10、操作系统安全加固-Linux加固

1.账号管理与认证授权

1.1.为不同的管理员分配不同的账号

目的：根据不同用途设置不同账户账号，提高安全层级

实施方法：

1.设置高风险文件为最小权限，如：passwd、shadow、group、securetty、services、grub.conf等

2.使用 sudo 命令设置命令执行权限和禁止敏感操作权限

3.检查其他权限过高的文件

创建多用途账号：
useradd username
passwd username

修改目录权限：（实施风险高，有可能权限不够造成服务启不来）
chmod 750 directory
chown username:groupname directory

普通账户使用特定授权命令：
sudo ifconfig

修改 sudo 的提权应用
visduo
username host=shell
eg：admin 可以在本地使用 useradd 命令
admin localhost=/usr/sbin/useradd（多个命令用逗号隔开）
拒绝权限
admin localhost=/usr/sbin/useradd，/usr/bin/vi,!/usr/bin/vi /etc/hosts（可以使用 vi，但禁止编辑hosts文件）

检查高权限文件（应急响应的时候用得多）

过高的权限或在不应该时间段创建或修改的文件（查出来的是在最后一位为7权限的文件）
find / -type f \( -perm -00007 \) -a -ctime -1 -exec ls -lg {} \;
ctime：属性变更的时间
mtime：内容修改的时间
atime：被访问的时间
-1：1天之内
也可以使用：find / -type f \( -perm -00007 \) -a -ctime -1 | xargs -I {} ls -lh {}

1.2.去除不需要的账号、修改默认账号 shell 环境

目的：删除系统不需要的默认账号、更改危险账号的默认 shell 变量，降低被利用的可能性

实施方法：

删除/锁定多余用户与组：
userdel -r username
groupdel groupname
passwd -l username

修改程序账户的登录 shell
usermod -s /sbin/nologin username

1.3.限制超级管理员远程登录

目的：限制具备超级权限的用户远程登录

实施方法：

修改远程管理程序 ssh 的配置文件
vi /etc/ssh/sshd_config
    PermitRootLogin yes -> PermitRootLogin no
重启 sshd 服务
systemctl restart sshd

1.4.删除 root 以外 UID 为 0 的用户

目的：减少被越权使用的可能性

实施方法：

检查哪些账户的 UID 为 0：
awk -F: '($3 == 0) { print $1 }' /etc/passwd #以 : 分隔，第三列值为 0 的用户（grep :0:）
删除账户：
userdel -r username
或者编辑 passwd 与 shadow 文件

1.5.不应存在位于高权限组的账户

目的：检查是否有账户获取过高权限

实施方法：

检查哪些账户属于其他组：
grep -v ^# /etc/login.defs |grep "^GID_MIN" |awk '{ print $2 }' #筛选出GID的最小值
awk -F: '$3 > 500 { print $1 }' /etc/passwd | xargs -I {} grep {} /etc/group #找高权限组的账户
grep -v "/sbin/nologin" /etc/passwd | awk -F: '{ print $1 }' | xargs -I {} grep {} /etc/group

1.6.缩短默认密码生成周期

目的：对于采用静态密码认证的设备，账户密码的生存周期不长于 90 天

实施方法：

修改文件密码策略文件：
vi /etc/login.defs
PASS_MAX_DAYS 90 #最长使用期限
PASS_MIN_DAYS 0 #最短使用期限
PASS_MIN_LEN 8 #密码最小长度
PASS_WARN_AGE 7 #最长期限到期前 7 天提醒更改密码

1.7.设置密码强度策略

目的：规范使用高强度密码，延迟被爆破的时间

实施方法：

修改 pam 认证文件
/ect/pam.d/system-auth
添加/修改内容
password requisite pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minclass=3 minlen=8

高版本可使用以下命令：/etc/security/pwquality.conf
authconfig --passminlen=8 --update #密码最短8位
authconfig --enablereqlower --update #包含一个小写
authconfig --enablerequpper --update #包含一个大写
authconfig --enablereqdigit --update #包含一个数字
authconfig --enablereqother --update #包含一个字符

1.8.设置强制密码历史

目的：防止被社工字典破解

实施方法：

修改 pam 认证文件：/etc/pam.d/system-auth
添加/修改内容
password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

1.9.设置账户锁定策略

目的：防止被连续试探密码，降低爆破可能性

实施方法：

修改 pam 认证文件：
/etc/pam.d/system-auth
/etc/pam.d/sshd
/etc/pam.d/login
添加/修改内容
auth required pam_tally2.so deny=6 unlock_time=300 even_deny_root root_unlock_time=60

解锁：pam_tally2 --user username --reset

1.10.设置关键目录的权限

目的：在设备权限配置能力内，根据用户的企业需要，配置其所需的最小权限，以减少被非法访问的可能性

实施方法：

更改账户组文件的权限设置
chmod 644 /etc/passwd
chmod 600 /etc/shadow
chmod 644 /etc/group
去除多余的写入操作，如：
chmod -R go-w /etc

1.11.修改 umask 值

目的：修改创建文件或目录时的默认权限，防止属于该组的其他用户级别组的用户修改该用户的文件

实施方法：

修改启动脚本文件
/etc/profile
/etc/csh.login
/etc/csh.cshrc
/etc/bashrc
在文件末尾加入 umask 值
umask 027

1.12.限制硬件资源

目的：限制用户对系统资源的使用，减缓 DDOS 等攻击

实施方法：

修改限制文件
vi /etc/security/limits.conf
加入下列内容
* soft core 0
* hard core 0
* hard rss 5000
* hard nproc 20

*：所有用户
soft：软连接
hard：硬链接
core 0：表示禁止创建 core 文件
nproc 20：把最多进程数限制到 20
rss 5000：表示除了 root 外，其他用户都最多只能用 5M 内存

1.13.禁止任何人 su 切换 root 账户

目的：避免任何人使用 su 切换到 root，减少提权风险

实施方法：

修改 su 的配置文件：/etc/pam.d/su
auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/pam_wheel.so
group=wheel
如果需要 su 切换，将用户加入 wheel 组
gpasswd -a username wheel

1.14.去掉所有 SUID 和 SGID

目的：防止被利用提权

实施方法：

查找具有 SUID 和 SGID 的对象
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lh {} \;
chmod ugo-s 文件

1.15.重要日志权限不应该高于640

防止日志泄露敏感信息

ls -la /var/log/

chmod -R 640 /var/log

1.16.设置关键文件底层属性

目的：增强关键文件的底层属性，降低篡改风险

实施方法：

修改关键文件和日志的底层属性
chattr +a /var/log/messages
chattr +i /var/log/messages.*
chattr +i /etc/shadow
chattr +i /etc/passwd
chattr +i /etc/group
不只限于上述文件，可用 lsattr 查看更改结果

2.通讯协议

2.1.关闭非加密远程管理 telnet

目的：降低被抓包后获取系统关键信息

实施方法：

修改 telnet 配置文件
vi /etc/xinetd.d/telnet
确认/修改内容为
disable=yes

2.2.使用加密的远程管理 ssh

目的：使用安全套接字层加密传输信息，避免被侦听敏感信息

实施方法：

修改配置文件
vi /etc/ssh/sshd_config
禁止 root 登录，修改默认端口，开启 v2 版本
PermitRootLogin no
Port 20202
Protocol 2
重启服务：systemctl restart sshd

2.3.设置访问控制列表

如果公网直连，此项没用；一般用作跳板机

目的：设置访问控制白名单，减少被入侵的风险

实施方法：

修改拒绝策略
vi /etc/hosts.deny
加入信息
ALL:ALL

修改允许策略
vi /etc/hosts.allow
加入信息
sshd:来访者IP地址

2.4.不响应 ICMP 请求

修改网络策略布尔值

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2.5.关闭无用服务

检查有哪些自启动服务，并记录列表

systemctl list-unit-files |grep enabled

禁用无用服务

3.补丁管理

使用 yum 更新：yum update（不推荐）

使用 rpm 安装：rpm -Fvh rpm包

所有补丁需要在测试环境下测试不影响业务服务后才可更新，下载补丁时，一定要对文件进行签名核实

4.服务进程与启动

建议关闭的服务（如无需要，建议关闭或卸载）

rpm -qa | grep -E "^amanda|^chargen|^chargen-udp|^cups|^cups-lpd|^daytime|^daytime-udp|^echo|^echo-udp|^eklogin|^ekrb5-telnet|^finger|^gssftp|^imap|^imaps|^ipop2|^ipop3|^klogin|^krb5-telnet|^kshell|^ktalk|^ntalk|^exec|^rlogin|^rsh|^rsync|^talk|^tcpmux-server|^telnet|^tftp|^time-dgram|^time-stream|^uucp"

5.banner 与自动注销

5.1.隐藏系统提示信息

避免通过系统提示信息获取系统状态

查看登录 banner 信息：cat /etc/issue

清空 banner 文件：echo > /etc/issue

5.2.设置登录超时注销

防止疏忽导致命令行被他人使用

修改 /etc/profile

在 HISTFILESIZE 下面加入：TMOUT=180

生效：source /etc/profile

5.3.减少history 历史数量

降低之前操作被窃取的风险

修改 /etc/profile

修改信息：HISTFILESIZE=50

source /etc/profile

5.4.跳过 grup 菜单

防止在 grup 菜单对引导过程进行修改

修改 grup 配置文件：vi /boot/grup2/grup.cfg

修改超时时间：set timeout=8

5.5.关闭 ctrl+alt+del 重启功能

防止误操作重启服务器

修改配置文件：vi /usr/lib/systemd/system/ctrl-alt-del.target

注释所有内容