linux安全设置

一、简介

Linux种类较多，常见的有Redhat、Ubuntu、Centos、SUSE等
根据不同版本，其安全设置都不太相同，主要体如今以下三点
①设置文件所存放的路径
②操纵系统的命令
③操纵系统自身的安全特性或工具
我们以Centos7为例，举行安全设置解说，别的版本Linux可能存在安全设置方式不同，但整体设置
的维度和原则是一致的。
二、Centos 安全设置维度

①安装设置(默认设置即可)
②服务设置(默认设置即可)
③网络设置
④日志和审计
⑤访问、授权和认证系统运维
三、Centos 安全设置原则

①最小安全(最小安装、最小权限)
②不影响业务可用(安全与业务的矛盾)
③职责分离
④审计记录
由于Centos安全设置较多，本文仅列举部门范例代表，更多具体设置，可以参照相干国内或国际
标准，如等保、CIS等。
四、网络设置

①禁用不利用的网络协议
②禁用IPv6,，执行以下命令

检察设置是否生效
sysctl net.ipv6.conf.all.disable_ipv6
③禁用不利用的无线装备，由于Linux作为服务器工作时，无需利用无线
④检察无线装备  iw  list

⑤检察当前毗连ip link show up

⑥关闭网络毗连ip link set <interface>down
这里以本地环回口lo为例，举行关闭

⑦当Linux作为独立主机利用时，设置网络关闭
关闭IP转发，默认即关闭
检察IP转发设置     sysctl net.ipv4.ip_forward
关闭IP转发  sysctl -w net.ipv4.ip_forware=0
⑧关闭数据包重定向
检察重定向设置sysctl net.ipv4.conf.all.send_redirects
关闭重定向设置sysctl -w net.ipv4.confall.send_redirects=0

⑨开启TCP SYN Cookies功能
TCP SYN功能某种水平上可以防止TCP的SYN DDOS攻击
检察TCP SYN Cookies功能     sysctl net.ipv4.tcp_syncookies
开启TCP SYN Cookies功能     sysctl -w net.ipv4.tcp_syncookies=1

五、防火墙设置

在Centos 较新的版本中，引入了nftables内核代替传统netfilter内核
通常nftables和netfilter只用安装一种即可
基于netfilter，又有两种前端操纵工具，即firewalld和iptables
本节我们以netfilter+firewalld举行操纵
①确定安装了firewalld和iptables管理工具     rpm -q firewalld iptables
假如表现找不到命令可以实验以下两种方式：实验利用完整路径来执行 rpm 命令
/bin/rpm -q firewalld iptables
/usr/bin/rpm -q firewalld iptables

①安装firewalld和iptables        yum install firewalld iptables
②检察iptables服务

关闭iptables的服务管理(由于同时开启iptables与firewald会冲突)
假如已安装，可以利用以下命令制止
systemctl stop iptables
yum remove iptables-services
③确保没有安装nftables
检察安装nftables的状态        rpm -q nftables

假如安装，可以删除      yum remove nftables
④确保防火墙服务主动启动，并正在运行
检察firewalld状态        systemctl is-enabled firewalld

检察firewalld状态(第二种方式)   firewall-cmd --state

⑤开启firewalld     systemctl unmask firewalld         systemctl enable firewalld

开启防火墙，可能会导致网络制止，以是一定要分析清晰，当前网络毗连与网络设置，再来开启防
火墙。
⑥确定防火墙区域设置
默认firewalld会创建一个名为public的区域
区域代表防火墙中的信托等级，每一个接口都应该属于区域
检察当前区域，默认是public
firewall-cmd --get-default-zone

⑦防火墙默认区域设置
设置默认区域为public
firewall-cmd --set-default-zone=public
检察当前运动的区域和接口
firewall-cmd --get-active-zones
设置接口到区域     firewall-cmd --zone=public --change-interface=ens33
⑧检察当前答应的端口和服务        firewall-cmd --ist-all--zone=public

六、关闭不需要的端口和服务

关闭端口
firewall-cmd --remove-port=<port-number>/<port-type>
如:firewall-cmd--remove-port=25/tcp关闭服务
firewal-cmd --remove-service=<service>
如:firewall-cmd--remove-service=smtp
七、系统审核

检察系统是否安装审核服务
rpm -q audit audit-libs        

假如没有安装，而举行安装      yum install audit audit-libs
检察审核服务是否开启    systemctl is-enabled auditd

检察服务状态       systemctl status auditd
八、日志和审计

设置审计数据巨细
检察audit日志最大空间，默认单元为M
如图，表现为8M
cat /etc/audit/auditd.conf |grep max

审计用户和用户组的操纵
检察当前用户和用户组相干的操纵记录     grep identity /etc/audit/rules.d/*.rules

当前没有任何相干设置
设置记录如下:
vi /etc/audit/rules.d/identity.rules
加入下图内容，同样，也可以输入其他命令路径

设置rsyslog日志
rsyslog是代替syslog的新版本。rsyslog有一些良好的特性，比如利用tcp毗连，可以将日志存储到
数据库，可以加密传输目志等。
确保系统安装了rsyslog
rpm -q rsyslog

检察rsyslog服务状态     systemctl is-enabled rsyslog

确保日志正常输入
检察当前日志目录及日志权限，日志权限应该为600(仅root可读写)
ls-l /var/log

检察日志归档处理
Linux系统利用logrotate按定期或指定巨细举行归档处理
确保logrotate正常的处理syslog日志
检察是否存在文件   Is /etc/logrotate.d/syslog

九、访问、认证，授权

检察操持使命的访问授权      stat /etc/crontab

如图展示了，仅root可以访问操持使命，且相干访问时间。
同理还应检查文件daily hourly monthly weekly

检察SSH设置文件权限
由于SSH可以利用密钥直接登录，假如SSH设置文件权限限定不严格，则造成SSH提权
检查/etc/ssh/sshd_config的权限

设置答应通过SSH访问的用户
利用以下命令检察当前答应SSH访问的用
sshd -T | grep -E '^\s*(allow|deny)(users|groups)\s+\S+'
假如输出为空，说明没有设置
编辑文件/etc/ssh/sshd config，设置仅答应sangfor用户访问在文件中加入以下行
allowusers sangfor
生存，退出，并重启SSH服务。验证生效。
设置SSH验证失败次数
检察SSH验证失败次数     sshd -T|grep maxauthtries

默认为6次，发起改为4次或更低
编辑SSH设置文件修改即可
vi /etc/ssh/sshd_config

克制空密码登录SSH    sshd -T|grep permitemptypasswords

检察SSH支持的加密方式，确保不要出现如desmd5这类已经不再安全的算法
sshd -T|grep ciphers

PAM模块设置
PAM(Pluggable Authentication Modules)是Linux中的认证管理模块，所有认证相干可由PAM处
理。
密码要求
由/etc/security/pwquality.conf管理
minlen=14，最小密码长度
mincalss =4密码复杂度，分别是是大写字母、小写字母、数字、符号
用户账户和情况
检察密码逾期时间，发起设为60，如图为99999，显然不合适
grep ^\S*PASS MAX DAYS /etc/login.defs

检察用户的逾期时间
grep -E '^([^:]+):[^!*]' /etc/shadow | cut -d: -f1,5

修改用户逾期时间
方法一：编辑默认文件，中的PASSMAXDAYS值    vi /etc/login.defs
方法二：chage --maxdays 365 <user>

用户账户和情况
检察密码最小天数(原理同windows密码最小天数)，发起设为1
grep ^\S*PASS _MIN _DAYS /etc/login.defs

提示密码逾期时间，发起设置为7或更多检察方法如下：

用户账户和情况
主动禁用账号，发起设置为30天或更少
当用户指定时间没有利用时，主动禁用用户
检察    useradd -D|grep INACTIVE

设置方法    useradd -D -f 30
检查文件/etc/passwd的权限，应为644,同理应检查/etc/group
检查文件/etc/shadow的权限，应为0,同理应检查/etc/gshadow
stat /etc/passwd

stat /etc/shadow

学习Linux的安全基线设置，理解Linux安全设置inux安全设置远比windows复杂，由于Linux相对
的开放性，设置方式多种多样，假如一个地方设置不好，轻易让整个安全基线工作失去意义。
Linux安全基线设置需要深入理解Linux原理，才能得心应手,融会贯通!
一、简介
二、Centos 安全设置维度
三、Centos 安全设置原则
四、网络设置
五、防火墙设置
六、关闭不需要的端口和服务
七、系统审核
八、日志和审计
九、访问、认证，授权

---

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。