Linux安全配置理解Linux安全配置維度掌握Linux安全配置的方法教學(xué)目標Linux安全配置簡介Linux的網(wǎng)絡(luò)配置Linux的日志和審計配置Linux的訪問認證和授權(quán)配置Linux的系統(tǒng)運維配置目錄Linux種類較多，常見的有Redhat、Ubuntu、Centos、SUSE等根據(jù)不同版本，其安全配置都不太相同，主要體現(xiàn)在以下三點配置文件所存放的路徑操作系統(tǒng)的命令操作系統(tǒng)自身的安全特性或工具本小節(jié)，我們以Centos7為例，進行安全配置講解，其它版本Linux可能存在安全配置方式不同，但整體配置的維度和原則是一致的。Linux安全配置簡介Centos安全配置維度安裝配置（默認配置即可）服務(wù)配置（默認配置即可）網(wǎng)絡(luò)配置日志和審計訪問、授權(quán)和認證系統(tǒng)運維Linux安全配置簡介Centos安全配置原則最小安全（最小安裝、最小權(quán)限）不影響業(yè)務(wù)可用（安全與業(yè)務(wù)的矛盾）職責(zé)分離審計記錄因為Centos安全配置較多，本文僅列舉部分典型代表，更多具體配置，可以參照相關(guān)國內(nèi)或國際標準，如等保、CIS等。Linux安全配置簡介禁用不使用的網(wǎng)絡(luò)協(xié)議禁用IPv6,，執(zhí)行以下命令sysctl-wnet.ipv6.conf.all.disable_ipv6=1sysctl-wnet.ipv6.conf.default.disable_ipv6=1sysctl-wnet.ipv6.route.flush=1

查看配置是否生效sysctlnet.ipv6.conf.all.disable_ipv6Linux安全配置--網(wǎng)絡(luò)配置禁用不使用的無線設(shè)備，因為Linux作為服務(wù)器工作時，無需使用無線查看無線設(shè)備iwlist查看當(dāng)前連接iplinkshowupLinux安全配置--網(wǎng)絡(luò)配置關(guān)閉網(wǎng)絡(luò)連接iplinkset<interface>down

這里以本地環(huán)回口lo為例，進行關(guān)閉Linux安全配置--網(wǎng)絡(luò)配置當(dāng)Linux作為獨立主機使用時，配置網(wǎng)絡(luò)關(guān)閉IP轉(zhuǎn)發(fā)，默認即關(guān)閉查看IP轉(zhuǎn)發(fā)配置sysctlnet.ipv4.ip_forward關(guān)閉IP轉(zhuǎn)發(fā)sysctl-wnet.ipv4.ip_forware=0Linux安全配置--網(wǎng)絡(luò)配置關(guān)閉數(shù)據(jù)包重定向查看重定向設(shè)置sysctlnet.ipv4.conf.all.send_redirects關(guān)閉重定向設(shè)置sysctl-wnet.ipv4.conf.all.send_redirects=0Linux安全配置--網(wǎng)絡(luò)配置開啟TCPSYN

Cookies功能TCPSYN功能某種程度上可以防止TCP的SYNDDOS攻擊。查看TCPSYNCookies功能sysctlnet.ipv4.tcp_syncookies開啟TCPSYNCookies功能sysctl-wnet.ipv4.tcp_syncookies=1Linux安全配置--網(wǎng)絡(luò)配置防火墻配置在Centos較新的版本中，引入了nftables內(nèi)核取代傳統(tǒng)netfilter內(nèi)核通常nftables和netfilter只用安裝一種即可?；趎etfilter，又有兩種前端操作工具，即firewalld和iptables本節(jié)我們以netfilter+firewalld進行操作講解Linux安全配置--網(wǎng)絡(luò)配置防火墻配置確定安裝了firewalld和iptables管理工具rpm-qfirewalldiptables安裝firewalld和iptablesyuminstallfirewalldiptablesLinux安全配置--網(wǎng)絡(luò)配置防火墻配置關(guān)閉iptables的服務(wù)管理（因為同時開啟iptables與firewalld會沖突）查看iptables服務(wù)rpm-qiptables-services如果已安裝，可以使用以下命令停止systemctlstopiptablesyumremoveiptables-servicesLinux安全配置--網(wǎng)絡(luò)配置確保沒有安裝nftables查看安裝nftables的狀態(tài)rpm-qnftables如果安裝，可以刪除yumremovenftablesLinux安全配置--網(wǎng)絡(luò)配置確保防火墻服務(wù)自動啟動，并正在運行查看firewalld狀態(tài)systemctlis-enabledfirewalld查看firewalld狀態(tài)（第二種方式）firewall-cmd--stateLinux安全配置--網(wǎng)絡(luò)配置開啟firewalldsystemctlunmaskfirewalldsystemctlenablefirewalld開啟防火墻，可能會導(dǎo)致網(wǎng)絡(luò)中斷，所以一定要分析清楚，當(dāng)前網(wǎng)絡(luò)連接與網(wǎng)絡(luò)配置，再來開啟防火墻Linux安全配置--網(wǎng)絡(luò)配置確定防火墻區(qū)域配置默認firewalld會創(chuàng)建一個名為public的區(qū)域區(qū)域代表防火墻中的信任等級，每一個接口都應(yīng)該屬于區(qū)域查看當(dāng)前區(qū)域，默認是publicfirewall-cmd--get-default-zoneLinux安全配置--網(wǎng)絡(luò)配置防火墻默認區(qū)域配置設(shè)置默認區(qū)域為publicfirewall-cmd--set-default-zone=public查看當(dāng)前活動的區(qū)域和接口firewall-cmd--get-active-zones設(shè)置接口到區(qū)域firewall-cmd--zone=public--change-interface=ens33Linux安全配置--網(wǎng)絡(luò)配置查看當(dāng)前允許的端口和服務(wù)firewall-cmd--list-all--zone=publicLinux安全配置--網(wǎng)絡(luò)配置關(guān)閉不需要的端口和服務(wù)關(guān)閉端口firewall-cmd--remove-port=<port-number>/<port-type>如：firewall-cmd--remove-port=25/tcp關(guān)閉服務(wù)firewall-cmd--remove-service=<service>如：firewall-cmd--remove-service=smtpLinux安全配置--網(wǎng)絡(luò)配置系統(tǒng)審核查看系統(tǒng)是否安裝審核服務(wù)rpm-qauditaudit-libs如果沒有安裝，而進行安裝yuminstallauditaudit-libsLinux安全配置--日志和審核系統(tǒng)審核查看審核服務(wù)是否開啟systemctlis-enabledauditd查看服務(wù)狀態(tài)systemctlstatusauditdLinux安全配置--日志和審計配置審計數(shù)據(jù)大小查看audit日志最大空間，默認單位為M如圖，顯示為8MLinux安全配置--日志和審計審計用戶和用戶組的操作查看當(dāng)前用戶和用戶組相關(guān)的操作記錄grepidentity/etc/audit/rules.d/*.rules當(dāng)前沒有任何相關(guān)配置配置記錄如下：vi/etc/audit/rules.d/identity.rules加入右圖內(nèi)容同樣，也可以輸入其他命令路徑Linux安全配置--日志和審計配置rsyslog日志rsyslog是取代syslog的新版本。rsyslog有一些優(yōu)秀的特性，比如使用tcp連接，可以將日志存儲到數(shù)據(jù)庫，可以加密傳輸日志等。確保系統(tǒng)安裝了rsyslogrpm-qrsyslog查看rsyslog服務(wù)狀態(tài)systemctlis-enabledrsyslogLinux安全配置--日志和審計確保日志正常輸入查看當(dāng)前日志目錄及日志權(quán)限，日志權(quán)限應(yīng)該為600（僅root可讀寫）ls-l/var/logLinux安全配置--日志和審計查看日志歸檔處理Linux系統(tǒng)使用logrotate按定期或指定大小進行歸檔處理確保logrotate正常的處理syslog日志查看是否存在文件ls/etc/logrotate.d/syslogLinux安全配置--日志和審計查看計劃任務(wù)的訪問授權(quán)stat/etc/crontab如圖展示了，僅root可以訪問計劃任務(wù)，且相關(guān)訪問時間。同理還應(yīng)檢查文件dailyhourlymonthlyweeklyLinux安全配置--訪問、認證和授權(quán)查看SSH配置文件權(quán)限因為SSH可以使用密鑰直接登錄，如果SSH配置文件權(quán)限限制不嚴格，則造成SSH提權(quán)檢查/etc/ssh/sshd_config的權(quán)限Linux安全配置--訪問、認證和授權(quán)配置允許通過SSH訪問的用戶使用以下命令查看當(dāng)前允許SSH訪問的用sshd-T|grep-E'^\s*(allow|deny)(users|groups)\s+\S+'如果輸出為空，說明沒有配置編輯文件/etc/ssh/sshd_config，配置僅允許sangfor用戶訪問在文件中加入以下行allowuserssangfor保存，退出，并重啟SSH服務(wù)。驗證生效。Linux安全配置--訪問、認證和授權(quán)配置SSH驗證失敗次數(shù)查看SSH驗證失敗次數(shù)sshd-T|grepmaxauthtries默認為6次，建議改為4次或更低編輯SSH配置文件修改即可vi/etc/ssh/sshd_configLinux安全配置--訪問、認證和授權(quán)禁止空密碼登錄SSHsshd-T|greppermitemptypasswords查看SSH支持的加密方式，確保不要出現(xiàn)如desmd5這類已經(jīng)不再安全的算法sshd-T|grepciphersLinux安全配置--訪問、認證和授權(quán)PAM模塊配置PAM（PluggableAuthenticationModules）是Linux中的認證管理模塊，所有認證相關(guān)可由PAM處理。密碼要求由/etc/security/pwquality.conf管理minlen=14，最小密碼長度mincalss=4，密碼復(fù)雜度，分別是是大寫字母、小寫字母、數(shù)字、符號Linux安全配置--訪問、認證和授權(quán)用戶賬戶和環(huán)境查看密碼過期時間，建議設(shè)為60，如圖為99999，顯然不合適grep^\s*PASS_MAX_DAYS/etc/login.defs查看用戶的過期時間grep-E'^[^:]+:[^!*]'/etc/shadow|cut-d:-f1,5Linux安全配置--訪問、認證和授權(quán)修改用戶過期時間方法一，編輯默認文件，中的PASS_MAX_DAYS值vi

/etc/login.defs方法二chage--maxdays365<user>Linux安全配置--訪問、認證和授權(quán)用戶賬戶和環(huán)境查看密碼最小天數(shù)（原理同windows密碼最小天數(shù)），建議設(shè)為1grep^\s*PASS_MIN_DAYS/etc/login.defs提示密碼過期時間，建議設(shè)置為7或更多查看方法如下Linux安全配置--訪問、認證和授權(quán)用戶賬戶和環(huán)境自動禁用賬號，建議設(shè)置為30天或更少當(dāng)用戶指定時間沒有使用時，自動禁用用戶查看useradd-D|grepINACTIVE配置方法useradd-D-f30Linux安全配置--訪問、認證和授權(quán)檢查文件/etc/p