Linux系统安全需要注意的一些问题

写在前面：当你部署一台服务器，第一步不应该是部署应用，安全是才是首要任务

如果某一天当你登录服务器发现 /bin/bash –i,python -c 'import pty; pty.spawn("/bin/sh")' 等命令在服务器上出现的时候，那么恭喜你，服务器被入侵了

但是入侵者都是很聪明的，首先会执行以下命令

unset HISTORY HISTFILE HISTSAVE HISTZONE HISTORY HISTLOG; export HISTFILE=/dev/null; export HISTSIZE=0; export HISTFILESIZE=0

然后是通过跳板访问

ssh -o UserKnownHostsFile=/dev/null -T user@host /bin/bash –i

建立ttyshell

python -c ‘import pty; pty.spawn(“/bin/sh”)’

然后清除访问记录

shred -n 31337 -z -u file_to_delete

等等。。。一系列的操作

然后你就能看到服务器上会留下以上的蛛丝马迹，那么我们如何防止呢？

1、系统用户优化

用户是Linux中安全加固的第一关，如果系统中本身就存在有安全隐患的用户，那么再安全策略也无法起到加固的效果

cat /etc/passwd | awk -F: '$3==0'  //列出具有超级权限的用户
cat /etc/passwd | grep '/bin/bash'  //列出具有登录shell的用户

如果除了root还有其他的超级用户，那就要非常小心了

1.1 将系统自带的用户和用户组删除掉

删除的用户,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher

删除的组,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers

1.2 或者锁定不需要登录的用户

如：xfs,news,nscd,dbus,vcsa,games,nobody,avahi,haldaemon,gopher,ftp,mailnull,pcap,mail,shutdown,halt,uucp,operator,sync,adm,lp,bin,sys,nuucp,hpdb,www,daemon

1.3 限制能够su为root的用户

#在 /etc/pam.d/su 头部添加：
auth required /lib/security/pam_wheel.so group=wheel

这样，只有wheel组的用户可以su到root

1.4 检查shadow中空口令帐号

awk -F: '( $2== "") { print }' /etc/shadow

对空口令账号进行锁定，或要求增加密码

1.5 系统关键目录权限控制

根据安全需要，配置某些关键目录其所需的最小权限，password文件、shadow文件、group文件权限。

/etc/passwd 所有用户都可读，root用户可写 –rw-r—r—

chmod 644 /etc/passwd

/etc/shadow 只有root可读 –r——–

chmod 600 /etc/shadow

/etc/group 必须所有用户都可读，root用户可写 –rw-r—r—

chmod 644 /etc/group

2、系统服务优化

一般情况下，系统可能会自动的运行一些不必要的服务，我们可以使用下面的命令查看当前默认开启运行的系统服务：

chkconfig --list | grep "3:on"

如果我们只是提供web服务，那么对于sendmail、nfs、postfix、ftp等不需要的服务就可以关闭了

对于关键的服务，我们需要保证它们的运行，比如：iptables、sshd、syslog、httpd、nginx、mysql、php-fpm等。

3、ssh访问策略

ssh的访问都是我们日常工作中几乎唯一的控制系统的手段。所以ssh的安全性非常重要，一般来说较高的ssh安全策略秉承以下几个原则。

• 禁止root用户ssh登录。

• 禁止口令的方式验证。

• 只允许一个用户拥有sudo的完整权限。

• 除非是堡垒机，系统中不允许存放私钥文件。

• 使用一个随机端口来代替22端口。

编辑 /etc/sudoers,加入一条：

test ALL=(ALL)       NOPASSWD: ALL

这里的例子表示：将test赋予完全的sudo权限，并在sudo提权时不需要验证密码。

sed -i 's/\(PasswordAuthentication\) yes/\1 no/' /etc/ssh/sshd_config  //禁止口令，使用证书
sed -i 's/\(PermitRootLogin\) yes/\1 no/' /etc/ssh/sshd_config //禁止root用户ssh登录

现在我们来看ssh的访问效果：

• 所有用户不能使用密码验证登录。

• root用户不可直接登录的，即使拥有root密码，唯一获得root的方法是使用test用户提权。

• test用户只可以使用证书登录。

• ssh不再使用默认的22端口

4、系统内部安全配置

4.1、保护引导过程

//用户启动需要输入主机密码
echo  "sp:S:respawn:/sbin/sulogin" >> /etc/inittab

//编辑/etc/init/control-alt-delete.conf,禁用 ctrlaltdel
start on control-alt-delete 更改为 #start on control-alt-delete

4.2、内核修改

/etc/sysctl.conf 改为以下内容

kernel.shmall = 268435456
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 1200
net.ipv4.ip_local_port_range = 1024 65000
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_max_tw_buckets = 5000
net.ipv4.tcp_fin_timeout = 30
net.ipv4.tcp_keepalive_time = 300
net.ipv4.tcp_tw_reuse = 1
net.ipv4.tcp_tw_recycle = 1
net.ipv4.ip_local_port_range = 5000 65000
net.ipv4.tcp_mem = 786432 1048576 1572864
net.core.wmem_max = 873200
net.core.rmem_max = 873200
net.ipv4.tcp_wmem = 8192 436600 873200
net.ipv4.tcp_rmem = 32768 436600 873200
net.core.somaxconn = 256
net.core.netdev_max_backlog = 1000
net.ipv4.tcp_max_syn_backlog = 2048
net.ipv4.tcp_retries2 = 5
net.ipv4.tcp_keepalive_time = 500
net.ipv4.tcp_keepalive_intvl = 30
net.ipv4.tcp_keepalive_probes = 3
net.ipv4.conf.lo.arp_ignore = 0
net.ipv4.conf.lo.arp_announce = 0
net.ipv4.conf.all.arp_ignore = 0
net.ipv4.conf.all.arp_announce = 0

/etc/security/limits.conf 改为以下内容

* soft nofile 655360
* hard nofile 655360

解释

net.ipv4.tcp_syncookies = 1
#表示开启SYN Cookies。当出现SYN等待队列溢出时，启用cookies来处理，可防范少量SYN攻击，默认为0，表示关闭；
net.ipv4.tcp_tw_reuse = 1
#表示开启重用。允许将TIME-WAIT sockets重新用于新的TCP连接，默认为0，表示关闭；
net.ipv4.tcp_tw_recycle = 1
#表示开启TCP连接中TIME-WAIT sockets的快速回收，默认为0，表示关闭。
net.ipv4.tcp_fin_timeout = 30
#表示如果套接字由本端要求关闭，这个参数决定了它保持在FIN-WAIT-2状态的时间。
net.ipv4.tcp_keepalive_time = 1200
#表示当keepalive起用的时候，TCP发送keepalive消息的频度。缺省是2小时，改为20分钟。
net.ipv4.ip_local_port_range = 1024 65000
#表示用于向外连接的端口范围。缺省情况下很小：32768到61000，改为1024到65000。
net.ipv4.tcp_max_tw_buckets = 5000
#表示系统同时保持TIME_WAIT套接字的最大数量，如果超过这个数字，
#TIME_WAIT套接字将立刻被清除并打印警告信息。默认为180000，改为5000。
#对于Apache、Nginx等服务器，上几行的参数可以很好地减少TIME_WAIT套接字数量，
#但是对于Squid，效果却不大。此项参数可以控制TIME_WAIT套接字的最大数量，避免Squid服务器被大量的TIME_WAIT套接字拖死

4.3 密码口令策略修改

cat /etc/login.defs|grep PASS
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
PASS_MIN_LEN 9 #最小密码长度9

4.4 历史命令保留和常用服务端口修改

vim /etc/profile
修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令
常用服务入SSH,FTP,MYSQL,等，不要使用默认端口

4.5、Banner伪装

可以扰乱入侵者这对服务器信息的判断

a、Vsftpd banner 伪装

修改vsftpd.conf

ftpd_banner=Welcome to Microsoft FTP service.

b、Apache banner 伪装

修改/usr/local/apache/conf/httpd.conf文件，可以隐藏一些apache信息，如果要屏蔽掉所有信息，需要修改源码文件重新编译

httpd-2.2.25/include/ap_release.h
httpd-2.2.25/os/unix/os.h

c、Nginx banner 伪装

在nginx.conf 的 http 块里面添加 server_tokens off;

若要彻底屏蔽，需要修改源码，重新安装

src/core/nginx.h

d、 PHP banner修改
php.ini 修改expose_php On —> expose_php = Off

Php彩蛋，PHP源码/ext/standard/info.h

e、 TTL值修改

echo net.ipv4.ip_default_ttl = 128 >> /etc/sysctl.conf
/sbin/sysctl –p

f、利用iptables，将本机的TCP 3389端口转移到其它开有3389端口的计算机上，给Linux系统伪装出一个提供服务的TCP 3389端口

echo 1 > /proc/sys/net/ipv4/ip_forward
iptables -t nat -I PREROUTING -p tcp --dport 3389 -j DNAT --to xx.xx.xx.xx
iptables -t nat -I POSTROUTING -p tcp --dport 3389 -j MASQUERADE

4.6、防火墙IPtables设置

下面是linux一些常用的服务所需要的规则。(根据实际情况更改)

vim  /etc/sysconfig/iptables

# Generated by iptables-save v1.3.5 on Thu Oct 31 19:38:46 2013
*filter
:INPUT ACCEPT [782:100478]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [227493:21979253]
-A INPUT -s 127.0.0.1 -d 127.0.0.1 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 3306 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT （可以用后面的防CC的规则替代）
-A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
-A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
-A INPUT –p tcp -j REJECT –reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-port-unreachable
-A FORWARD -j REJECT --reject-with icmp-port-unreachable
-A OUTPUT -j ACCEPT
COMMIT
# Completed on Thu Oct 31 19:38:46 2013

service iptables save
service iptables restart

(1) iptables 防止CC攻击的规则

安装 kernel-smp-modules-connlimit 、recent 内核模块

modprobe ipt_connlimit
如果没有这个文件需要新建如下文件

# cat /etc/modprobe.d/ipt.conf

options ipt_recent ip_pkt_list_tot=200
modprobe –r ipt_recent

控制单个IP的最大并发连接数

iptables -I INPUT -p tcp --dport 80 -m connlimit --connlimit-above 50 -j REJECT #允许单个IP的最大连接数为 30
//控制单个IP在一定的时间（比如60秒）内允许新建立的连接数
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --update --seconds 60 --hitcount 30 -j REJECT
iptables -A INPUT -p tcp --dport 80 -m recent --name BAD_HTTP_ACCESS --set -j ACCEPT #单个IP在60秒内只允许最多新建30个连接

(2)iptables 限制主机登录的规则

//限制每个主机每小时只能连接5次主机（INPUT链默认规则为ACCEPT）
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --rcheck --seconds 3600 --hitcount 5 -j DROP
iptables -A INPUT -p tcp --dport 22 -m state --state NEW -m recent --name SSHPOOL --set -j ACCEPT

4.7、防止暴力登录

ftp，ssh暴力登录，脚本实现。

4.8、监控所有终端用户操作

记录所有登录用户终端操作命令记录

vim /etc/profile

PS1="`whoami`@`hostname`:"'[$PWD]'
history
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]
then
   USER_IP=`hostname`
fi

if [ ! -d /tmp/csi ]
then
   mkdir /tmp/csi
   chmod 777 /tmp/csi
fi

if [ ! -d /tmp/csi/${LOGNAME} ]
then
    mkdir /tmp/csi/${LOGNAME}
    chmod 300 /tmp/csi/${LOGNAME}
fi

export HISTSIZE=4096
DT=`date "+%Y-%m-%d_%H:%M:%S"`
export HISTFILE="/tmp/csi/${LOGNAME}/${USER_IP} csi.$DT"
chmod 600 /tmp/csi/${LOGNAME}/*csi* 2>/dev/null

source /etc/profile

4.9 日志审计

统一远程日志服务器配置，当前系统应配置远程日志功能，将需要重点关注的日志内容传输到日志服务器进行备份。

修改配置文件 /etc/rsyslog.conf

加上这一行：authpriv.* @x.x.x.x

重新启动syslog服务，执行下列命令：services syslogd restart

4.10、更改危险文件（命令）权限

只有root用户能使用一下命令

chmod 700 /bin/ping
chmod 700 /usr/bin/finger
chmod 700 /usr/bin/who
chmod 700 /usr/bin/w
chmod 700 /usr/bin/locate
chmod 700 /usr/bin/whereis
chmod 700 /sbin/ifconfig
chmod 700 /usr/bin/pico
chmod 700 /usr/bin/vi
chmod 700 /usr/bin/which
chmod 700 /usr/bin/gcc
chmod 700 /usr/bin/make
chmod 700 /bin/rpm

4.11、杀毒软件

下载 http://www.clamav.net/lang/en/download/sources/

直接下载：http://downloads.sourceforge.net/clamav/clamav-0.98.1.tar.gz

4.12 、rootkit病毒检测

Rkhunter 下载：http://jaist.dl.sourceforge.net/project/rkhunter/rkhunter/1.4.2/rkhunter-1.4.2.tar.gz

chkrootkit 下载：ftp://ftp.pangeia.com.br/pub/seg/pac/chkrootkit.tar.gz

4.13、inotify 监控系统文件

监控命令

inotifywait -m -d -o /tmp/inotify.log -r --timefmt "%F %T" --format '%T %w%f%:e' -e close_write,create, modify,attrib /var/www/html

Inotify监控比较大的目录的时候会报错，需要修改/proc/sys/fs/inotify/max_user_watches的值

建议写入sysctl.conf：fs.inotify.max_user_watches=8192000

5、系统应用安全配置

5.1、中间件 安全配置

(1) apache安全配置

//Apache 禁止数据目录执行php等脚本文件
<Directory "/path/directory">
<FilesMatch ".(php|asp|jsp)$">
    Deny from all
</FilesMatch>
</Directory>

//Apache禁用目录浏览和符号链接追踪
<Directory "/usr/local/apache/htdocs">
   Options Indexes FollowSymLinks #禁用这两项
   AllowOverrride None
   Order allow,deny
   Allow from all
</Directory>

(2) nginx安全配置

//Nginx 禁止数据目录执行php等脚本文件（在nginx.conf server段配置）
//单个目录
location ~* ^ /attachments/.*\.(php|php5)$ {
  deny all;
}

//多个目录
location ~* ^/(image|upload)/.*\.(php|php5)$ {
   deny all;
}
//nginx 的限制连接模块limit_zone与limit_req_zone
//limit_zone配置
http{
   limit_conn_zone $binary_remote_addr zone=one:10m; #one是zone的名字，10m是会话状态存储空间
   server{
      limit_zone one 1; #1每秒限制链接1次
   }
}

//Limit_req_zone配置
http{
   limit_req_zone $binary_remote_addr zone=req_one:10m rate=1r/s; # rate=1r/s 的意思是每个地址每秒只能请求一次，也就是说根据漏桶原理burst=120 一共有120块令牌，并且每秒钟只新增1块令牌120块令牌发完后 多出来的那些请求就会返回503
   server{
       limit_req zone=req_one burst=120;
   }
}

5.2、php 安全配置

open_basedir = .:/tmp/ #防止php木马跨站，重要！！
disable_funcation=chdir,dir,get_cwd,opendir，readdir，scandir，fopen，unlink,delete,copy,mkdir,rmdir,rename,file,
file_get_contents,fputs,fwrite,chmod,phpinfo,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,
proc_get_status,ini_alter,ini_alter,ini_restore,dl,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,
escapeshellcmd,dll,popen,disk_free_space,checkdnsrr,checkdnsrr,getservbyname,getservbyport,disk_total_space,
posix_ctermid,posix_get_last_error,posix_getcwd,posix_getegid,posix_geteuid,posix_getgid,osix_getgrgid,
posix_getgrnam,posix_getgroups,posix_getlogin,posix_getpgid,posix_getpgrp,posix_getpid,posix_getppid,
posix_getpwnam,posix_getpwuid,posix_getrlimit,posix_getsid,posix_getuid,posix_isatty,posix_kill,
posix_mkfifo,posix_setegid,posix_seteuid,posix_setgid,posix_setpgid,posix_setsid,posix_setuid,posix_strerror,posix_times,
posix_ttyname,posix_uname

//如果服务器用到了采集，需要启用unlink和fopen, file_get_contents,fputs,fwrite,dir
//后台上传图片用到的函数 mkdir,file,file_get_contents,fputs,fwrite,dir

magic_quotes_gpc = Off //打开magic_quotes_gpc来防止SQL注入
magic_quotes_gpc = On //如果它打开后将自动把用户提交对sql的查询进行转换，比如把 ' 转为 \'等，这对防止sql注射有重大作用。所以我们推荐设置为：
register_globals = Off //关闭注册全局变量
safe_mode = on //php的安全模式是个非常重要的内嵌的安全机制，能够控制一些php中的函数，比如system()，同时把很多文件操作函数进行了权限控制，也不允许对某些关键文件的文件，比如/etc/passwd，但是默认的php.ini是没有打开安全模式的，我们把它打开：
safe_mode_gid = off //用户组安全,当safe_mode打开时，safe_mode_gid被关闭，那么php脚本能够对文件进行访问，而且相同组的用户也能够对文件进行访问。
safe_mode_exec_dir = /usr/www
display_errors = Off
error_reporting = E_WARNING & E_ERROR
log_errors = On
error_log = D:/usr/local/apache2/logs/php_error.log //注意：给文件必须允许apache用户的和组具有写的权限

参考文章

http://m.jb51.net/hack/55784.html

https://blog.slogra.com/post-684.html

http://blog.chinaunix.net/uid-25723371-id-4542221.html