Linux服務器安全配置

盡人皆知，網絡安全是1個非常重要的課題，而服務器是網絡安全中最關鍵的環(huán)節(jié)。Linux被認為是1個比較安全的Internet服務器，作為1種開放源代碼操作系統(tǒng)，1旦Linux系統(tǒng)中發(fā)現(xiàn)有安全漏洞，Internet上來自世界各地的志愿者會積極修補它。但是，系統(tǒng)管理員常常不能及時地得到信息并進行更正，這就給黑客以可乘之機。相對這些系統(tǒng)本身的安全漏洞，更多的安全問題是由不當?shù)呐渲冕劤傻模梢酝ㄟ^適當?shù)呐渲脕肀苊狻?a href="http://www.vxbq.cn/server/" target="_blank">服務器上運行的服務越多，不當?shù)呐渲贸霈F(xiàn)的機會也就越多，出現(xiàn)安全問題的可能性就越大。對此，下面將介紹1些增強Linux/Unix服務器系統(tǒng)安全性的知識。

　 1、系統(tǒng)安全記錄文件
　操作系統(tǒng)內部的記錄文件是檢測是不是有網絡入侵的重要線索。如果您的系統(tǒng)是直接連到Internet，您發(fā)現(xiàn)有很多人對您的系統(tǒng)做Telnet/FTP登錄嘗試，可以運行\(zhòng)"#more /var/log/secure | grep refused\"來檢查系統(tǒng)所遭到的攻擊，以便采取相應的對策，如使用SSH來替換Telnet/rlogin等。

　 2、啟動和登錄安全性
　 1．BIOS安全
　 設置BIOS密碼且修改引導次序制止從軟盤啟動系統(tǒng)。
　 2．用戶口令
　用戶口令是Linux安全的1個基本出發(fā)點，很多人使用的用戶口令過于簡單，這等于給侵入者敞開了大門，雖然從理論上說，只要有足夠的時間和資源可以利用，就沒有不能破解的用戶口令，但選獲得當?shù)目诹钍请y于破解的。較好的用戶口令是那些只有他自己容易記得并理解的1串字符，并且絕對不要在任何地方寫出來。
　 3．默許賬號
　應當制止所有默許的被操作系統(tǒng)本身啟動的并且沒必要要的賬號，當您第1次安裝系統(tǒng)時就應當這么做，Linux提供了很多默許賬號，而賬號越多，系統(tǒng)就越容易遭到攻擊。
　 可以用下面的命令刪除賬號。
　 # userdel用戶名
　 或用以下的命令刪除組用戶賬號。
　 # groupdel username
　 4．口令文件
　 chattr命令給下面的文件加上不可更改屬性，從而避免非授權用戶取得權限。
　 # chattr +i /etc/passwd
　 # chattr +i /etc/shadow
　 # chattr +i /etc/group
　 # chattr +i /etc/gshadow
　 5．制止Ctrl+Alt+Delete重新啟動機器命令
　 修改/etc/inittab文件，將\"ca::ctrlaltdel:/sbin/shutdown -t3 -r now\"1行注釋掉。然后重新設置/etc/rc.d/init.d/目錄下所有文件的許可權限，運行以下命令：
　 # chmod -R 700 /etc/rc.d/init.d/*
　 這樣便唯一root可以讀、寫或履行上述所有腳本文件。
　 6．限制su命令
　如果您不想任何人能夠su作為root，可以編輯/etc/pam.d/su文件，增加以下兩行：
　 auth sufficient /lib/security/pam_rootok.so debug
　 auth required /lib/security/pam_wheel.so group=isd
　這時候，僅isd組的用戶可以su作為root。爾后，如果您希望用戶admin能夠su作為root，可以運行以下命令：
　 # usermod -G10 admin
　 7．刪減登錄信息
　默許情況下，登錄提示信息包括Linux發(fā)行版、內核版本名和服務器主機名等。對1臺安全性要求較高的機器來講這樣泄漏了過量的信息。可以編輯/etc/rc.d/rc.local將輸出系統(tǒng)信息的以下行注釋掉。
　 # This will overwrite /etc/issue at every boot. So， make any changes you
　 # want to make to /etc/issue here or you will lose them when you reboot.
　 # echo \"\" > /etc/issue
　 # echo \"$R\" >> /etc/issue
　 # echo \"Kernel $(uname -r) on $a $(uname -m)\" >> /etc/issue
　 # cp -f /etc/issue /etc/issue.net
　 # echo >> /etc/issue
　 然后，進行以下操作：
　 # rm -f /etc/issue
　 # rm -f /etc/issue.net
　 # touch /etc/issue
　 # touch /etc/issue.net

　 3、限制網絡訪問
　 1．NFS訪問
　如果你使用NFS網絡文件系統(tǒng)服務，應當確保您的/etc/exports具有最嚴格的訪問權限設置，也就是意味著不要使用任何通配符、不允許root寫權限并且只能安裝為只讀文件系統(tǒng)。編輯文件/etc/exports并加入以下兩行。
　 /dir/to/export host1.mydomain.com(ro，root_squash)
　 /dir/to/export host2.mydomain.com(ro，root_squash)
　 /dir/to/export 是您想輸出的目錄，host.mydomain.com是登錄這個目錄的機器名，ro意味著mount成只讀系統(tǒng)，root_squash制止root寫入該目錄。為了使改動生效，運行以下命令。
　 # /usr/sbin/exportfs -a
　 2．Inetd設置
　首先要確認/etc/inetd.conf的所有者是root，且文件權限設置為600。設置完成后，可使用\"stat\"命令進行檢查。
　 # chmod 600 /etc/inetd.conf
　 然后，編輯/etc/inetd.conf制止以下服務。
　 ftp telnet shell login exec talk ntalk imap pop⑵ pop⑶ finger auth
　如果您安裝了ssh/scp，也能夠制止掉Telnet/FTP。為了使改變生效，運行以下命令：
　 #killall -HUP inetd
　默許情況下，多數(shù)Linux系統(tǒng)允許所有的要求，而用TCP_WRAPPERS增強系統(tǒng)安全性是舉手之勞，您可以修改/etc/hosts.deny和/etc/hosts.allow來增加訪問限制。例如，將/etc/hosts.deny設為\"ALL: ALL\"可以默許謝絕所有訪問。然后在/etc/hosts.allow文件中添加允許的訪問。例如，\"sshd: 192.168.1.10/255.255.255.0 gate.openarch.com\"表示允許IP地址192.168.1.10和主機名gate.openarch.com允許通過SSH連接。
　 配置完成后，可以用tcpdchk檢查:
　 # tcpdchk
　 tcpchk是TCP_Wrapper配置檢查工具，它檢查您的tcp wrapper配置并報告所有發(fā)現(xiàn)的潛伏/存在的問題。
　 3．登錄終端設置
　 /etc/securetty文件指定了允許root登錄的tty裝備，由/bin/login程序讀取，其格式是1個被允許的名字列表，您可以編輯/etc/securetty且注釋掉以下的行。
　 #tty1
　 # tty2
　 # tty3
　 # tty4
　 # tty5
　 # tty6
　 這時候，root僅可在tty1終端登錄。
　 4．避免顯示系統(tǒng)和版本信息。
　如果您希望遠程登錄用戶看不到系統(tǒng)和版本信息，可以通過1下操作改變/etc/inetd.conf文件：
　 telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
　 加-h表示telnet不顯示系統(tǒng)信息，而僅僅顯示\"login:\"

　 4、避免攻擊
　 1．禁止ping 如果沒人能ping通您的系統(tǒng)，安全性自然增加了。為此，可以在/etc/rc.d/rc.local文件中增加以下1行：
　 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
　 2．避免IP欺騙
　 編輯host.conf文件并增加以下幾行來避免IP欺騙攻擊。
　 order bind，hosts
　 multi off
　 nospoof on
　 3．避免DoS攻擊
　對系統(tǒng)所有的用戶設置資源限制可以避免DoS類型攻擊。如最大進程數(shù)和內存使用數(shù)量等。例如，可以在/etc/security/limits.conf中添加以下幾行：
　 * hard core 0
　 * hard rss 5000
　 * hard nproc 20
　 然后必須編輯/etc/pam.d/login文件檢查下面1行是不是存在。
　 session required /lib/security/pam_limits.so

　上面的命令制止調試文件，限制進程數(shù)為50并且限制內存使用為5MB。

8.禁止任何人su作為root

如果你不想任何人能夠su作為root,你能編輯/etc/pam.d/su加下面的行：

10.修改ssh服務的sshd 端口

ssh默許會監(jiān)聽在22端口，你可以修改至6022端口以避過常規(guī)的掃描。
注意：修改端口毛病可能會致使你下次連不到服務器，可以先同時開著22和6022兩個端口，然后再關掉22端口；
重啟sshd不會彈掉你當前的連接，可以另外開1個客戶端來測試服務;

重啟iptables 服務

詳細參考：
Linux操作系統(tǒng)下SSH默許22端口修改方法

　經過以上的設置，你的Linux服務器已可以對絕大多數(shù)已知的安全問題和網絡攻擊具有免疫能力，但1名優(yōu)秀的系統(tǒng)管理員依然要時刻注意網絡安全動態(tài)，隨時對已暴露出的和潛伏安全漏洞進行修補。

11.關閉系統(tǒng)不使用的服務：

cd /etc/init.d #進入到系統(tǒng)init進程啟動目錄
在這里有兩個方法，可以關閉init目錄下的服務，

1、將init目錄下的文件名mv成*.old類的文件名，即修改文件名，作用就是在系統(tǒng)啟動的時候找不到這個服務的啟動文件。

2、使用chkconfig系統(tǒng)命令來關閉系統(tǒng)啟動等級的服務。

注：在使用以下任何1種方法時，請先檢查需要關閉的服務是不是是本服務器特別需要啟動支持的服務，以防關閉正常使用的服務。

使用chkcofig命令來關閉不使用的系統(tǒng)服務 (level前面為2個減號)要想在修改啟動腳本前了解有多少服務正在運行，輸入：

然后修改啟動腳本后，重啟系統(tǒng)，再次輸入上面的命令，便可計算出減少了多少項服務。越少服務在運行，安全性就越好。另外運行以下命令可以了解還有多少服務在運行：

批量方式先停止服務

for i in acpid anacron apmd atd auditd autofs avahi-daemon avahi-dnsconfd bluetooth cpuspeed cups dhcpd firstboot gpm haldaemon hidd ip6tables ipsec isdn kudzu lpd mcstrans messagebus microcode_ctl netfs nfs nfslock nscd pcscd portmap readahead_early restorecond rpcgssd rpcidmapd rstatd sendmai
l setroubleshoot snmpd sysstat xfs xinetd yppasswdd ypserv yum-updatesd ;do service $i stop;done

關閉啟動服務

for i in acpid anacron apmd atd auditd autofs avahi-daemon avahi-dnsconfd bluetooth cpuspeed cups dhcpd firstboot gpm haldaemon hidd ip6tables ipsec isdn kudzu lpd mcstrans messagebus microcode_ctl netfs nfs nfslock nscd pcscd portmap readahead_early restorecond rpcgssd rpcidmapd rstatd sendmai
l setroubleshoot snmpd sysstat xfs xinetd yppasswdd ypserv yum-updatesd ;do chkconfig $i off;done

以下為手動方式及解釋,履行批量方式后不需再履行了

如果不指定--level 單用on和off開關，系統(tǒng)默許只對運行級3，4，5有效

需要保存的服務

由于有些服務已運行，所以設置完后需重啟

語法：chkconfig [--add][--del][--list][系統(tǒng)服務] 或 chkconfig [--level <等級代號>][系統(tǒng)服務][on/off/reset]

補充說明：這是Red Hat公司遵守GPL規(guī)則所開發(fā)的程序，它可查詢操作系統(tǒng)在每個履行等級中會履行哪些系統(tǒng)服務，其中包括各類常駐服務。

參數(shù)：

12.禁止系統(tǒng)響應任何從外部/內部來的ping要求

既然沒有人能ping通你的機器并收到響應，你可以大大增強你的站點的安全性。你可以加下面的1行命令到/etc/rc.d/rc.local，以使每次啟動后自動運行。

13.修改“/etc/host.conf”文件

第1項設置首先通過DNS解析IP地址，然后通過hosts文件解析。第2項設置檢測是不是“/etc/hosts”文件中的主機是不是具有多個IP地址（比如有多個以太口網卡）。第3項設置說明要注意對本機未經許可的電子欺騙。

14.不允許從不同的控制臺進行root登陸

"/etc/securetty"文件允許你定義root用戶可以從那個TTY裝備登陸。你可以編輯"/etc/securetty"文件，再不需要登陸的TTY裝備前添加“#”標志，來制止從該TTY裝備進行root登陸。

在/etc/inittab文件中有以下1段話：

系統(tǒng)默許的可使用6個控制臺，即Alt+F1,Alt+F2...，這里在3，4，5，6前面加上“#”，注釋該句話，這樣現(xiàn)在只有兩個控制臺可供使用，最好保存兩個。然后重新啟動init進程，改動便可生效！

15.制止Control-Alt-Delete鍵盤關閉命令

16.用chattr命令給下面的文件加上不可更改屬性。

【注：chattr是改變文件屬性的命令，參數(shù)i代表不得任意更動文件或目錄,此處的i為不可修改位(immutable)。查看方法：lsattr /etc/passwd，撤消為chattr –i /etc/group】

補充說明：這項指令可改變寄存在ext2文件系統(tǒng)上的文件或目錄屬性，這些屬性共有以下8種模式：

參數(shù)：

17.給系統(tǒng)服務端口列表文件加鎖

主要作用：避免未經許可的刪除或添加服務

18.系統(tǒng)文件權限修改

Linux文件系統(tǒng)的安全主要是通過設置文件的權限來實現(xiàn)的。每個Linux的文件或目錄，都有3組屬性，分別定義文件或目錄的所有者，用戶組和其他人的使用權限（只讀、可寫、可履行、允許SUID、允許SGID等）。特別注意，權限為SUID和SGID的可履行文件，在程序運行進程中，會給進程賦予所有者的權限，如果被黑客發(fā)現(xiàn)并利用就會給系統(tǒng)造成危害。

(1)修改init目錄文件履行權限：

(2)修改部份系統(tǒng)文件的SUID和SGID的權限：

(3)修改系統(tǒng)引導文件

19.增加dns

20.hostname 修改

21.selinux 修改

開啟selinux可以增加安全性，但裝軟件時可能會遇到1些奇怪問題
以下是關閉方法

改成disabled

22.關閉ipv6

重啟服務

關閉自動啟動

23.設置iptables

iptables 默許安全規(guī)則腳本

重啟系統(tǒng)

以上大部份設置可以運行腳本來完成。linux安全設置快捷腳本

設置完成后重啟系統(tǒng)

其它設置項

linux調劑系統(tǒng)時區(qū)/時間的方法

把/usr/share/zoneinfo里相應的時區(qū)與/etc/localtime做個軟link.比如使用上海時區(qū)的時間:ln -s /usr/share/zoneinfo/Asia/Shanghai /etc/localtime 如果要使用UTC計時方式，則應在/etc/sysconfig/clock文件里改UTC=TRUE 時間的設置: 使用date 命令加s參數(shù)修改，注意linux的時間格式為"月日時分年",也能夠只修改時間date -s 22:30:20,如果修改的是年月日和時間，格式為"月日時分年.秒",2007-03⑴8 11:01:56則應寫為"date -s 031811012007.56 硬件時間與當前時間更新: hwclock --systohc 如果硬件記時用UTC,則為 hwclock --systohc --utc

linux調劑系統(tǒng)時區(qū)/時間的方法

1) 找到相應的時區(qū)文件

用這個文件替換當前的/etc/localtime文件。
步驟： cp –i /usr/share/zoneinfo/Asia/Shanghai /etc/localtime

選擇覆蓋

2) 修改/etc/sysconfig/clock文件，修改成：

3)
時間設定成2005年8月30日的命令以下：

將系統(tǒng)時間設定成下午6點40分0秒的命令以下：

4)同步BIOS時鐘，強迫把系統(tǒng)時間寫入CMOS，命令以下：

安裝ntpd

設置語言

英文語言，中文支持

tmpwatch 定時清除

假定服務器自定義了php的session和upload目錄

11.關閉系統(tǒng)不使用的服務：

cd /etc/init.d #進入到系統(tǒng)init進程啟動目錄
在這里有兩個方法，可以關閉init目錄下的服務，

1、將init目錄下的文件名mv成*.old類的文件名，即修改文件名，作用就是在系統(tǒng)啟動的時候找不到這個服務的啟動文件。

2、使用chkconfig系統(tǒng)命令來關閉系統(tǒng)啟動等級的服務。

注：在使用以下任何1種方法時，請先檢查需要關閉的服務是不是是本服務器特別需要啟動支持的服務，以防關閉正常使用的服務。

使用chkcofig命令來關閉不使用的系統(tǒng)服務 (level前面為2個減號)要想在修改啟動腳本前了解有多少服務正在運行，輸入：

然后修改啟動腳本后，重啟系統(tǒng)，再次輸入上面的命令，便可計算出減少了多少項服務。越少服務在運行，安全性就越好。另外運行以下命令可以了解還有多少服務在運行：

批量方式先停止服務

for i in acpid anacron apmd atd auditd autofs avahi-daemon avahi-dnsconfd bluetooth cpuspeed cups dhcpd firstboot gpm haldaemon hidd ip6tables ipsec isdn kudzu lpd mcstrans messagebus microcode_ctl netfs nfs nfslock nscd pcscd portmap readahead_early restorecond rpcgssd rpcidmapd rstatd sendmai
l setroubleshoot snmpd sysstat xfs xinetd yppasswdd ypserv yum-updatesd ;do service $i stop;done

關閉啟動服務

for i in acpid anacron apmd atd auditd autofs avahi-daemon avahi-dnsconfd bluetooth cpuspeed cups dhcpd firstboot gpm haldaemon hidd ip6tables ipsec isdn kudzu lpd mcstrans messagebus microcode_ctl netfs nfs nfslock nscd pcscd portmap readahead_early restorecond rpcgssd rpcidmapd rstatd sendmai
l setroubleshoot snmpd sysstat xfs xinetd yppasswdd ypserv yum-updatesd ;do chkconfig $i off;done

以下為手動方式及解釋,履行批量方式后不需再履行了

如果不指定--level 單用on和off開關，系統(tǒng)默許只對運行級3，4，5有效

需要保存的服務

由于有些服務已運行，所以設置完后需重啟

語法：chkconfig [--add][--del][--list][系統(tǒng)服務] 或 chkconfig [--level <等級代號>][系統(tǒng)服務][on/off/reset]

補充說明：這是Red Hat公司遵守GPL規(guī)則所開發(fā)的程序，它可查詢操作系統(tǒng)在每個履行等級中會履行哪些系統(tǒng)服務，其中包括各類常駐服務。

參數(shù)：

21.selinux 修改

開啟selinux可以增加安全性，但裝軟件時可能會遇到1些奇怪問題
以下是關閉方法

改成disabled