Linux 安全文檔 關閉 sendmail 服務 : rootsample # /etc/rc.d/init.d/sendmail stop 關閉 sendmail服務 Shutting down sendmail: OK Shutting down sm-client: OK rootsample # chkconfig sendmail off 關閉 sendmail自啟動 rootsample # chkconfig -list sendmail 確認 sendmail 自啟動已 被關閉（都為 off就 OK） sendmail 0:off 1:off 2:off 3:off 4:off 5:off 6:off 一、 帳號與口令 1刪除系統(tǒng)臃腫多余的賬號： userdel lp 、 userdel sync 、 userdel shutdown 、 userdel halt 、 userdel news 、 userdel uucp、 userdel operator、 userdel games、 userdel gopher 、 userdel ftp （ 如果你不允許匿名 FTP，就刪掉這個用戶帳號 ） groupdel lp、 groupdel news 、 groupdel uucp、 groupdel games、 groupdel dip 、 groupdel pppusers。 2口令的安全性：口令的長度最少在 10位或以上，由數(shù)字，大小寫字母和特殊字符組合而 成，口令的字符組合要具有無規(guī)律性，不要用電話，生日，名字等有特殊意義的容易猜測的 數(shù)字或字母。 3 Linux中的帳號和口令是依據(jù) /etc/passwd 、 /etc/shadow、 /etc/group 、 /etc/gshadow 這四個文檔的，所以需要更改其權限提高安全性： chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow 如果還原，把 +i 改成 -i,再執(zhí)行一下上面四條命令。 注： i屬性：不允許對這個文件進行修改，刪除或重命名， 設定連結也無法寫入或新增數(shù)據(jù)！ 只有 root 才能設定這個屬性 二、 SSH 的安全設定 1 設定 sshd 服務器 vi /etc/ssh/sshd_config Port 10000 #更改 SSH 端口，最好改為 10000 以上，別人掃描到端口的機率也會下降。防火墻要開放配 置好的端口號。 Protocol 2 #禁用版本 1協(xié)議 , 因為其設計缺陷 , 很容易使密碼被黑掉。 PermitRootLogin no #嘗試任何情況先都不允許 Root 登錄 . 生效后我們就不能直接以 root的方式登錄了，我們 需要用一個普通的帳號來登錄，然后用 su來切換到 root帳號，注意 su 和 su - 是有一點 小小區(qū)別的。關鍵在于環(huán)境變量的不同， su -的環(huán) 境變量更全面。 PermitEmptyPasswords no 禁止空密碼登陸。 UseDNS no #SSH的連接登錄延時一般來說是因為 sshd默認打開了反向 DNS解析的問題。 service sshd restart 使得 SSH生效。 2. 限制 ssh 使用者名單，只允許某些用戶帳號使用 ssh連接 ： # vi /etc/pam.d/sshd 增加一條命令 auth required pam_listfile.so item=user sense=allow file=/etc/ssh/allow_list onerr=fail vi /etc/ssh/allow_list 添加您想允許使用 ssh 登入主機的帳號，一行一個帳號。 或者： echo oracle /etc/ssh/allow_list 3. 使用 DenyHosts 阻止 SSH暴力破解 （同時可以保護 FTP） DenyHosts是 Python語言寫的一個程序，它會分析 SSHD的日志文件， 當發(fā)現(xiàn)重復的攻擊時就會記錄 IP 到 /etc/hosts.deny 文件，從而達到自 動屏蔽 IP 的功能。 以下是安裝記錄 ： # tar -zxvf DenyHosts-2.6.tar.gz # cd DenyHosts-2.6 # python setup.py install 默認是安裝到 /usr/share/denyhosts/目錄的。 # cd /usr/share/denyhosts/ # cp denyhosts.cfg-dist denyhosts.cfg # cp daemon-control-dist daemon-control # vi daemon-control DENYHOSTS_BIN = “/usr/bin/denyhosts.py“ DENYHOSTS_LOCK = “/var/lock/subsys/denyhosts“ DENYHOSTS_CFG = “/usr/share/denyhosts/denyhosts.cfg“ # chown root daemon-control # chmod 700 daemon-control 完了之后執(zhí)行 daemon-contron start 就可以了。 # ./daemon-control start 如果要使 DenyHosts 每次重起后自動啟動還需做如下設置： # cd /etc/init.d # ln -s /usr/share/denyhosts/daemon-control denyhosts # chkconfig -add denyhosts # chkconfig -level 2345 denyhosts on 或者修改 /etc/rc.local 文件： # vi /etc/rc.local 加入下面這條命令 /usr/share/denyhosts/daemon-control start DenyHosts 配置文件說明： # vi denyhosts.cfg 這里根據(jù)自己需要進行相應的配置 SECURE_LOG = /var/log/secure #sshd 日志文件，它是根據(jù)這個文件來判斷的，不同的操作系統(tǒng)，文件名稍有不 同。 HOSTS_DENY = /etc/hosts.deny #控制用戶登陸的文件 PURGE_DENY = 5m #過多久后清除已經禁止的 BLOCK_SERVICE = sshd BLOCK_SERVICE = vsftpd(如果啟用 FTP 服務，務必加上這一行 ) #禁止的服務名 DENY_THRESHOLD_INVALID = 1 #允許無效用戶失敗的次數(shù) DENY_THRESHOLD_VALID = 10 #允許普通用戶登陸失敗的次數(shù) DENY_THRESHOLD_ROOT = 5 #允許 root 登陸失敗的次數(shù) HOSTNAME_LOOKUP=NO #是否做域名反解 DAEMON_LOG = /var/log/denyhosts #DenyHosts 的日志文件 三 、 網(wǎng)絡安全選項 的設定 編輯 “/etc/sysctl.conf“ 檔案，并加入下面幾行， # Enable ignoring broadcasts request （讓系統(tǒng)對廣播沒有反應） net.ipv4.icmp_echo_ignore_broadcasts = 1 # Disables IP source routing（取消 IP source routing） net.ipv4.conf.all.accept_source_route = 0 # Enable TCP SYN Cookie Protection（開啟 TCP SYN Cookie 保護） net.ipv4.tcp_syncookies = 1 # Disable ICMP Redirect Acceptance（ 取消 ICMP 接受 Redirect） net.ipv4.conf.all.accept_redirects = 0 # Enable bad error message Protection（開啟錯誤訊息保護） net.ipv4.icmp_ignore_bogus_error_responses = 1 # Enable IP spoofing protection, turn on Source Address Verification（開啟 IP 欺騙 保護） net.ipv4.conf.all.rp_filter = 1 # Log Spoofed Packets, Source Routed Packets, Redirect Packets（記錄 Spoofed Packets, Source Routed Packets, Redirect Packets） net.ipv4.conf.all.log_martians = 1 最后重新啟動 network rootdeep /# /etc/rc.d/init.d/network restart 或者 sysctl p 生效 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 四、防火墻的設定 根據(jù)不同的服務器使用已定義好的 相應的 防火墻規(guī)則。 假設 防火墻的文件為： firewall.sh 用法： sh firewall.sh 如果想開機即啟動防火墻，則可以在 /etc/rc.d/rc.local 加上一句： sh firewall.sh 以下是 iptables 的簡單說明： 查看 規(guī)則 iptables -L -n 參數(shù)說明： -L：列出目前的 table 的規(guī)則 -n：不進行 IP 與 HOSTNAME 的轉換，屏幕顯示訊息的速度會快很多 清除規(guī)則 iptables -F 參數(shù)說明： -F ：清除所有的已訂定的規(guī)則； 定義政策 當封包不在設定的規(guī)則之內時，則該封包的通過與否，以 Policy 的設定為準 語法： iptables -P INPUT,OUTPUT,FORWARD ACCEPT,DROP 參數(shù)說明： -P ：定義政策 ( Policy )。 注意，這個 P 為大寫??！ INPUT ：封包為輸入主機的方向； OUTPUT ：封包為輸出主機的方向； FORWARD：封包為不進入主機而向外再傳輸出去的方向； 范例： roottest root# /sbin/iptables -P INPUT DROP roottest root# /sbin/iptables -P OUTPUT ACCEPT roottest root# /sbin/iptables -P FORWARD ACCEPT 增加與插入規(guī)則 范例 ： 1. 只要通過 eth0 進入本機的 21 端口的封包就丟棄 iptables A INPUT i eth0 p tcp dport 21 j DROP 2. 來自 192.168.1.25 的封包都丟棄 iptables A INPUT i eth0 p tcp s 192.168.1.25 j DROP 3. 來自 192.168.0.24 這個 IP 的封包，想要到本機的 137， 138， 139 端口的都接受 iptables A INPUT i eth0 p tcp s 192.168.1.25 dport 137:139 j ACCEPT 參數(shù)說明： -A ：新增加一條規(guī)則，該規(guī)則增加在最后面，例如原本已經有四條規(guī)則， 使用 -A 就可以加上第五條規(guī)則！ -I ：插入一條規(guī)則，如果沒有設定規(guī)則順序，預設是插入變成第一條規(guī)則， 例如原本有四條規(guī)則，使用 -I 則該規(guī)則變成第一條，而原本四條變成 25 -i ：設定封包進入的網(wǎng)絡卡接口 -p ：請注意，這是小寫！封包的協(xié) 議 ！ tcp ：封包為 TCP 協(xié)定的封包； upd ：封包為 UDP 協(xié)定的封包； icmp：封包為 ICMP 協(xié)定、 all ：表示為所有的封包！ -s ：來源封包的 IP 或者是 Network ( 網(wǎng)域 )； -sport：來源封包的 port 號碼，也可以使用 port1:port2 如 21:23 同時通過 21,22,23 的意思 -d ：目標主機的 IP 或者是 Network ( 網(wǎng)域 )； -dport：目標主機的 port 號碼； -j：動作，可以接底下的動作； ACCEPT ：接受該封包 DROP ：丟棄封包 五、 系統(tǒng)文件和日志的安全 1 更改 各種服務啟動腳本目錄的 訪問 權限： chmod -R 700 /etc/rc.d/ 更改系統(tǒng)文件的訪問權限： chmod 700 /etc/services chmod 700 /etc/xinetd.conf chmod 700 /etc/inittab 2 更改日志的訪訪權限： chmod 700 /var/log/secure* chmod 700 /var/log/messages* 六、系統(tǒng)登陸的設定 1 每次登陸退出時，清除所用過命令的歷史紀 ： 在 .bash_logout 文檔中增加一行： history c 2 設置系統(tǒng)全局環(huán)境變量文件 /etc/profile 增加 一行 TMOUT=600 單位為秒，表示 如果在 600 秒（ 10 分鐘 ） 之 內 沒有做任何的操作，登陸終端將自動注銷。 3資源限制 編輯 /etc/security/limits.conf 加入 * hard core 0 * hard rss 5000 * hard nproc 20 同 時 必須編輯 /etc/pam.d/login 文件加 /檢查 下面 這一行的存在。 session required /lib/security/pam_limits.so 上面的命令分別是 禁止創(chuàng)建 core 文件 ， 其他用戶 (除 root)最多使用 5M 內存 ， 限制 最多 進程數(shù)為 20 4 只開啟一個登錄終端 ， 修改 /etc/inittab 文件，注釋下面的這幾行： #ca:ctrlaltdel:/sbin/shutdown -t3 -r now #2:2345:respawn:/sbin/mingetty tty2 #3:2345:respawn:/sbin/mingetty tty3 #4:2345:respawn:/sbin/mingetty tty4 #5:2345:respawn:/sbin/mingetty tty5 #6:2345:respawn:/sbin/mingetty tty6 然后用 init q 生效 ， 使服務器熱重啟失效。 七、 vsftp 配置 vsftpd 的配置文件有三個，分別是： /etc/vsftpd/vsftpd.conf /etc/ vsftpd/vsftpd.ftpusers /etc/ vsftpd/vsftpd.user_list 其中， /etc/vsftpd.conf 是主配置文件。 /etc/vsftpd.ftpusers 中指定了哪些用戶不能訪問 FTP 服 務器。 /etc/vsftpd.user_list 中指定的用戶默認情況下（即在 /etc/vsftpd.conf 中設置了 userlist_deny= YES）不能訪問 FTP 服務器，當在 /etc/vsftpd.conf 中設置了 userlist_deny=NO 時，僅僅允許 /etc/vsftpd.user_list 中指定的用戶訪問 FTP 服務器。 請在 /etc/vsftpd.conf 中設置 userlist_deny=NO，通過 /etc/vsftpd.user_list 嚴格控制 FTP 用戶。 配置基本的性能和安全選項 /禁止匿名登陸 anonymous_enable=NO (默認為 YES) /設置空閑的用戶會話的中斷時間 例如下面的配置： idle_session_timeout=600 將在用戶會話空閑 10 分鐘后被中斷。 /設置空閑的數(shù)據(jù)連接的的中斷時間 例如下面的配置： data_connection_timeout=120 將在數(shù)據(jù)連接空閑 2 分鐘后被中 斷。 /設置客戶端空閑時的自動中斷和激活連接的時間 例如下面的配置： accept_timeout=60 connect_timeout=60 將使客戶端空閑 1 分鐘后自動中斷連接，并在中斷 1 分鐘后自動激活連接 /設置最大傳輸速率限制 例如下面的配置：（傳輸速率可根據(jù)實際情況自行修改） local_max_rate=50000 anon_max_rate=30000 將使本地用戶的最大傳輸速率為 50kbytes / sec，匿名用戶的 傳輸速率為 30 kbytes / sec。 /設置客戶端連接時 的端口范圍 例如下面的配置： pasv_min_port=50000 pasv_max_port=60000 將使客戶端連接時的端口范圍在 50000 和 60000 之間。這提高了系統(tǒng)的安全性 1 截短歷史命令 “/.bash_history“文件，這個文件中保存著以前使用的命令列表。截短這個 文件可以使您以前執(zhí)行過的命令暴露在別人眼光下的機會減小 .(在您的命令中很可能包括 象密碼信息這樣的保密信息 )。通過編輯 /etc/profile 的下面兩項可以做到這一點： HISTFILESIZE=20 HISTSIZE=20 2 通過下面的措施可以防止任何人都可以 su 為 root: 編輯 su 文件（ vi /etc/pam.d/su）在文件的頭部加入下面兩行： auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel 3 使 Control-Alt-Delete 軟關機無效 編輯 inittab 文件（ vi /etc/inittab）把這一行： ca:ctrlaltdel:/sbin/shutdown -t3 -r now 改為： #ca:ctrlaltdel:/sbin/shutdown -t3 -r now 用下面的命令使改變生效： rootsound# /sbin/init q