Linux常用的安全加固

一、账号和口令

1.1 禁用或删除无用账号

减少系统无用账号，降低安全风险。

操作步骤
userdel <用户名> //删除不必要的账号。
passwd -l <用户名> //锁定不必要的账号。
passwd -u <用户名> //解锁必要的账号。

1.2 检查特殊账号

检查是否存在空口令和root权限的账号。

操作步骤
1、
awk -F: '($2"")' /etc/shadow //查看空口令账号。
awk -F: '($30)' /etc/passwd //查看UID为零的账号。
2、
passwd <用户名> //为空口令账号设定密码。
确认UID为零的账号只有root账号。

1.3 添加口令策略

加强口令的复杂度等，降低被猜解的可能性。

操作步骤
1、vim /etc/login.defs 修改配置文件。
PASS_MAX_DAYS 90 #新建用户的密码最长使用天数
PASS_MIN_DAYS 0 #新建用户的密码最短使用天数
PASS_WARN_AGE 7 #新建用户的密码到期提前提醒天数
PASS_MIN_LEN 8 #设定最小用户密码长度为8位

2、使用chage命令修改用户设置。（针对已创建用户）
例如，chage -m 0 -M 30 -I 5 -W 7 <用户名>
表示将此用户的密码最长使用天数设为30，最短使用天数设为0，密码过期后5天之后账户失效，过期前7天警告用户。

3、设置连续输错五次密码，账号锁定十分钟。（普通账户）
vim /etc/pam.d/system-auth(redhat、centos)

• auth required pam_tally.so onerr=fail deny=5 unlock_time=600(redhat6、centos6及以下版本)
• auth required pam_tally2.so onerr=fail deny=5 unlock_time=600  vim /etc/pam.d/sshd (redhat、centos)(ssh登录)
• auth required pam_tally.so onerr=fail deny=5 unlock_time=600(redhat6、centos6及以下版本)
• auth required pam_tally2.so onerr=fail deny=5 unlock_time=600

1.4 限制用户su

限制能su到root的用户。  
操作步骤
vim /etc/pam.d/su
例如，只允许wheel组用户su到root，则添加

• auth sufficient /lib/security/pam_rootok.so
• auth required /lib/security/pam_wheel.so group=wheel

1.5 设置密码复杂度

对于采用静态口令认证技术的设备，口令包括数字、小写字母、大写字母和特殊符号4类中至少3类。  
操作步骤

• Redhat、centos：/etc/pam.d/system-auth,
• Suse9：/etc/pam.d/passwd，
• Suse10,Suse11：/etc/pam.d/common-password，

例如：

• password requisite pam_cracklib.so ucredit=-1 lcredit=-1 dcredit=-1(redhat6、centos6)
• password requisite pam_pwquality.so dcredit=-1 ucredit=-1 ocredit=-1 lcredit=0(redhat7、 centos7)

注：ucredit：大写字母个数；lcredit：小写字母个数；dcredit：数字个数；ocredit：特殊字符个数

1.6 设置密码重复使用次数限制

对于采用静态口令认证技术的设备，设置密码不能重复前5次使用过的。  
操作步骤

• Redhat:/etc/pam.d/system-auth，
• Suse9:/etc/pam.d/passwd
• Suse10,Suse11:/etc/pam.d/common-password

在password sufficient pam_unix.so xxxxx 一行后添加 remember=5  
例如：
password    sufficient    pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=5

二、服务

2.1 关闭不必要的服务

关闭不必要的服务（如普通服务和xinetd服务），降低风险。

操作步骤
停止服务
systemctl stop <服务名>
设置服务在开机时不自动启动。
systemctl disable <服务名>
说明： 对于部分老版本的Linux操作系统（如CentOS 6）
chkconfig --level <init级别> <服务名> off设置服务在指定init级别下开机时不自动启动。

2.2 SSH服务安全

对SSH服务进行安全加固，防止容易被暴力破解成功。
 操作步骤
vim /etc/ssh/sshd_config

• 不允许root账号直接登录系统。
  设置 PermitRootLogin 的值为 no。
• 修改SSH使用的协议版本。
  设置 Protocol 的版本为 2。(centos7默认第一版本已拒绝)
• 密码错误超过次数断开连接（默认6次）。
  设置 MaxAuthTries 的值为 3。
• 修改默认端口
  设置Port的值为非22。
  配置文件修改完成后，重启sshd服务生效。

三、文件系统

3.1 设置umask值

设置默认的umask值，增强安全性。
 操作步骤
vim /etc/profile

• umask 077 #在最后一行添加
• source /etc/profile  #使操作立即生效

即新创建的目录属主拥有读写执行权限，同组用户拥有读和执行权限，其他用户无权限。
文件属主拥有读写权限，同组用户拥有读权限，其他用户无权限。

3.2 设置登录超时

设置系统登录后，连接超时时间，增强安全性。  
操作步骤
vim /etc/profile

• export TMOUT=300    # 设置300秒内用户无操作就字段断开终端
• readonly TMOUT     # 将值设置为readonly 防止用户更改
• source /etc/profile  #使操作立即生效

3.3 删除潜在危险文件

.rhosts，.netrc，hosts.equiv等文件都具有潜在的危险，如果没有应用，应该删除  
操作步骤
find / -name .rhosts  
find / -name .netrc
find / -name hosts.equiv
若存在相关文件，加上.bak后缀
mv .rhost .rhost.bak  
mv .netr .netr.bak  
mv hosts.equiv hosts.equiv.bak

3.4 设置重要目录或文件权限

操作步骤
chmod <权限> <目录或文件>
例如：
chmod 750 /etc/
请按照下表更改权限：

权限	目录或文件	备注
400	/etc/shadow
600	/etc/xinetd.conf	低版本的Linux系统采用inetd.conf配置文件
600	/etc/security
600	/etc/grub.conf	如果/etc/grub.conf文件存在，且非链接文件，则执行chmod 600 /etc/grub.conf; 如果/boot/grub/grub.conf文件存在，则执行chmod 600 /boot/grub/grub.conf; 如果/etc/lilo.conf文件存在，则执行chmod 600 /etc/lilo.conf。
600	/boot/grub/grub.conf
600	/etc/lilo.conf
600	/etc/lilo.conf
644	/etc/services
644	/etc/passwd
644	/etc/group
750	/etc/
750	/etc/rc2.d
750	/etc/rc1.d/
750	/etc/rc4.d
750	/etc/rc5.d
750	/etc/rc0.d
750	/etc/rc6.d
750	/etc/rc.d/init.d/
750	/etc/rc3.d
750	/tmp

四、日志

4.1 syslogd日志

启用日志功能，并配置日志记录。  
操作步骤
Linux系统默认启用以下类型日志：

• 系统日志（默认）/var/log/messages
• cron日志（默认）/var/log/cron
• 安全日志（默认）/var/log/secure

注意：部分系统可能使用syslog-ng日志，配置文件为：/etc/syslog-ng/syslog-ng.conf。
您可以根据需求配置详细日志。

4.2 记录所有用户的登录和操作日志

通过脚本代码实现记录所有用户的登录操作日志，防止出现安全事件后无据可查。
操作步骤

• 1、运行 [root@xxx /]# vim /etc/profile打开配置文件。
• 2、在配置文件中输入以下内容：

history
USER=`whoami`
USER_IP=`who -u am i 2>/dev/null| awk '{print $NF}'|sed -e 's/[()]//g'`
if [ "$USER_IP" = "" ]; then
USER_IP=`hostname`
fi
if [ ! -d /var/log/history ]; then
mkdir /var/log/history
chmod 733 /var/log/history
fi
if [ ! -d /var/log/history/${LOGNAME} ]; then
mkdir /var/log/history/${LOGNAME}
chmod 300 /var/log/history/${LOGNAME}
fi
export HISTSIZE=4096
DT=`date +"%Y%m%d_%H:%M:%S"`
export HISTFILE="/var/log/history/${LOGNAME}/${USER}@${USER_IP}_$DT"
chmod 600 /var/log/history/${LOGNAME}/* 2>/dev/null

• 3、运行 [root@xxx /]# source /etc/profile 加载配置生效。

注意： /var/log/history 是记录日志的存放位置，可以自定义。

通过上述步骤，可以在 /var/log/history 目录下以每个用户为名新建一个文件夹，每次用户退出后都会产生以用户名、登录IP、时间的日志文件，包含此用户本次的所有操作。  
注：编辑/etc/bashrc文件，最后加入
HISTTIMEFORMAT="%F %T  "
export HISTTIMEFORMAT
保存后退出，关闭当前shell，并重新登录这个时候，在变量HISTFILE所指向文件中，就有记录命令执行的时间了 。

五、Linux升级

yum -y update
#内核、OS版本、所有软件都会升级，会更改相关配置环境。由于系统与硬件的兼容性问题，有可能升级内核后导致服务器不能正常启动，这是非常可怕的，如果没有特别的需要，建议不要随意升级内核！所以运维人员对于生产服务器操作系统的升级要慎重。

如果不想升级内核及系统版本，则在执行yum update之前在 /etc/yum.conf 的 [main] 后面添加以下配置

• exclude=kernel*   #不升级内核
• exclude=centos-release*   #不升级系统

六、防火墙维护

CentOS7默认的防火墙不是iptables,而是firewalld，如果要使用iptables，
请参考下列方法：  
安装iptables iptables-services  
#先检查是否安装了iptables
service iptables status  
#安装iptables
yum install -y iptables
#安装iptables-services
yum install iptables-services  
#停止firewalld服务
systemctl stop firewalld  
#禁用firewalld服务
systemctl mask firewalld

五链：

五表：

linux防火墙基本使用：

#查看iptables现有规则
iptables -L –n  

#先设置默认规则，允许入站，再设置规则
iptables -P INPUT ACCEPT  

#清空所有默认规则
iptables –F  

#清空所有自定义规则
iptables –X  

#所有计数器归0
iptables -Z 

#允许来自于lo接口的数据包(本地访问)
iptables -A INPUT -i lo -j ACCEPT

#开放22端口
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

#开放21端口(FTP)
iptables -A INPUT -p tcp --dport 21 -j ACCEPT

#开放80端口(HTTP)
iptables -A INPUT -p tcp --dport 80 -j ACCEPT

#开放443端口(HTTPS)
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#允许ping
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT

#允许接受本机请求之后的返回数据 RELATED,是为FTP设置的
iptables -A INPUT -m state --state  RELATED,ESTABLISHED -j ACCEPT

#其他入站一律丢弃(默认规则)
iptables -P INPUT DROP

#所有出站一律绿灯(默认规则)
iptables -P OUTPUT ACCEPT

#所有转发一律丢弃(默认规则)
iptables -P FORWARD DROP

#如果要添加内网ip信任（接受其所有TCP请求）
iptables -A INPUT -p tcp -s ***.***.***.*** -j ACCEPT

#要封停一个IP，使用下面这条命令：
iptables -I INPUT -s ***.***.***.*** -j DROP

#要解封一个IP，使用下面这条命令:
iptables -D INPUT -s ***.***.***.*** -j DROP

# -----------------------------
#保存上述规则
service iptables save

#设置iptables开机启动
chkconfig iptables on(redhat6、centos6)
systemctl enable iptables.service(redhat7、centos7)

#重启服务
systemctl restart iptables.service(redhat7、centos7)
service iptables restart

#开启服务
systemctl start iptables.service(redhat7、centos7)
service iptables start

#查看状态
systemctl status iptables.service(redhat7、centos7)
service iptables status

本文来自360的一次安全讲座