ToB企服应用市场:ToB评测及商务社交产业平台

标题: Linux安全加固 [打印本页]

作者: 三尺非寒 时间: 2022-9-17 08:38
标题: Linux安全加固
安全加固的方案原则

版本升级
关闭端口服务
修改配置项
修改代码
主机和网络ACL（iptables）策略
部署设备防护

Linux安全加固的主要方向

账号管理与认证授
- 为不同的管理员分配不同的账号
- 检查高权限文件
- 去除不需要的账号、修改默认账号shell环境
- 限制超级管理员远程登录
- 删除root以外UID为0的用户
- 不应该存在位于高权限组的用户
- 缩短默认密码生存周期
- 设置密码强度策略（高强度密码）
- 设置强制密码历史（设置密码时不能跟之前的密码历史相冲突）
- 设置账户锁定策略（防账户猜测，暴力破解）
- 设置关键目录的权限
- 修改umask（反码）值（防止属于该组的其他用户级别组的用户修改该用户的文件）
  - /etc/profile
  - /etc/csh.login
  - /etc/csh.cshrc
  - /etc/bashrc
  - 在以上文件的末尾添加 umask 027
- 限制硬件资源（限制用户对系统资源的使用，减缓DDOS攻击）
- 对用户使用ls、rm设置别名等等（让ls随时看清文件属性，让rm需要确认后删除目标实施方法）
- 禁止任何人su切换为root账户（减少提权风险），让加入了wheel组的用户才可以切换root账户
- 去掉所有SUID和SGID（防止被利用提权）
- 为开放目录设置粘滞位
- 启用日志记录功能，使用日志服务器
- 重要日志权限不应该高于640
- 设置关键文件底层属性
  - chattr +a /var/log/messages
  - chattr +i /var/log/messages.*
  - chattr +i /etc/shadow
  - chattr +i /etc/passwd
  - chattr +i /etc/group
通讯协议
- 关闭非加密远程管理telnet
- 使用加密的远程连接ssh
- 设置访问控制列表（设置访问控制白名单，减少入侵的风险）
- 固化常用DNS解析（降低DNS被劫持的可能）
- 打开syncookie（当syn溢出时，使用cookie的方式写入文件来调用，来缓解syn flood）
- 不响应ICMP请求（不对ICMP请求做出响应，避免信息泄露，让用户无法ping）
- 禁止处理无源路由（防止中间人ARP抓包）
- 防御syn flood攻击优化（修改半连接上限，缓解syn flood攻击）
- FTP使用黑白名单限制（防止非法账户访问ftp）
- FTP设置上传文件后的默认权限（防止脚本执行）
- FTP设置banner信息（去掉banner信息）
- 配置可信任的NTP（时间）服务器，确保服务开启（保持时间同步，防止某些服务错误）
- 检查账户目录中是否存在高危文件:.netrc、.rhosts（防止被使用远程登录漏洞）
- 补丁装载（不推荐yum update，防止不兼容的软件版本使服务宕机，先进行服务器克隆，然后再进行补丁测试，没有问题再放到生产环境）
- 关闭NFS服务（防止被外挂文件系统，导致入侵）
服务进程与启动
- 　　关闭无用服务（systemctl list-unit-files | grep enabled 命令来查看所有开启的服务）
　　banner与自动注销
- 隐藏系统提示信息（避免信息提示泄露系统状态）
- 设置登录超时注销（防止疏忽导致命令行被他人利用）
- 减少history历史数量
- 跳过grup菜单（防止再grup菜单对引导过程进行修改）
- 关闭ctrl+alt+del重启功能（防止误操作重启服务器）

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！

欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)