22-系统安全02-操作系统安全02-linux安全配置

Linux安全配置理解Linux安全配置维度掌握Linux安全配置的方法教学目标Linux安全配置简介Linux的网络配置Linux的日志和审计配置Linux的访问认证和授权配置Linux的系统运维配置目录Linux种类较多，常见的有Redhat、Ubuntu、Centos、SUSE等根据不同版本，其安全配置都不太相同，主要体现在以下三点配置文件所存放的路径操作系统的命令操作系统自身的安全特性或工具本小节，我们以Centos7为例，进行安全配置讲解，其它版本Linux可能存在安全配置方式不同，但整体配置的维度和原则是一致的。Linux安全配置简介Centos安全配置维度安装配置（默认配置即可）服务配置（默认配置即可）网络配置日志和审计访问、授权和认证系统运维Linux安全配置简介Centos安全配置原则最小安全（最小安装、最小权限）不影响业务可用（安全与业务的矛盾）职责分离审计记录因为Centos安全配置较多，本文仅列举部分典型代表，更多具体配置，可以参照相关国内或国际标准，如等保、CIS等。Linux安全配置简介禁用不使用的网络协议禁用IPv6,，执行以下命令sysctl-wnet.ipv6.conf.all.disable_ipv6=1sysctl-wnet.ipv6.conf.default.disable_ipv6=1sysctl-wnet.ipv6.route.flush=1

查看配置是否生效sysctlnet.ipv6.conf.all.disable_ipv6Linux安全配置--网络配置禁用不使用的无线设备，因为Linux作为服务器工作时，无需使用无线查看无线设备iwlist查看当前连接iplinkshowupLinux安全配置--网络配置关闭网络连接iplinkset<interface>down

这里以本地环回口lo为例，进行关闭Linux安全配置--网络配置当Linux作为独立主机使用时，配置网络关闭IP转发，默认即关闭查看IP转发配置sysctlnet.ipv4.ip_forward关闭IP转发sysctl-wnet.ipv4.ip_forware=0Linux安全配置--网络配置关闭数据包重定向查看重定向设置sysctlnet.ipv4.conf.all.send_redirects关闭重定向设置sysctl-wnet.ipv4.conf.all.send_redirects=0Linux安全配置--网络配置开启TCPSYN

Cookies功能TCPSYN功能某种程度上可以防止TCP的SYNDDOS攻击。查看TCPSYNCookies功能sysctlnet.ipv4.tcp_syncookies开启TCPSYNCookies功能sysctl-wnet.ipv4.tcp_syncookies=1Linux安全配置--网络配置防火墙配置在Centos较新的版本中，引入了nftables内核取代传统netfilter内核通常nftables和netfilter只用安装一种即可。基于netfilter，又有两种前端操作工具，即firewalld和iptables本节我们以netfilter+firewalld进行操作讲解Linux安全配置--网络配置防火墙配置确定安装了firewalld和iptables管理工具rpm-qfirewalldiptables安装firewalld和iptablesyuminstallfirewalldiptablesLinux安全配置--网络配置防火墙配置关闭iptables的服务管理（因为同时开启iptables与firewalld会冲突）查看iptables服务rpm-qiptables-services如果已安装，可以使用以下命令停止systemctlstopiptablesyumremoveiptables-servicesLinux安全配置--网络配置确保没有安装nftables查看安装nftables的状态rpm-qnftables如果安装，可以删除yumremovenftablesLinux安全配置--网络配置确保防火墙服务自动启动，并正在运行查看firewalld状态systemctlis-enabledfirewalld查看firewalld状态（第二种方式）firewall-cmd--stateLinux安全配置--网络配置开启firewalldsystemctlunmaskfirewalldsystemctlenablefirewalld开启防火墙，可能会导致网络中断，所以一定要分析清楚，当前网络连接与网络配置，再来开启防火墙Linux安全配置--网络配置确定防火墙区域配置默认firewalld会创建一个名为public的区域区域代表防火墙中的信任等级，每一个接口都应该属于区域查看当前区域，默认是publicfirewall-cmd--get-default-zoneLinux安全配置--网络配置防火墙默认区域配置设置默认区域为publicfirewall-cmd--set-default-zone=public查看当前活动的区域和接口firewall-cmd--get-active-zones设置接口到区域firewall-cmd--zone=public--change-interface=ens33Linux安全配置--网络配置查看当前允许的端口和服务firewall-cmd--list-all--zone=publicLinux安全配置--网络配置关闭不需要的端口和服务关闭端口firewall-cmd--remove-port=<port-number>/<port-type>如：firewall-cmd--remove-port=25/tcp关闭服务firewall-cmd--remove-service=<service>如：firewall-cmd--remove-service=smtpLinux安全配置--网络配置系统审核查看系统是否安装审核服务rpm-qauditaudit-libs如果没有安装，而进行安装yuminstallauditaudit-libsLinux安全配置--日志和审核系统审核查看审核服务是否开启systemctlis-enabledauditd查看服务状态systemctlstatusauditdLinux安全配置--日志和审计配置审计数据大小查看audit日志最大空间，默认单位为M如图，显示为8MLinux安全配置--日志和审计审计用户和用户组的操作查看当前用户和用户组相关的操作记录grepidentity/etc/audit/rules.d/*.rules当前没有任何相关配置配置记录如下：vi/etc/audit/rules.d/identity.rules加入右图内容同样，也可以输入其他命令路径Linux安全配置--日志和审计配置rsyslog日志rsyslog是取代syslog的新版本。rsyslog有一些优秀的特性，比如使用tcp连接，可以将日志存储到数据库，可以加密传输日志等。确保系统安装了rsyslogrpm-qrsyslog查看rsyslog服务状态systemctlis-enabledrsyslogLinux安全配置--日志和审计确保日志正常输入查看当前日志目录及日志权限，日志权限应该为600（仅root可读写）ls-l/var/logLinux安全配置--日志和审计查看日志归档处理Linux系统使用logrotate按定期或指定大小进行归档处理确保logrotate正常的处理syslog日志查看是否存在文件ls/etc/logrotate.d/syslogLinux安全配置--日志和审计查看计划任务的访问授权stat/etc/crontab如图展示了，仅root可以访问计划任务，且相关访问时间。同理还应检查文件dailyhourlymonthlyweeklyLinux安全配置--访问、认证和授权查看SSH配置文件权限因为SSH可以使用密钥直接登录，如果SSH配置文件权限限制不严格，则造成SSH提权检查/etc/ssh/sshd_config的权限Linux安全配置--访问、认证和授权配置允许通过SSH访问的用户使用以下命令查看当前允许SSH访问的用sshd-T|grep-E'^\s*(allow|deny)(users|groups)\s+\S+'如果输出为空，说明没有配置编辑文件/etc/ssh/sshd_config，配置仅允许sangfor用户访问在文件中加入以下行allowuserssangfor保存，退出，并重启SSH服务。验证生效。Linux安全配置--访问、认证和授权配置SSH验证失败次数查看SSH验证失败次数sshd-T|grepmaxauthtries默认为6次，建议改为4次或更低编辑SSH配置文件修改即可vi/etc/ssh/sshd_configLinux安全配置--访问、认证和授权禁止空密码登录SSHsshd-T|greppermitemptypasswords查看SSH支持的加密方式，确保不要出现如desmd5这类已经不再安全的算法sshd-T|grepciphersLinux安全配置--访问、认证和授权PAM模块配置PAM（PluggableAuthenticationModules）是Linux中的认证管理模块，所有认证相关可由PAM处理。密码要求由/etc/security/pwquality.conf管理minlen=14，最小密码长度mincalss=4，密码复杂度，分别是是大写字母、小写字母、数字、符号Linux安全配置--访问、认证和授权用户账户和环境查看密码过期时间，建议设为60，如图为99999，显然不合适grep^\s*PASS_MAX_DAYS/etc/login.defs查看用户的过期时间grep-E'^[^:]+:[^!*]'/etc/shadow|cut-d:-f1,5Linux安全配置--访问、认证和授权修改用户过期时间方法一，编辑默认文件，中的PASS_MAX_DAYS值vi

/etc/login.defs方法二chage--maxdays365<user>Linux安全配置--访问、认证和授权用户账户和环境查看密码最小天数（原理同windows密码最小天数），建议设为1grep^\s*PASS_MIN_DAYS/etc/login.defs提示密码过期时间，建议设置为7或更多查看方法如下Linux安全配置--访问、认证和授权用户账户和环境自动禁用账号，建议设置为30天或更少当用户指定时间没有使用时，自动禁用用户查看useradd-D|grepINACTIVE配置方法useradd-D-f30Linux安全配置--访问、认证和授权检查文件/etc/p