6个月前 (01-18)  固若金汤
文章评分 1 次,平均分 5.0

0x00 前言


在linux服务器随处可见的网络环境中,网络运维人员保障Linux安全就成了必要条件。当然现在有很多的硬件防火墙以及WAF,但是那不是小资企业可以hold住的,本文从软件以及服务配置方面简单总结Linux安全防护。

0x01 使用软件级别安全防护


1、使用SELinux

SELinux是用来对Linux进行安全加固的,它可以让你指定谁可以增加文件,谁只可以删除文件,或者谁还可以移动文件,从文件的层次上来说,它相当于一个ACL;

配置文件:/etc/selinux/config (centos7系统)

状态:getenforce 与 setenforce命令可以修改

disabled:关闭策略

permissive:启用SELinux但是即使违反了策略它也会让你继续操作;仅仅一个记录功能

enforcing:启用SELinux,违反策略时阻止你的操作

查看文件标签:ls -Z

小议Linux安全防护(一)

在文件所属组的后面就是我们文件的标签,它表示SELinux对这个文件的策略

修改策略:chcon与semanage

小议Linux安全防护(一)

恢复文件标签:restorecon

常见场景分析:

当我们需要配置一个Web目录时,如果Web目录不是默认的目录,访问可能出现403

这个时候,我们需要将我们的Web目录的标签修改为httpd_sys_content_t

小议Linux安全防护(一)

2、使用iptables

Iptables是一个应用框架,它允许用户为自己系统建立一个强大的防火墙。它是用来设置、维护和检查Linux内核中IP包过滤规则的。

配置文件:/etc/sysconfig/iptables-config (centos7系统)

这里贴出一个在博客园的关于iptables的使用:
http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html

3、使用firewall

在centos7中,防火墙具备很强的软件防护功能,在默认程度上:

小议Linux安全防护(一)

默认开启了dhcpv6客户端以及ssh防火墙功能;

防火墙具备很多功能,同时他具备图形界面与命令行界面两种模式,对于基本的防火墙配置,个人推荐使用命令行模式,当我们需要配置一些负责的规则策略时,就可以使用我们的图形界面:

小议Linux安全防护(一)

4、使用入侵检测系统

IDS:入侵检测系统,在linux中有针对它的开源的入侵检测系统:Snort;

0x02 安全配置服务


1、SSH访问控制

尽可能的取消telnet登录,采用ssh进行登录;

ssh配置文件:/etc/ssh/sshd_config

修改默认端口:Port 10512

不允许使用空密码:PermitEmptyPasswords no

不允许root用户登录:PermitRootLogin no

不允许输入密码登录:PasswordAuthentication no (可以很好的防止爆破,但是如果密钥文件泄漏则会出现安全问题,当然可以通过其他方式来进行防御)

重新生成密钥:KeyRegenerationInterval 1h (如果我们使用密钥进行登陆,可以设置多少时间后密钥重新生成)

密钥加密方式:RSAAuthentication yes (是否使用RSA进行加密)

2、禁用不必要的服务及用户

在我们的Linux系统中有很多用户不需要的服务和应用,然而这些服务还是会运行,这样会导致攻击者利用这些服务的漏洞来进行攻击,最好的办法就是停止这些服务。

比如我们的Linux服务器只是一台Web服务器,那么就不需要ftp、smtp等服务我们就可以关闭;当然我们也可以让服务不允许通过防火墙,这样通过防火墙来保护我们的服务器也可以。

任务 旧指令 新指令
使某服务自动启动 chkconfig --level 3 httpd on systemctl enable httpd.service
使某服务不自动启动 chkconfig --level 3 httpd off systemctl disable httpd.service
检查服务状态 service httpd status systemctl status httpd.service(服务详细信息) systemctl is-active httpd.service(仅显示是否 Active)
显示所有已启动的服务 chkconfig --list systemctl list-units --type=service
启动某服务 service httpd start systemctl start httpd.service
停止某服务 service httpd stop systemctl stop httpd.service
重启某服务 service httpd restart systemctl restart httpd.service

在linux系统中,系统运行所必须的服务

服务名称 说明
acpid 用于电源管理,对于笔记本和台式电脑很重要
apmd 高级电源能源管理服务,可用于监控电脑
kudzu 检测硬件是否变化的服务
crond 为Linux下自动安排的进程提供运行服务
iptables/firewall Linux内置的防火墙
xinetd 支持多种网络服务的核心守护进程
syslog 记录系统的日志服务
network 网络服务,要用网必须启动这个服务

同时,一台新的Linux操作系统中有很多我们用不到的角色用户,我们同样可以删除这些用户,或者将这些用户设置为不能登录系统;

小议Linux安全防护(一)

可被删除的用户:adm、lp、sync、shutdown、halt、operator、games

userdel adm

groupdel adm

小议Linux安全防护(一)

可被删除的用户组:adm、lp、games、dip等;

当然具体的需要还是要根据用户的选择,同时我们也可以修改用户的bash文件禁止用户登录系统也是防护方式的一种。

#!bash
usermod -s /sbin/nologin username

3、使用全盘加密

加密的数据更难被窃取,在安装Linux系统的时候我们可以对整个系统进行加密,采用这种方式,即使有人进入了我们的系统,也不能得到我们的数据;

4、Web应用配置

提供Web服务时,需要更新我们组件的补丁,防止利用已知漏洞来进行攻击;

严格限制权限,防止得到Web Shell以后直接得到系统权限;

限制Web用户只能访问Web目录,不能访问其他目录;

严格控制提供上传点的文件类型

等等

5、系统安全

使用su 与 sudo命令时:

su:切换用户

sudo:提升权限,所以sudo是su的特定一种形态

这里是指定可以使用su命令的用户

小议Linux安全防护(一)

注意红色圈起来的一行,就是启用pam_shell认证,这个时候没有加入wheel的用户就不能使用su命令了!

小议Linux安全防护(一)

对于sudo的一些配置vim /etc/sudoers在centos7中,如果你不想修改原来的配置文件,你可以将这一行includedir /etc/sudoers.d的注释去掉,然后在/etc/sudoers.d/目录下写我们的配置文件

小议Linux安全防护(一)

删除提示信息

在linux的4个文件中存在提示系统的一些信息:

/etc/issue,/etc/issue.net:这两个文件记录了操作系统的名称及版本号,用户通过本地终端就会显示/etc/issue文件中内容,通过ssh或telnet登录就会显示/etc/issue.net的文件内容;

/etc/redhat-release:这个文件也记录了操作系统名称和版本号;

/etc/motd:这个文件是系统的公告信息,每次用户登录后就会显示在终端上;

未完待续~~~


//下面这个css和插件后台设置的主题有关系,如果需要换样式,则需要修改以下CSS名称

 

除特别注明外,本站所有文章均为铁匠运维网原创,转载请注明出处来自http://www.tiejiang.org/23051.html

中国互联是江苏邦宁科技有限公司旗下的著名IT服务供应商品牌之一,是国内IDC行业十大之一、企业互联网服务首选品牌。江苏邦宁科技成立于2003年,是国内互联网名称与数字地址服务、云数据中心机房服务的引领者,是行业云计算解决方案、网站智能建设、企业智能办公软件、移动互联网开发的创新者。自成立以来,公司秉承“一切为了客户满意”的核心理念,坚持“国际化、专业化、高端化”的发展思路,坚持“以客户需求为导向、以技术创新为基础、以服务创新为支撑”,先后为国内各级政府、社会服务机构、国内外众多500强企业及中小企业、个人客户提供了专业、高质、优越的互联网应用服务。

发表评论

暂无评论

切换注册

登录

忘记密码 ?

您也可以使用第三方帐号快捷登录

切换登录

注册

扫一扫二维码分享