本帖最后由 julianchen 于 2017-8-25 17:57 编辑 引言:我们已经谈论了很多有关保护Mac和Windows系统的话题,现在是时候来表示对Linux一些关爱了。就让我们学习如何通过几个简单的命令,来改善你的Linux安全吧。
在前面的帖子中,我们讨论过Linux的网络命令和如何对你的网络进行排障的一些有用的例子。今天我们将讨论一些Linux的安全命令,从而能加固你的系统。
在最开始,我们需要问的一个问题是:Linux是足够被安全加固了吗?答案当然是否定的。那些娴熟的攻击者所带来的危险是与日俱增的。每天、甚至是每小时都有新的漏洞被发现。对这些漏洞的利用方法通常建立在它们被发现后的数小时之内。一些漏洞甚至直到有人将其利用到攻击的主机上才被发现。可见,安全应该是我们所有人所需要关心的。因此,我想在本文中用一些实际的例子来展示如何增强系统的安全性。
没有一个帖子或是一本书能够回答Linux所有的安全问题或是涉及所有可能的威胁。因此,本文理所当然地也不可能包括所有,但是我们希望你一定会发现到其“用武之处”。
我们的主要议题包括:
- 控制台安全
- 密码生命周期
- Sudo的通知
- SSH调优
- 使用Tripwire进行入侵检测
- 使用Firewalld
- 回归iptable
- 限制编译器
- 不可修改文件太棒了
- 用Aureport来管理SELinux
- 使用sealert工具
控制台安全
你可以通过限制能够登录的一组特定终端来限制root用户的访问。为了实现该目的,请编辑/etc/下安全文件的内容。该文件列出的是允许root用户登录的所有设备。
我建议你只允许root用户去登录到一个终端之上,且强制所有其他用户都使用非root用户的身份进行登录。而如果确实需要root用户权限的时候,请使用su命令来获取。
密码生命周期
密码的生命周期就是允许你为密码指定一个有效的时间周期。时间到期后,系统将强制要求用户输入一个新的密码。这样有效地确保了密码的定期更换,以及密码在被偷盗、破解或为人所知的情况下能够迅速过期。
有两种方法可以实现这个效果。第一种方法是通过命令行使用如下的改变命令:
$ chage -M 20 likegeeks
我们使用- M选项为likegeeks用户设置了有效期限为20天的密码。
你也可以输入不带任何选项的chage命令,它会自动提示你选项:
$ chage likegeeks
第二种方法是在/etc/login.defs中为所有用户设置默认值。你可以参照下面,按需改变其数值:
PASS_MAX_DAYS 20
PASS_MIN_DAYS 0
PASS_WARN_AGE 5
Sudo的通知
Sudo命令虽然可以使得你的“生活”更为轻松,但是它们也会因为Linux的安全问题而毁了你的“生活”。
我们都知道,sudo命令允许非root用户以root身份运行各种命令。你可以在/etc/sudoers文件中查到所有的sudo配置。
你可以禁止用户去运行那些root才能运行的命令。
当sudo命令被使用的时侯,你可以通过在文件中添加如下一行语句,以配置其向外发送电子邮件。
当然你也可以用如下语句改变sudo的发邮件状态:
mail_always on
SSH调优
只要说到Linux安全,我们必然会讨论到SSH服务。SSH应该你的系统中重要的一种服务,它使你能够轻松地连接到自己的系统。而且这可能是在出现各种状况的时候,唯一能让你的系统“幸存”的途径。所以对SSH的调优是非常重要的。
由于我们在本文所使用的是CentOS 7,那么其SSH的配置文件就存放在:
/etc/ssh/sshd_config
让我们来深入了解一下吧。
攻击者所使用的扫描器或自动工具一般尝试运用默认端口22来连接SSH。因此通常情况下,你应该改变SSH的原有端口到另一个未使用的端口上,比如说5555。
Port 5555
你也可以通过更新PermitRootLogin的值为no来限制root的登录,例如:
PermitRootLogin no
并禁用无密码的通道,且改用公钥登录的方式。
PasswordAuthenticationno
PermitEmptyPasswordsno
其实还有另外一种可能阻止攻击的调整,但它要求SSH通过正向和反向DNS查询远程的主机名,这将在系统日志文件中生成一些适当的警告。你只需启用UseDNS的值便可实现。
UseDNS yes
此外,当GSSAPI服务器被要求验证相关用户的身份时,SSH会调用一个不常用的功能来实现GSSAPI的认证方式。为了避免这种情况可能会引起的某种麻烦,请按照如下将GSSAPIAuthentication设为no:
GSSAPIAuthentication no
考虑到SSH通常会出现的超时问题,你可以通过正确地配置ServerAliveInterval、ServerAliveCountMax和TCPKeepAlive的值来进行管控。
例如下面的规则就意味着每隔60秒就产生一个数据包。
ServerAliveInterval15
ServerAliveCountMax3
TCPKeepAlive yes
通过调整这些值,你可以提供一个更长的连接。
ClientAliveInterval30
ClientAliveCountMax5
你可以通过指定那些被允许用来使用SSH的用户名,从而使得SSH服务更为安全。
AllowUsers user1 user2
或者指定允许的组:
AllowGroup group1 group2
除此之外,你还可以为SSH启用诸如Google Authenticator这样的双因素认证方式:
$ yum install google-authenticator
然后运行之,以验证是否成功安装:
$ google-authenticator
你的移动手机上应该已经安装了Googleauthenticator的应用,那么请将下面一行添加到/etc/pam.d/sshd之中。
auth required pam_google_authenticator.so
最后的事情就是通过添加下面一行到/etc/ssh/sshd_config中,以通知SSH
ChallengeResponseAuthentication yes
然后重启你的SSH:
$ systemctl restart sshd
之后,当你使用SSH登录的时候,它将会询问一个验证码。这便意味着你的SSH已经能够应对暴力破解的攻击,且更为稳固了。
