Red Hat Linux系統安全加固

Redhat是目前企業中用的最多的一類Linux，而目前針對Redhat攻擊的駭客也越來越多了。我們要如何為這類伺服器做好安全加固工作呢?

一. 賬戶安全

1.1 鎖定系統中多餘的自建帳號

檢查方法:

執行命令

#cat /etc/passwd

#cat /etc/shadow

檢視賬戶、口令檔案，與系統管理員確認不必要的賬號。對於一些保留的系統偽帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據需要鎖定登陸。

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

#cp -p /etc/shadow /etc/shadow_bak

加固方法:

使用命令passwd -l <使用者名稱>鎖定不必要的賬號。

使用命令passwd -u <使用者名稱>解鎖需要恢復的賬號。

風險:

需要與管理員確認此項操作不會影響到業務系統的登入

1.2設定系統口令策略

檢查方法：

使用命令

#cat /etc/login.defs|grep PASS檢視密碼策略設定

備份方法：

cp -p /etc/login.defs /etc/login.defs_bak

加固方法：

#vi /etc/login.defs修改配置檔案

PASS_MAX_DAYS 90 #新建使用者的密碼最長使用天數

PASS_MIN_DAYS 0 #新建使用者的密碼最短使用天數

PASS_WARN_AGE 7 #新建使用者的密碼到期提前提醒天數

PASS_MIN_LEN 9 #最小密碼長度9

風險：無可見風險

1.3禁用root之外的超級使用者

檢查方法：

#cat /etc/passwd 檢視口令檔案，口令檔案格式如下：

login_name：password：user_ID：group_ID：comment：home_dir：command

login_name：使用者名稱

password：加密後的使用者密碼

user_ID：使用者ID，(1 ~ 6000) 若使用者ID=0，則該使用者擁有超級使用者的許可權。檢視此處是否有多個ID=0。

group_ID：使用者組ID

comment：使用者全名或其它註釋資訊

home_dir：使用者根目錄

command：使用者登入後的執行命令

備份方法：

#cp -p /etc/passwd /etc/passwd_bak

加固方法：

使用命令passwd -l <使用者名稱>鎖定不必要的超級賬戶。

使用命令passwd -u <使用者名稱>解鎖需要恢復的超級賬戶。

風險：需要與管理員確認此超級使用者的用途。

1.4 限制能夠su為root的使用者

檢查方法：

#cat /etc/pam.d/su,檢視是否有auth required /lib/security/pam_wheel.so這樣的配置條目

備份方法：#cp -p /etc/pam.d /etc/pam.d_bak

加固方法：

#vi /etc/pam.d/su

在頭部新增：

auth required /lib/security/pam_wheel.so group=wheel

這樣，只有wheel組的使用者可以su到root

#usermod -G10 test 將test使用者加入到wheel組

應邀回答行業問題

Linux系統廣泛被應用在伺服器上，伺服器儲存著公司的業務資料，對於網際網路公司資料的安全至關重要，各方面都要都要以安全為最高優先順序，不管是伺服器在雲端還在公司區域網內，都要慎之又慎。

如果駭客入侵到公司的Linux伺服器上，執行下面的命令，好吧，這是要徹底摧毀的節奏，5分鐘後你只能呵呵的看著伺服器了，為什麼要seek呢？給你留個MBR分割槽。

dd if=/dev/zero of=/dev/sda bs=4M seek=1

Linux系統的安全加固可分為系統加固和網路加固，每個企業的業務需求都不一樣，要根據實際情況來配置。比如SSH安全、賬戶弱口令安全、環境安全、關閉無用服務、開啟防火牆等，已經Centos7為例，簡單說下linux系統SSH網路安全加固。

SSH安全

將ssh服務的預設埠22修改為其他埠，並限制root使用者登陸，配置firewall允許ssh埠透過。

[root@api ~]#sed -i "s#Port 22#Port 6022#" /etc/ssh/sshd_config[root@api ~]#echo "PermitRootLogin no" /etc/ssh/sshd_config

[root@api ~]# firewall-cmd --zone=public --add-port=6022/tcp --permanent

[root@api ~]# firewall-cmd --reload

限制訪問ssh的使用者和IP

[root@api ~]#echo "AllowUsers NAME" >>/etc/ssh/sshd_config

[root@api ~]# echo "sshd:xxx..x.x:allow" >>/etc/

hosts.allow

[root@api ~]# systemctl restart sshd

禁止ping測試伺服器，禁止IP偽裝。

[root@api ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

[root@api ~]# echo nospoof on >> /etc/host.conf

Linux系統安全加固還有很多，想要繼續可以查閱資料。