对于当今的计算平台,易于访问和开放对于基于 Web 的通信和 IT 管理团队的简化资源至关重要。
在一个充满恶意软件、黑客威胁和潜在数据窃贼的世界中,对全面安全措施的日益增长的需求是一个直接矛盾。
大多数组织将采用分层安全策略,为其 IT 基础架构提供尽可能多的保护措施——防火墙、沙箱、IPS 和 IDS、防病毒——但最安全的计算环境是那些具有“基础”的环境“ 安全。
如果您不需要将数据存储在面向公众的 Linux Web 服务器上,请将其完全删除 - 如果数据不存在,也不会受到损害。
如果用户不需要访问某些系统或网络部分(例如安全的 Ubuntu 服务器场所在的网络),则撤销用户的权限 - 他们需要访问系统以窃取数据,防止他们首先靠近任何地方。
同样,如果您的 CentOS 服务器不需要 FTP 或 Web 服务,请禁用或删除它们。每次减少访问方式,都会减少安全漏洞的潜在威胁。
简而言之,您需要加固您的 Linux 服务器。
Linux 强化策略背景
Linux 的美妙之处在于它是如此易于访问和免费提供,以至于它只需要很少的培训或知识就可以上手和使用轻松运行。基于 Web 的支持社区提供了执行任何 Linux 设置任务或解决您可能遇到的问题所需的所有提示和教程。
为您的 Linux 主机找到并解释正确的加固清单仍然是一个挑战,因此本指南为您提供了一份用于一般 Linux 服务器的最高优先级加固措施的简明清单。
账户政策
- 强制密码记录 -365 天
- 最长长密码期限 -42 天
- 密码最短长度 -8 个字符
- 密码复杂度 - 已启用 li>
- 帐户锁定时间 – 30 分钟
- 帐户锁定阈值 - 5 次尝试
- 重置帐户锁定计数器 – 30 分钟
编辑 /etc/pam.d/common-password 以定义主机的密码策略参数。
访问安全
- 确保您使用的是 SSH 版本 2
- 禁用远程根登录
- 启用 AllowGroups 仅允许组名
- 仅允许访问有效设备
- 将并发根会话的数量限制为仅 1 或 2
编辑 sshd.config 以定义SSHD 用于主机策略参数, /etc/hosts.allow 和 /etc/hosts.deny 控制访问。使用 /etc/securetty 限制对 tty1 或 tty1 和 tty2 的访问。
仅安全启动
删除从 CD 或 USB 设备启动的选项,密码保护计算机以防止 BIOS 选项被编辑。
密码保护 /boot/grub/menu.lst 文件并删除 Rescue Mode Boot 条目。
禁用所有不必要的进程、服务和守护进程
每个系统都是独一无二的,因此请查看您的服务器运行您的应用程序不需要哪些进程和服务很重要。
通过运行 ps -ax 命令评估服务器并查看当前正在运行的内容。
同样,通过运行chkconfig -list命令评估所有进程的启动状态。
使用 sysv-rc-conf service name off 禁用所有不必要的服务
将敏感文件和文件夹的权限限制为仅 root
确保以下敏感程序只是根可执行文件
- /etc/fstab
- /等/密码
- /bin/ping
- /usr/bin/who
- /usr/bin/location
- /usr/bin/哪里是
- /sbin/ifconfig
- /bin/nano
- /usr/bin/vi
- /usr/bin/where
- /usr/bin /gcc
- /usr/bin/make
- /usr/bin/apt-get
- /usr/bin/aptitude
< li> /usr/bin/w
确保以下文件夹仅允许 root 访问
- /etc
- /usr/etc
- /box
- /usr/bin
- /sbin
- /usr/sbin
- /tmp
- /var/tmp strong>
禁用 SUID 和 SGID 二进制文件
识别系统上的 SUID 和 SGID 文件:查找 /(-perm - 4000 -o -perm -2000) -打印。
通过使用命令 chmod -s filename
删除 SUID 或 SGID 位来确保这些文件安全,您还应该将它们添加到添加到新的“编译器”组以限制对系统上所有编译器的访问。
- chgrp 编译器 * cc *
- chgrp 编译器 * ++ *
- < strong>chgrp compiler ld
- chgrp compiler is
入群后请使用chmod 750 compiler
对敏感文件夹和文件实施定期/实时FIM
所有文件和文件夹都应监控文件完整性以确保权限未经批准不得更改文件。
在 Linux 服务器上配置审核
确保关键安全事件经过审核并转发到系统日志或 SIEM 服务器。相应地编辑 syslog.conf 文件。
内核变量的一般加固
编辑/etc/sysctl.conf文件,将所有内核变量设置为安全设置, 防止欺骗、syn Flood 和 DOS 攻击。