linux云主机系统安全的配置

    文章来源:万象互联 更新时间:2017-7-28 17:37:03
分享:

内核升级。
GNU libc共享库升级。(警告:如果没有经验,不可轻易尝试。可暂缓。) 
关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等 
关闭非必需的网络服务。talk、ntalk、pop-2等 
常见网络服务安全配置与升级 
确保网络服务所使用版本为当前最新和最安全的版本。 
取消匿名FTP访问 
去除非必需的suid程序 
使用tcpwrapper 
使用iptables防火墙 
日志系统syslogd

 

1.设置口令最小长度和最短使用时间
口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。修改文件/etc/login.defs中参数PASS_MIN_LEN。同时应限制口令使用时间,保证定期更换口令,修改参PASS_MIN_DAYS。

2.禁止访问重要文件
对于系统中的某些关键性文件如inetd.conf、services和lilo.conf等可修改其属性,防止意外修改和被普通用户查看。首先改变文件属性为600:
# chmod 600 /etc/inetd.conf
保证文件的属主为root,然后还可以将其设置为不能改变:
# chattr i /etc/inetd.conf
这样,对该文件的任何改变都将被禁止。只有root重新设置复位标志后才能进行修改:
# chattr -i /etc/inetd.conf

3.允许和禁止远程访问
linux中可通过/etc/hosts.allow 和/etc/hosts.deny 这2个文件允许和禁止远程主机对本地服务的访问。通常的做法是:
(1)编辑hosts.deny文件,加入下列行:
# Deny access to everyone. ALL: ALL@ALL
则所有服务对所有外部主机禁止,除非由hosts.allow文件指明允许。
(2)编辑hosts.allow 文件,可加入下列行:
#Just an example: ??ftp: 192.168.12.10 abc.com
则将允许IP地址为202.84.17.11和主机名为xinhuanet.com的机器作为Client访问FTP服务。
(3)设置完成后,可用tcpdchk检查设置是否正确。

4.设定用户账号的安全等级
除密码之外,用户账号也有安全等级,这是因为在Linux上每个账号可以被赋予不同的权限,因此在建立一个新用户ID时,系统管理员应该根据需要赋予该账号不同的权限,并且归并到不同的用户组中。每个账号ID应该有专人负责。在企业中,如果负责某个ID的职员离职,管理员应立即从系统中删除该账号。很多入侵事件都是借用了那些很久不用的账号。负责某个ID的职员离职,管理员应立即从系统中删除该账号,,如果一定要从远程登录为root权限,最好是先以普通账号登录,然后利用su命令升级为超级用户

5.取消不必要的服务
Linux中的大部分TCP或UDP服务都是在/etc/inetd.conf文件中设定。所以取消不必要服务的第一步就是检查/etc/inetd.conf文件,在不要的服务前加上“#”号。一般来说,除了http、smtp、telnet和ftp之外,其他服务都应该取消,诸如简单文件传输协议tftp、网络邮件存储及接收所用的imap/ipop传输协议、寻找和搜索资料用的gopher以及用于时间同步的daytime和time等。还有一些报告系统状态的服务,如finger、efinger、systat和netstat等,虽然对系统查错和寻找用户非常有用,但也给黑客提供了方便之门。例如,黑客可以利用finger服务查找用户的电话、使用目录以及其他重要信息。可以将这些服务全部取消或部分取消,以增强系统的安全性。Inetd除了利用/etc/inetd.conf设置系统服务项之外,还利用/etc/services文件查找各项服务所使用的端口。在Linux中有两种不同的服务型态:一种是仅在有需要时才执行的服务,如finger服务;另一种是一直在执行的永不停顿的服务。这类服务在系统启动时就开始执行,因此不能靠修改inetd来停止其服务,只能从修改/etc/rc.d/rc[n].d/文件或用Runleveleditor去修改它。提供文件服务的NFS服务器和提供

NNTP新闻服务的news都属于这类服务,如果没有必要,最好取消这些服务。

6.注意对系统及时备份
??为了防止系统在使用的过程中发生以外情况而难以正常运行,我们应该对Linux完好的系统进行备份

7、为关键分区建立只读属性
??Linux的文件系统可以分成几个主要的分区,每个分区分别进行不同的配置和安装,一般情况下至少要建立/、/usr/local、/var和 /home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生了改变,那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽量将它们设置为只读,并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等,其自身的性质就决定了不能将它们设置为只读,但应该不允许它具有执行权限。

8.杀掉攻击者的所有进程
??假设我们从系统的日志文件中发现了一个用户从我们未知的主机登录,而且我们确定该用户在这台主机上没有相应的帐号,这表明此时我们正在受到攻击。为了保证系统的安全被进一步破坏,我们应该马上锁住指定的帐号,如果攻击者已经登录到指定的系统,我们应该马上断开主机与网络的物理连接。如有可能,我们还要进一步查看此用户的历史记录,再仔细查看一下其他用户是否也已经被假冒,攻击者是否拥有有限权限;最后应该杀掉此用户的所有进程,并把此主机的 IP地址掩码加入到文件hosts.deny中。

9.对系统进行跟踪记录
??启动日志文件,来记录系统的运行情况,当黑客在攻击系统时,它的蛛丝马迹都会被记录在日志文件中的,因此有许多黑客在开始攻击系统时,往往首先通过修改系统的日志文件,来隐藏自己的行踪,为此我们必须限制对/var/log文件的访问,禁止一般权限的用户去查看日志文件。当然,系统中内置的日志管理程序功能可能不是太强,我们应该采用专门的日志程序,来观察那些可疑的多次连接尝试。另外,我们还要小心保护好具有根权限的密码和用户,因为黑客一旦知道了这些具有根权限的帐号后,他们就可以修改日志文件来隐藏其踪迹了。


版权说明:本站原创文章,由万象互联SEO优化发表.
本文地址:https://www.hulian.top/help/987.html
在线咨询
  • 在线时间
  • 8:00-21:00