请选择 进入手机版 | 继续访问电脑版

设为首页 收藏本站
思科服务支持社区 点击关注
思科服务支持社区

  
 找回密码
 立即注册

扫一扫,访问微社区

搜索
热搜: 邮件服务器
查看: 335|回复: 1

#分享达人#【小目标,一个“译”】+ 加固Linux系统的11种实用安全技巧(上)

[复制链接]
发表于 2017-8-25 17:56:25 | 显示全部楼层 |阅读模式
本帖最后由 julianchen 于 2017-8-25 17:57 编辑

引言:我们已经谈论了很多有关保护MacWindows系统的话题,现在是时候来表示对Linux一些关爱了。就让我们学习如何通过几个简单的命令,来改善你的Linux安全吧。

在前面的帖子中,我们讨论过Linux的网络命令和如何对你的网络进行排障的一些有用的例子。今天我们将讨论一些Linux的安全命令,从而能加固你的系统。

在最开始,我们需要问的一个问题是:Linux是足够被安全加固了吗?答案当然是否定的。那些娴熟的攻击者所带来的危险是与日俱增的。每天、甚至是每小时都有新的漏洞被发现。对这些漏洞的利用方法通常建立在它们被发现后的数小时之内。一些漏洞甚至直到有人将其利用到攻击的主机上才被发现。可见,安全应该是我们所有人所需要关心的。因此,我想在本文中用一些实际的例子来展示如何增强系统的安全性。

没有一个帖子或是一本书能够回答Linux所有的安全问题或是涉及所有可能的威胁。因此,本文理所当然地也不可能包括所有,但是我们希望你一定会发现到其“用武之处”。

我们的主要议题包括:


  • 控制台安全
  • 密码生命周期
  • Sudo的通知
  • SSH调优
  • 使用Tripwire进行入侵检测
  • 使用Firewalld
  • 回归iptable
  • 限制编译器
  • 不可修改文件太棒了
  • Aureport来管理SELinux
  • 使用sealert工具
控制台安全

你可以通过限制能够登录的一组特定终端来限制root用户的访问。为了实现该目的,编辑/etc/下安全文件的内容。该文件列出的是允许root用户登录的所有设备。

我建议你只允许root用户去登录到一个终端之上,且强制所有其他用户都使用非root用户的身份进行登录。而如果确实需要root用户权限的时候,请使用su命令来获取。

密码生命周期

密码的生命周期就是允许你为密码指定一个有效的时间周期。时间到期后,系统将强制要求用户输入一个新的密码。这样有效地确保了密码的定期更换,以及密码在被偷盗、破解或为人所知的情况下能够迅速过期。

有两种方法可以实现这个效果。第一种方法是通过命令行使用如下的改变命令:

$ chage -M 20 likegeeks
我们使用- M选项为likegeeks用户设置了有效期限为20天的密码。

你也可以输入不带任何选项的chage命令,它会自动提示你选项:
$ chage likegeeks

第二种方法是在/etc/login.defs中为所有用户设置默认值。你可以参照下面,按需改变其数值:
PASS_MAX_DAYS 20
PASS_MIN_DAYS 0
PASS_WARN_AGE 5

Sudo的通知

Sudo命令虽然可以使得你的“生活”更为轻松,但是它们也会因为Linux的安全问题而毁了你的“生活”。

我们都知道,sudo命令允许非root用户以root身份运行各种命令。你可以在/etc/sudoers文件中查到所有的sudo配置。

你可以禁止用户去运行那些root才能运行的命令。

sudo命令被使用的时侯,你可以通过在文件中添加如下一行语句,以配置其向外发送电子邮件。

当然你也可以用如下语句改变sudo的发邮件状态:
mail_always on

SSH调优

只要说到Linux安全,我们必然会讨论到SSH服务。SSH应该你的系统中重要的一种服务,它使你能够轻松地连接到自己的系统。而且这可能是在出现各种状况的时候,唯一能让你的系统“幸存”的途径。所以对SSH的调优是非常重要的。

由于我们在本文所使用的是CentOS 7,那么其SSH的配置文件就存放在:
/etc/ssh/sshd_config

让我们来深入了解一下吧。

攻击者所使用的扫描器或自动工具一般尝试运用默认端口22来连接SSH因此通常情况下,你应该改变SSH的原有端口到另一个未使用的端口上,比如说5555

Port 5555

你也可以通过更新PermitRootLogin的值为no来限制root的登录,例如:
PermitRootLogin no

并禁用无密码的通道,且改用公钥登录的方式。
PasswordAuthenticationno
PermitEmptyPasswordsno

其实还有另外一种可能阻止攻击的调整,但它要求SSH通过正向和反向DNS查询远程的主机名,这将在系统日志文件中生成一些适当的警告。你只需启用UseDNS的值便可实现。

UseDNS yes

此外,当GSSAPI服务器被要求验证相关用户的身份时,SSH会调用一个不常用的功能来实现GSSAPI的认证方式。为了避免这种情况可能会引起的某种麻烦,请按照如下将GSSAPIAuthentication设为no:
GSSAPIAuthentication no

考虑到SSH通常会出现的超时问题,你可以通过正确地配置ServerAliveInterval、ServerAliveCountMax和TCPKeepAlive的来进行管控。

例如下面的规则就意味着每隔60秒就产生一个数据包。
ServerAliveInterval15
ServerAliveCountMax3
TCPKeepAlive yes

通过调整这些值,你可以提供一个更长的连接。
ClientAliveInterval30
ClientAliveCountMax5

你可以通过指定那些被允许用来使用SSH的用户名,从而使得SSH服务更为安全。
AllowUsers user1 user2
或者指定允许的组:
AllowGroup group1 group2
除此之外,你还可以为SSH启用诸如Google Authenticator这样的双因素认证方式:
$ yum install google-authenticator
然后运行之,以验证是否成功安装:
$ google-authenticator
你的移动手机上应该已经安装了Googleauthenticator的应用,那么请将下面一行添加到/etc/pam.d/sshd之中。
auth required pam_google_authenticator.so
最后的事情就是通过添加下面一行到/etc/ssh/sshd_config中,以通知SSH
ChallengeResponseAuthentication yes
然后重启你的SSH:
$ systemctl restart sshd
之后,当你使用SSH登录的时候,它将会询问一个验证码。这便意味着你的SSH已经能够应对暴力破解的攻击,且更为稳固了。


  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
发表于 2017-8-29 10:11:45 | 显示全部楼层
感谢版主分享,能注明英文原文出处就更好了,谢谢。
  • 1
  • 2
  • 3
  • 4
  • 5
  • 1
  • 2
  • 3
  • 4
  • 5
平均得分0 (0 评价)
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver | 思科服务支持社区  

GMT+8, 2017-10-17 15:46 , Processed in 0.090335 second(s), 27 queries .

京ICP备09041801号-187

版权所有 :copyright:1992-2019 思科系统  重要声明 | 保密声明 | 隐私权政策 | 商标 |

快速回复 返回顶部 返回列表