chattr -i /etc/passwd。（記得重新設定唯讀）

9. 防止一般網路攻擊

網路攻擊不是幾行設定就能避免的，以下都只是些簡單的將可能性降到最低，增大攻擊的難度但並不能完全阻止。

9.1 禁ping

阻止ping如果沒人能ping通您的系統，安全性自然增加了，可以有效防止ping洪水。為此，可以在/etc/rc.d/rc.local檔案中增加如下一行：

# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

或使用iptable禁ping：

iptables -A INPUT -p icmp --icmp-type 0 -s 0/0 -j DROP

不允許ping其他主機：

iptables -A OUTPUT -p icmp --icmp-type 8 -j DROP

9.2. 防止IP欺騙

編輯/etc/host.conf檔案並增加如下幾行來防止IP欺騙攻擊。

order hosts,bind    #名稱解釋順序multi on           #允許主機擁有多個IP地址nospoof on         #禁止IP地址欺騙

9.3 防止DoS攻擊

對系統所有的使用者佈建資源限制可以防止DoS類型攻擊，如最大進程數和記憶體使用量數量等。
可以在/etc/security/limits.conf中添加如下幾行：

*    soft    core    0*    soft    nproc   2048*    hard    nproc   16384*    soft    nofile 1024*    hard    nofile  65536

core 0 表示禁止建立core檔案；nproc 128 把最多的進程數限制到20；nofile 64 表示把一個使用者同時開啟的最大檔案數限制為64；* 表示登入到系統的所有使用者，不包括root

然後必須編輯/etc/pam.d/login檔案檢查下面一行是否存在。

session    required     pam_limits.so

limits.conf參數的值需要根據具體情況調整。

10. 修複已知安全性漏洞

在linux上偶爾會爆出毀滅級的漏洞，如udev、heartbleed、shellshock、ghost等，如果伺服器暴露在外網，一定及時修複。

11. 定期做日誌安全檢查

將日誌移動到專用的Log Service器裡，這可避免入侵者輕易的改動本地日誌。下面是常見linux的預設記錄檔及其用處：

• /var/log/message – 記錄系統日誌或當前活動紀錄。
• /var/log/auth.log – 身份認證日誌。
• /var/log/cron – Crond 日誌 (cron 任務).
• /var/log/maillog – 郵件伺服器日誌。
• /var/log/secure – 認證日誌。
• /var/log/wtmp 曆史登入、登出、啟動、停機日誌和，lastb命令可以查看登入失敗的使用者
• /var/run/utmp 當前登入的使用者資訊日誌，w、who命令的資訊便來源與此
• /var/log/yum.log Yum 日誌。

參考 深度解析CentOS通過日誌反查入侵。

11.1 安裝logwatch

Logwatch是使用 Perl 開發的一個日誌分析工具。能夠對Linux 的記錄檔進行分析，並自動發送mail給相關處理人員，可定製需求。

Logwatch的mail功能是藉助宿主系統內建的 mail server 發郵件的，所以系統需安裝mail server , 如sendmail,postfix,Qmail等

安裝和配置方法見博文 linux日誌監控logwatch。

12. web伺服器安全

像apache或tomcat這樣的服務端程式在配置時，如果有安全問題存在可以查閱文檔進行安全強化。日後有時間再補充到新的文章。

參考

• Top 20 OpenSSH Server Best Security Practices

【轉】CentOS 6 伺服器安全配置指南