仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 769|回复: 9
打印 上一主题 下一主题

[CentOS(社区)] 带来一篇CentOS体系浅易宁静加固计划

[复制链接]
谁可相欹 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-14 20:20:07 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的好朋友们!讲到linux体系账户的办理和宁静,就必需触及/etc/passwd/etc/shadow这2个文件
这里以截图中笔墨申明的体例,来剖析这2个文件的内容,而且给出一些有用的宁静加固计划

注重,本文会延续更新,后续到场的内容都以间接上传截图的情势出现,但愿如许能更切近实践运维情况事情者的需求。




《删除或锁定体系内建的用户账户,组账户》

体系内建的一些账户大概会让进侵变得更简单,由于这些账户扩展了体系的受打击面。能够经由过程删除,锁定,大概正文的***来加固账户宁静。
操纵触及的文件有:
/etc/passwd
/etc/shadow
/etc/group
在修正之前,倡议对下面3个文件作备份,并且只管将文件正本存储在挪动存储装备如U盘,挪动硬盘,大概收集云盘下面。一旦体系呈现和账户相干的妨碍,将正本交换原本的文件,如许就可以规复:

[root@centos6-5vm桌面]#mkdir/backup
[root@centos6-5vm桌面]#cp-p/etc/passwd/backup/passwd_backup
[root@centos6-5vm桌面]#cp-p/etc/shadow/backup/shadow_backup
[root@centos6-5vm桌面]#cp-p/etc/group/backup/group_backup



将当地文件体系的/backup/目次下的这三个正本存储到下面说起的各类存储介质中,记着,不要把鸡蛋放在统一个篮子里。
后续的修正都是对原有文件举行的,必要从正本复原时,实行上面操纵:
[root@centos6-5vm桌面]#mv/backup/passwd_backup/etc/passwd
[root@centos6-5vm桌面]#mv/backup/shadow_backup/etc/shadow
[root@centos6-5vm桌面]#mv/backup/group_backup/etc/group




这会交换失落存在毛病设置的原有文件。举个例子来考证:




有了下面的测试包管,我们就能够持续举行和用户账户相干的宁静设置:
批量删除passwd文件前4~10行的用户,这些一般很罕用到:

[root@centos6-5vm桌面]#foriinadmlpsyncshutdownhaltmailuucpoperatorgamesgopherftp;douserdel$i;done



其开端有个ftp账户,假如往后有搭建FTP办事器的需求,如vsftpd等,能够将该账户保存上去,不要删除。

要批量删除group文件中的过剩用户组,利用和下面相似的单行shell剧本:
[root@centos6-5vm桌面]#foriinadmlpmailnewsuucpgamesdippppuserspopusersslipusers;dogroupdel$i;done




注重,取决于你的体系情况,有些用户和组也许初始就没有创立,这里仅是给出一切大概存在而且必要删除的用户和组。
假如你不想删除这些用户和组,然后在需要时用备份文件来复原,那末最少,要在本来的文件中,正文失落,大概锁定这些账户和组。关于正文,人人城市,上面次要说一下怎样锁定:
锁定:passwd-l[用户名]
解锁:passwd-u[用户名]
也能够把这个下令交换失落后面单行shell剧本中的userdel下令,完成批量锁定息争锁。
最初提示一下,处于锁定形态的账户,在shadow文件的第二列,会显现!!,标明其处于锁定形态,解锁后才干登录体系。
而且,只要根用户(root)才有权限实行锁定息争锁操纵。

《封闭SELinux》

在刚装置完成体系的初度设置时候,假如把SELinux设置成“开启”或着“强迫”,能够经由过程以下举措来禁用:
[root@centos6-5vm桌面]#ls-ail/etc/selinux/config
262465-rw-r--r--.1rootroot4586月2516:58/etc/selinux/config
[root@centos6-5vm桌面]#vim/etc/selinux/config




将SELINUX=一行前面的值设为disable,保留加入vim,重启体系后设置永世失效。

在不修正/etc/selinux/config的条件下,要当即失效不重启(重启生效),实行上面下令:
该下令把SELlinux设置为Permissive形式,即是临时封闭

[root@centos6-5vm桌面]#setenforce0




要临时开启SELlinux(即是设置为Enforcing形式),实行上面下令:
[root@centos6-5vm桌面]#setenforce1




别的一种封闭的举措是:在GRUB(引诱加载步伐)的启动参数后增加selinux=0

《修正内核参数加固体系》

默许情形下,关于别的呆板发送的带icmp回显哀求的ping数据包,centos前往带icmp回显应对的数据包,可是这类做法会招致宁静隐患,由于收集上的歹意打击者能够依据ping前往的信息判别方针呆板是不是在线上,进而接纳后续的端口扫描等打击。
因而,我们必要修正linux内核的TCP/IP协定仓库的参数,克制向别的呆板前往icmp回显应对数据包,从而减缓基于主机发明的自觉ping踩点,至于为何仅是“减缓”,后文我们会提到。
修正相干设置文件:
[root@centos6-5桌面]#vim/etc/sysctl.conf



在文件中到场上面内容:
net.ipv4.icmp_echo_ignore_all=1






依据该文件首行的正文申明,能够懂得到,二进制值为1,暗示激活某项特征;二进制值为0,暗示禁用某项特征。下面就是激活“疏忽一切近程的icmp回显哀求”特征。
这类修正设置文件的体例,必要在重启体系后才干失效,可是关于在线上临盆情况的办事器而言,是不克不及随便重启的,会招致营业中止,乃至丧失用户正在发送过去的数据。
因而,利用上面的下令来让对设置文件的修正当即失效:
[root@centos6-5桌面]#sysctl-p







考证一下参数是不是失效,上面实行测试的固然是假造机,可是了局与实在情况的呆板并没有二致。
centos呆板的IP地点是192.168.1.20
发送ping数据包的windowsxp呆板IP地点是192.168.1.30
能够看到,windowsxp发送的4个ping数据包均前往了哀求超时的了局,丢包率100%。



再以浸透测试业界出名的BackTrack5平台举行检测:

固然,任何略微有履历的浸透测试师大概黑客,都不会利用BT5的ping工具,由于它
不克不及准确反应出一个方针呆板的宁静性,相反,被普遍利用的Nmap,能够揭发出方针呆板的宁静级别仍然有待增强:



下面的例子仅仅是举一反三,但愿列位年夜牛能触类旁通。
别的提一下,关于/etc/sysctl.conf中的内核参数,假如是开启和封闭性子的,最好不要经由过程“正文”的体例来禁用或激活,由于如许要重启体系,对照贫苦,应当利用该文件官方保举的举措:将其值设为0或1,保留加入vim,
然后以下令sysctl-p让设置当即失效便可。仍是以下面为例子:


持续后面的话题:在没有翻开防火墙的情形下,仅仅是在/etc/sysctl.conf中增加了克制本机回应近程ping数据包的参数,那末打击者能够间接以Nmap运转端口扫描来列举办事版本。
因而,必需开启centos6.5的iptables防火墙。
上面我们将看到,只需开启iptables,接纳其默许划定规矩:同意一切进站偏向对当地开启的办事监听端口的套接字倡议的毗连,那末即使没有封闭响应办事,Nmap的扫描也不会失掉可使用的信息:
起首,依据Nmap的扫描了局,我们晓得本机上开放了TCP111,443,902等端口和响应办事(请参考下面截图),能够用lsof共同netstat下令确认:
[root@centos6-5桌面]#lsof-i:111
[root@centos6-5桌面]#netstat-antupeo|grep111
[root@centos6-5桌面]#lsof-i:902
[root@centos6-5桌面]#netstat-antupeo|grep902
[root@centos6-5桌面]#lsof-i:443






注重,我们不利用service[service]stop和
ps-ef|grep[PID]&&kill-9[PID]
等相似下令来封闭办事和端口,而是间接启动iptables防火墙:



没有出格修正iptables防火墙的划定规矩,利用默许战略的情形下,制止了nmap的各类基于设置了TCP分段标记位的探测数据包:



关于那些间接曝露在因特网上对用户供应特定办事(HTTP/S,FTP等)的linux主机来说:准确的,强健的,可操纵性强的iptables防火墙宁静战略划定规矩设置,显得十分关头;
可是如今多半构造企业利用自带防火墙的路由器
(比方各类范例的ciscoIOS防火墙,ASA,PIX防火墙,别的厂商的硬件防火墙,硬件负载平衡等装备),安排在用于公网会见的办事器前端,而且还分别出DMZ(所谓的非军事进攻区),来与内网呆板断绝,设置地区之间的宁静级别。。。各种加固手腕让在linux主机上开启iptables的做法显很多余(除非内网已被浸透,开启iptables能够避免打击者的“横向”提权进侵),并且会影响办事器功能,因而,倡议实行以下下令将其封闭:

[root@centos6-5桌面]#serviceiptablesstop&&chkconfig--level2345iptablesoff




重启体系后,不管进进带x-window的多用户形式,仍是shell终真个多用户形式,
iptables都不会启动。

能够将上面这些内核参数增加到/etc/sysctl.conf文件中,必要夸大的是,个中局部参数,我没有做过测试,倡议慎用,局部对该参数的注释征引互联网上被普遍转载的文章,这里不合错误其滥用酿成的,包含但不限于营业丧失,数据丧失等,负任何功令上的义务。
和特定参数注释相干的背景常识,参考这篇博文:
http://shayi1983.blog.51cto.com/4681835/1434989

最好先在假造机情况中对这些参数举行功能,基准测试,细心评价后,再把它增加到实践的临盆办事器上:

net.ipv4.tcp_fin_timeout=30
#当当地发送(发送端)带FIN标识位的TCP分段,请求封闭毗连时,假如吸收端另有数据要传给发送端,那末发送端应当坚持开启用于吸收对方数据的TCP通讯管道(套接字)的工夫(TCP无限形态机坚持在FIN-WAIT-2,即处于半封闭形态的工夫),
这里将其设置为30秒,超时后,发送端将封闭毗连,此时从对方传输过去的数据会丧失。
关于邮件办事器,这个值设为30秒是符合的,由于此时请求封闭的是办事器,而一般客户端不会有还未传完的数据要传,并且办事器要并发撑持多个客户端,因而,在内核层面,只给每一个客户端30秒的工夫来处置还没有发送的数据包。

内核参数中与收集宁静,体系优化相干的另有良多,前面会连续先容,作为运维职员,应当充实了解这些体系底层的参数是怎样影响你的使用层营业,用户体验,办事器高可用,不乱,和宁静的,这对提拔本身中心合作力无疑有极年夜匡助。
欢迎大家来到仓酷云论坛!
谁可相欹 该用户已被删除
沙发
 楼主| 发表于 2015-1-16 08:29:50 | 只看该作者

带来一篇CentOS体系浅易宁静加固计划

虽然大家都比较喜欢漂亮的mm,但是在学linux的过程中,还是要多和“男人”接触一下:P遇到问题的时候,出来看说和上网查之外,就是要多用linux下的man命令找找帮助。
admin 该用户已被删除
板凳
发表于 2015-1-18 17:21:27 | 只看该作者
下面看看一个让人无法回答的问题:“救命各位高手,向你们请教一些问题:如何在Linux下配制HTTP、FTP、Samba、DNS、DHCP、Sendmail服务器,谢谢”这样的问题。
海妖 该用户已被删除
地板
发表于 2015-1-27 14:43:13 | 只看该作者
即便是非英语国家的人发布技术文档,Linux也都首先翻译成英语在国际学术杂志和网络上发表。
兰色精灵 该用户已被删除
5#
发表于 2015-2-5 14:46:32 | 只看该作者
Linux的成功就在于用最少的资源最短的时间实现了所有功能,这也是符合人类进化的,相信以后节能问题会日益突出。
透明 该用户已被删除
6#
发表于 2015-2-12 10:21:42 | 只看该作者
感谢老师和同学们在学习上对我的帮助。
因胸联盟 该用户已被删除
7#
发表于 2015-3-3 03:38:04 | 只看该作者
Linux高手更具有鼓励新手的文化精神。如何在Linux社区获得帮助,需要说明的是你要有周全的思考,准备好你的问题,不要草率的发问。
灵魂腐蚀 该用户已被删除
8#
发表于 2015-3-11 10:02:28 | 只看该作者
了解Linux的网络安全,系统的安全,用户的安全等。安全对于每位用户,管理员来说是非常重要的。
愤怒的大鸟 该用户已被删除
9#
发表于 2015-3-18 12:37:21 | 只看该作者
清楚了解网络的基础知识,特别是在Linux下应用知识,如接入internet等等。
莫相离 该用户已被删除
10#
发表于 2015-3-26 08:42:12 | 只看该作者
Linux是参照Unix思想设计的,理解掌握Linux必须按照Unix思维来进行。思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 17:22

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表