[[186977]]

1.概述

Linux服務(wù)器版本：RedHat Linux AS 2.1

對(duì)于開(kāi)放式的操作系統(tǒng)---Linux，系統(tǒng)的安全設(shè)定包括系統(tǒng)服務(wù)最小化、限制遠(yuǎn)程存取、隱藏重要資料、修補(bǔ)安全漏洞、采用安全工具以及經(jīng)常性的安全檢查等。

本文主要從用戶設(shè)置、如何開(kāi)放服務(wù)、系統(tǒng)優(yōu)化等方面進(jìn)行系統(tǒng)的安全配置，以到達(dá)使Linux服務(wù)器更安全、穩(wěn)定。

2.用戶管理

在Linux系統(tǒng)中，用戶帳號(hào)是用戶的身份標(biāo)志，它由用戶名和用戶口令組成。

系統(tǒng)將輸入的用戶名存放在/etc/passwd文件中，而將輸入的口令以加密的形式存放在/etc/shadow文件中。

在正常情況下，這些口令和其他信息由操作系統(tǒng)保護(hù)，能夠?qū)ζ溥M(jìn)行訪問(wèn)的只能是超級(jí)用戶(root)和操作系統(tǒng)的一些應(yīng)用程序。但是如果配置不當(dāng)或在一些系統(tǒng)運(yùn)行出錯(cuò)的情況下，這些信息可以被普通用戶得到。進(jìn)而，不懷好意的用戶就可以使用一類被稱為“口令破解”的工具去得到加密前的口令。

2.1 刪除系統(tǒng)特殊的的用戶帳號(hào)和組帳號(hào)：  

以上所刪除用戶為系統(tǒng)默認(rèn)創(chuàng)建，但是在常用服務(wù)器中基本不使用的一些帳號(hào)，但是這些帳號(hào)常被黑客利用和攻擊服務(wù)器。  

同樣，以上刪除的是系統(tǒng)安裝是默認(rèn)創(chuàng)建的一些組帳號(hào)。這樣就減少受攻擊的機(jī)會(huì)。

2.2用戶密碼設(shè)置：

安裝linux時(shí)默認(rèn)的密碼最小長(zhǎng)度是5個(gè)字節(jié)，但這并不夠，要把它設(shè)為8個(gè)字節(jié)。修改最短密碼長(zhǎng)度需要編輯login.defs文件(vi /etc/login.defs)   

2.3 修改自動(dòng)注銷帳號(hào)時(shí)間：

自動(dòng)注銷帳號(hào)的登錄，在Linux系統(tǒng)中root賬戶是具有最高特權(quán)的。如果系統(tǒng)管理員在離開(kāi)系統(tǒng)之前忘記注銷root賬戶，那將會(huì)帶來(lái)很大的安全隱患，應(yīng)該讓系統(tǒng)會(huì)自動(dòng)注銷。通過(guò)修改賬戶中“TMOUT”參數(shù)，可以實(shí)現(xiàn)此功能。TMOUT按秒計(jì)算。編輯你的profile文件(vi /etc/profile),在"HISTSIZE="后面加入下面這行：

TMOUT=300

300，表示300秒，也就是表示5分鐘。這樣，如果系統(tǒng)中登陸的用戶在5分鐘內(nèi)都沒(méi)有動(dòng)作，那么系統(tǒng)會(huì)自動(dòng)注銷這個(gè)賬戶。

2.4 給系統(tǒng)的用戶名密碼存放文件加鎖：   

注：chattr是改變文件屬性的命令，參數(shù)i代表不得任意更動(dòng)文件或目錄,此處的i為不可修改位(immutable)。查看方法：lsattr /etc/passwd

3.服務(wù)管理

在Linux系統(tǒng)的服務(wù)管理方面，如果想做到服務(wù)的最好安全，其中主要的就是升級(jí)服務(wù)本身的軟件版本，另外一個(gè)就是關(guān)閉系統(tǒng)不使用的服務(wù)，做到服務(wù)最小化。

3.1 關(guān)閉系統(tǒng)不使用的服務(wù)：   

在這里有兩個(gè)方法，可以關(guān)閉init目錄下的服務(wù)，一、將init目錄下的文件名mv成*.old類的文件名，即修改文件名，作用就是在系統(tǒng)啟動(dòng)的時(shí)候找不到這個(gè)服務(wù)的啟動(dòng)文件。二、使用chkconfig系統(tǒng)命令來(lái)關(guān)閉系統(tǒng)啟動(dòng)等級(jí)的服務(wù)。

注：在使用以下任何一種方法時(shí)，請(qǐng)先檢查需要關(guān)閉的服務(wù)是否是本服務(wù)器特別需要啟動(dòng)支持的服務(wù)，以防關(guān)閉正常使用的服務(wù)。

第一種：修改文件名的方法   

第二種：使用chkcofig命令來(lái)關(guān)閉不使用的系統(tǒng)服務(wù)   

注：以上chkcofig 命令中的3和5是系統(tǒng)啟動(dòng)的類型，3代表系統(tǒng)的多用啟動(dòng)方式，5代表系統(tǒng)的X啟動(dòng)方式。

3.2 給系統(tǒng)服務(wù)端口列表文件加鎖

主要作用：防止未經(jīng)許可的刪除或添加服務(wù)   

3.3 修改ssh服務(wù)的root登錄權(quán)限

修改ssh服務(wù)配置文件，使的ssh服務(wù)不允許直接使用root用戶來(lái)登錄，這樣建設(shè)系統(tǒng)被惡意登錄攻擊的機(jī)會(huì)。   

將這行前的#去掉后，修改為：PermitRootLogin no

4.系統(tǒng)文件權(quán)限

Linux文件系統(tǒng)的安全主要是通過(guò)設(shè)置文件的權(quán)限來(lái)實(shí)現(xiàn)的。每一個(gè)Linux的文件或目錄，都有3組屬性，分別定義文件或目錄的所有者，用戶組和其他人的使用權(quán)限(只讀、可寫(xiě)、可執(zhí)行、允許SUID、允許SGID等)。特別注意，權(quán)限為SUID和SGID的可執(zhí)行文件，在程序運(yùn)行過(guò)程中，會(huì)給進(jìn)程賦予所有者的權(quán)限，如果被黑客發(fā)現(xiàn)并利用就會(huì)給系統(tǒng)造成危害。

4.1 修改init目錄文件執(zhí)行權(quán)限：   

4.2修改部分系統(tǒng)文件的SUID和SGID的權(quán)限： 

4.3修改系統(tǒng)引導(dǎo)文件 

5.系統(tǒng)優(yōu)化

5.1 虛擬內(nèi)存優(yōu)化：

一般來(lái)說(shuō)，linux的物理內(nèi)存幾乎是完全used。這個(gè)和windows非常大的區(qū)別，它的內(nèi)存管理機(jī)制將系統(tǒng)內(nèi)存充分利用，并非windows無(wú)論多大的內(nèi)存都要去使用一些虛擬內(nèi)存一樣。

在/proc/sys/vm/freepages中三個(gè)數(shù)字是當(dāng)前系統(tǒng)的:最小內(nèi)存空白頁(yè)、最低內(nèi)存空白頁(yè)和最高內(nèi)存空白。

注意，這里系統(tǒng)使用虛擬內(nèi)存的原則是:如果空白頁(yè)數(shù)目低于最高空白頁(yè)設(shè)置，則使用磁盤(pán)交換空間。當(dāng)達(dá)到最低空白頁(yè)設(shè)置時(shí)，使用內(nèi)存交換。內(nèi)存一般以每頁(yè)4k字節(jié)分配。最小內(nèi)存空白頁(yè)設(shè)置是系統(tǒng)中內(nèi)存數(shù)量的2倍;最低內(nèi)存空白頁(yè)設(shè)置是內(nèi)存數(shù)量的4倍;最高內(nèi)存空白頁(yè)設(shè)置是系統(tǒng)內(nèi)存的6倍。

以下以1G內(nèi)存為例修改系統(tǒng)默認(rèn)虛擬內(nèi)存參數(shù)大?。?/p>

 [[186994]] 

6.日志管理

6.1 系統(tǒng)引導(dǎo)日志：

dmesg

使用 dmesg 命令可以快速查看最后一次系統(tǒng)引導(dǎo)的引導(dǎo)日志。通常它的

內(nèi)容會(huì)很多，所以您往往會(huì)希望將其通過(guò)管道傳輸?shù)揭粋€(gè)閱讀器。

6.2 系統(tǒng)運(yùn)行日志：

A、Linux 日志存儲(chǔ)在 /var/log 目錄中。這里有幾個(gè)由系統(tǒng)維護(hù)的日志文件，但其他服務(wù)和程序也可能會(huì)把它們的日志放在這里。大多數(shù)日志只有 root 才可以讀，不過(guò)只需要修改文件的訪問(wèn)權(quán)限就可以讓其他人可讀。

以下是常用的系統(tǒng)日志文件名稱及其描述： 

B、/var/log/messages

messages 日志是核心系統(tǒng)日志文件。它包含了系統(tǒng)啟動(dòng)時(shí)的引導(dǎo)消息，以及系統(tǒng)運(yùn)行時(shí)的其他狀態(tài)消息。IO 錯(cuò)誤、網(wǎng)絡(luò)錯(cuò)誤和其他系統(tǒng)錯(cuò)誤都會(huì)記錄到這個(gè)文件中。其他信息，比如某個(gè)人的身份切換為 root，也在這里列出。如果服務(wù)正在運(yùn)行，比如 DHCP 服務(wù)器，您可以在messages 文件中觀察它的活動(dòng)。通常，/var/log/messages 是您在做故障診斷時(shí)首先要查看的文件。

C、/var/log/XFree86.0.log

這個(gè)日志記錄的是 Xfree86 Xwindows 服務(wù)器最后一次執(zhí)行的結(jié)果。如果您在啟動(dòng)到圖形模式時(shí)遇到了問(wèn)題，一般情況從這個(gè)文件中會(huì)找到失敗的原因。

D、在/var/log 目錄下有一些文件以一個(gè)數(shù)字結(jié)尾，這些是已輪循的歸檔文件。日志文件會(huì)變得特別大，特別笨重。Linux 提供了一個(gè)命令來(lái)輪循這些日志，以使您的當(dāng)前日志信息不會(huì)淹沒(méi)在舊的無(wú)關(guān)信息之中。 logrotate 通常是定時(shí)自動(dòng)運(yùn)行的，但是也可以手工運(yùn)行。當(dāng)執(zhí)行后，logrotate 將取得當(dāng)前版本的日志文件，然后在這個(gè)文件名最后附加一個(gè)“.1”。其他更早輪循的文件為“.2”、“.3”，依次類推。文件名后的數(shù)字越大，日志就越老。

可以通過(guò)編輯 /etc/logrotate.conf 文件來(lái)配置 logrotate 的自動(dòng)行為。通過(guò) man logrotate 來(lái)學(xué)習(xí) logrotate 的全部細(xì)節(jié)。

其中：

# rotate log files weekly

weekly

這里代表每個(gè)日志文件是每個(gè)星期循環(huán)一次，一個(gè)日志文件保存一個(gè)星期的內(nèi)容。

# keep 4 weeks worth of backlogs

rotate 4

這里代表日志循環(huán)的次數(shù)是4次，即可以保存4個(gè)日志文件。

E、定制日志

可以通過(guò)編輯 /et/syslog.conf 和 /etc/sysconfig/syslog 來(lái)配置它們的行為，可以定制系統(tǒng)日志的存放路徑和日志產(chǎn)生級(jí)別。

6.3 系統(tǒng)各用戶操作日志：

last

單獨(dú)執(zhí)行l(wèi)ast指令，它會(huì)讀取位于/var/log目錄下，名稱為wtmp的文件，并把該給文件的內(nèi)容記錄的登入系統(tǒng)的用戶名單全部顯示出來(lái)。

history

history命令能夠保存最近所執(zhí)行的命令。如果是root命令所保存的命令內(nèi)容在/root/.bash_history文件中，如果是普通用戶，操作所命令保存在這個(gè)用戶的所屬目錄下，即一般的/home/username/.bash_history。這個(gè)history的保存值可以設(shè)置，編輯/etc/profile文件，其中的HISTSIZE=1000的值就是history保存的值。

7.防火墻

7.1 iptables類型防火墻：

7.1.1 iptables概念：

Iptalbes(IP包過(guò)濾器管理)是用來(lái)設(shè)置、維護(hù)和檢查L(zhǎng)inux內(nèi)核的IP包過(guò)濾規(guī)則的。

可以定義不同的表，每個(gè)表都包含幾個(gè)內(nèi)部的鏈，也能包含用戶定義的鏈。每個(gè)鏈都是一個(gè)規(guī)則列表，對(duì)對(duì)應(yīng)的包進(jìn)行匹配：每條規(guī)則指定應(yīng)當(dāng)如何處理與之相匹配的包。這被稱作'target'(目標(biāo))，也可以跳向同一個(gè)表內(nèi)的用戶定義的鏈。

通過(guò)使用用戶空間，可以構(gòu)建自己的定制規(guī)則，這些規(guī)則存儲(chǔ)在內(nèi)核空間的信息包過(guò)濾表中。這些規(guī)則具有目標(biāo)，它們告訴內(nèi)核對(duì)來(lái)自某些源、前往某些目的地或具有某些協(xié)議類型的信息包做些什么。如果某個(gè)信息包與規(guī)則匹配，那么使用目標(biāo) ACCEPT 允許該信息包通過(guò)。還可以使用目標(biāo) DROP 或 REJECT 來(lái)阻塞并殺死信息包。對(duì)于可對(duì)信息包執(zhí)行的其它操作，還有許多其它目標(biāo)。

根據(jù)規(guī)則所處理的信息包的類型，可以將規(guī)則分組在鏈中。處理入站信息包的規(guī)則被添加到INPUT 鏈中。處理出站信息包的規(guī)則被添加到 OUTPUT 鏈中。處理正在轉(zhuǎn)發(fā)的信息包的規(guī)則被添加到 FORWARD 鏈中。這三個(gè)鏈?zhǔn)腔拘畔^(guò)濾表中內(nèi)置的缺省主鏈。另外，還有其它許多可用的鏈的類型(如 PREROUTING 和 POSTROUTING)，以及提供用戶定義的鏈。每個(gè)鏈都可以有一個(gè)策略，它定義“缺省目標(biāo)”，也就是要執(zhí)行的缺省操作，當(dāng)信息包與鏈中的任何規(guī)則都不匹配時(shí)，執(zhí)行此操作。

建立規(guī)則并將鏈放在適當(dāng)?shù)奈恢弥?，就可以開(kāi)始進(jìn)行真正的信息包過(guò)濾工作了。這時(shí)內(nèi)核空間從用戶空間接管工作。當(dāng)信息包到達(dá)防火墻時(shí)，內(nèi)核先檢查信息包的頭信息，尤其是信息包的目的地。我們將這個(gè)過(guò)程稱為路由。

如果信息包源自外界并前往系統(tǒng)，而且防火墻是打開(kāi)的，那么內(nèi)核將它傳遞到內(nèi)核空間信息包過(guò)濾表的 INPUT 鏈。如果信息包源自系統(tǒng)內(nèi)部或系統(tǒng)所連接的內(nèi)部網(wǎng)上的其它源，并且此信息包要前往另一個(gè)外部系統(tǒng)，那么信息包被傳遞到 OUTPUT 鏈。類似的，源自外部系統(tǒng)并前往外部系統(tǒng)的信息包被傳遞到 FORWARD 鏈。

7.1.2 iptables實(shí)例1： 

7.1.3 iptables實(shí)例2：

注：這個(gè)實(shí)例中，只需要設(shè)置tcp、udp端口和服務(wù)器網(wǎng)絡(luò)段ip范圍即可，其他已經(jīng)默認(rèn)設(shè)置好。 

7.2 ipchains類型防火墻：

7.2.1 ipchains概念：

Ipchains 被用來(lái)安裝、維護(hù)、檢查L(zhǎng)inux內(nèi)核的防火墻規(guī)則。規(guī)則可以分成四類：IP input鏈、IP output鏈、IP forward鏈、user defined 鏈。

一個(gè)防火墻規(guī)則指定包的格式和目標(biāo)。當(dāng)一個(gè)包進(jìn)來(lái)時(shí), 核心使用input鏈來(lái)決定它的命運(yùn)。 如果它通過(guò)了, 那么核心將決定包下一步該發(fā)往何處(這一步叫路由)。假如它是送往另一臺(tái)機(jī)器的, 核心就運(yùn)用forward鏈。如果不匹配，進(jìn)入目標(biāo)值所指定的下一條鏈，那有可能是一條user defined鏈，或者是一個(gè)特定值: ACCEPT，DENY，REJECT，MASQ，REDIRECT，RETURN。

ACCEPT意味著允許包通過(guò)，DENY 扔掉包就象沒(méi)有受到過(guò)一樣，REJECT也把包扔掉，但(假如它不是 ICMP 包)產(chǎn)生一個(gè) ICMP 回復(fù)來(lái)告訴發(fā)包者，目的地址無(wú)法到達(dá)(請(qǐng)注意DENY和REJECT對(duì)于ICMP包是一樣的)。

MASQ 告訴核心偽裝此包，它只對(duì)forward 鏈和user defined鏈起作用，想讓它起作用, 編譯核心時(shí)必需讓 IP Masquerading 起作用。

REDIRECT只對(duì)input鏈和user defined鏈起作用。它告訴核心把無(wú)論應(yīng)送到何處的包改送到一個(gè)本地端口. 只有 TCP 和 UDP 協(xié)議可以使用此指定. 任意用 '-j REDIRECT' 指定一個(gè)端口(名字或編號(hào))可以使送往此的包被重定向到某個(gè)特殊的端口, 即使它被標(biāo)記為送到其它端口。想讓它起作用，編譯內(nèi)核時(shí)，必須讓CONFIG_IP_TRANSPARENT_PROXY起作用。

最后的一個(gè)目標(biāo)指定是 RETURN, 它跳過(guò)它下面的所有規(guī)則, 直到鏈的末尾。

任何其它的目標(biāo)指定表示一個(gè)用戶自定義的鏈。包將在那個(gè)鏈中通過(guò). 假如那個(gè)鏈沒(méi)有決定此包的命運(yùn), 那么在那個(gè)鏈中的傳輸就完成了，包將通過(guò)當(dāng)前鏈的下一個(gè)規(guī)則。

7.2.2 ipchains實(shí)例：

##清除input規(guī)則的規(guī)則，并改變input默認(rèn)的規(guī)則鏈策略為REJECT 

##以下是允許input規(guī)則鏈的tcp端口為：80 81 22 123 

##設(shè)置除了以上允許的input規(guī)則鏈以為，拒絕0-1023、2049、6000-6009、7100的tcp和upd端口， 

##允許系本身統(tǒng)網(wǎng)卡上發(fā)生的所有包通過(guò) 

##清除output規(guī)則的規(guī)則，并改變output默認(rèn)的規(guī)則鏈策略為ACCEPT-F 

##清除forward規(guī)則的規(guī)則，并改變forward默認(rèn)的規(guī)則鏈策略為DENY,設(shè)置了forward規(guī)則鏈允許對(duì)10.10.11.0/24網(wǎng)段的包可以轉(zhuǎn)發(fā)并且做偽裝處理。