• linux加固目标和对象


    一.  linux加固目标和对象

    项目加固的目标:  解决今年信通公司在风险评估工作中发现的linux服务器存在的安全问题,并结合南方电网安全基线标准修订版部署相关要求,将linux服务器的安全状况提升到一个较高的安全防护水平,尽可能降低由linux服务器带来的安全风险对电网信息业务正常运行的安全威胁。

    项目加固的对象:本次信息安全加固对象主要包括贵州电网信通公司信息系统内的linux系统。具体设备见附录《linux系统主机》 

     

     

    二.  加固方案

    2.1  设备管理

    2.1.1  加固内容:安装SSH

        描     述:SSH 是通过加密进行连接,提高信息传递的安全性

     

    步     骤:  1.上传ssh  ssl rpm包。

                 2.安装ssl包:rpm –ivh openssl-xxxx.rpm

                 2.安装rpm包: rpm –ivh openssh-server-xxxx.rpm

    注意事项: 需要先安装ssl再安装ssh

    存在风险应急处理措施: 不存在风险,安装不成功可用

    rpm –E openssh-server-xx.rpm 回退

     

    是否实施:

    2.1.2  加固内容:使用TCP Wrapper配置访问控制

        描     述:设置访问策略,可以防止非授权访问

    步     骤: 1.打开hosts.allow文件添加允许ssh登录的ip,添加行格式为:

                  sshd:192.168.0.1  (单个地址)

                  sshd:192.168.0.0/255.255.255.0  (地址段)

                2.打开hosts.deny文件添加一条拒绝所有的行:

                  sshd:ALL

    注意事项: 做安全加固的PC机地址必须在允许的地址列表里

    存在风险应急处理措施: 设置后,不在允许地址里的pc机将不能登录服务器。回退方法:删除hosts.allow和hosts.deny文件里添加的行

     

    是否实施:

    2.2  用户账号与口令安全

    2.2.1  加固内容:限制系统无用的默认账号登录

        描     述: 限制无用帐号可以防止攻击者通过默认帐号进行攻击的行为

    步     骤: 使用命令锁定无用帐号:#passwd –l  帐号名,需要锁定如下帐号:

                Daemon

    Bin

    Sys

    Adm

    Uucp

    Lp

    nobody

    注意事项: 这些帐号默认都为锁定,不能登录

    存在风险应急处理措施: 不存在风险。回退方法: #passwd –u  帐号名

     

    是否实施:

    2.2.2  加固内容:禁止root远程登录

        描     述:禁止root远程登录,可以防止远程给自己以root权限进行连接

    步     骤: 1.修改文件/etc/ssh/sshd_config,把参数PermitRootLogin no 取消注释,并把“no”改为“yes”

               2.重启sshd:#service sshd restart

    注意事项:

    存在风险应急处理措施: 配置后,root不能远程登录,需要准备一个普通管理员帐号登录后再切换成root。回退措施:把/etc/ssh/sshd_config中的 PermitRootLogin改为yes,重启sshd

     

    是否实施:

    2.2.3  加固内容:设置口令策略

    描     述:设置口令策略,可以提高帐号的安全性

    步     骤: 修改文件/etc/login.defs

                PASS_MAX_DAYS  180  密码使用最长期限为180天

    PASS_MIN_DAYS  1     密码1天之内不能更改

    PASS_WARN_AGE  28   密码过期之前28天提示修改

    PASS_MIN_LEN  8      密码长度最小8位字符

    注意事项: 修改了密码策略后,不符合标准的密码会在用户登录时强制修改密码

    存在风险应急处理措施: 不存在风险。回退措施:根据在加固前所记录的帐户属性,修改设置到系统加固前状态

     

    是否实施:

    2.2.4  加固内容:控制用户登录会话时间

    描     述:设置登录超时可以控制用户登录会话,提高系统安全性

    步     骤: 设置用户600秒后连接自动断开

    1. 在/etc/profile文件添加行

       TMOUT=600

    1. 重读环境变量

    #export  /etc/profile

    注意事项:

    存在风险应急处理措施: 无风险。回退方法:在/etc/profile文件里注释TMOUT=600

     

    是否实施:

     

    2.2.5  加固内容:禁止root用户使用FTP

        描     述:禁止root用户使用ftp可以防止传输的文件具有高权限

    步     骤: 1.在/etc/ftpusers文件里添加root

                    2.重启vsftpd。 #service vsftpd restart

    注意事项:

    存在风险应急处理措施: 不存在风险。回退方法:/etc/ftpusers文件里删除root并重启vsftpd

     

    是否实施:

    2.3  日志与审计

    2.3.1  加固内容:捕获authpriv消息

        描     述:启用日志,可以记录,查询攻击行为

    步     骤: 1. 打开syslog配置文件etc/syslog.conf添加行:

    authpriv.*        /var/log/secure

             2.重启syslogd:#service syslogd restart

    注意事项: 系统默认保存authpriv日志

    存在风险应急处理措施: 不存在风险。回退方法:删除或注释配置文件添加行并重启syslogd服务。

     

    是否实施:

    2.3.2  加固内容:日志存储在日志服务器中(可选)

        描     述:日志存储在日志服务器中,可以防止攻击者删除日志,也可以使日志长时间保存。

    步     骤:1.日志服务器的配置:

    #vi /etc/sysconfig/syslog

    将SYSLOGD_OPTIONS="-m 0" 修改成:SYSLOGD_OPTIONS="-r -m 0"

    -r 表示启用记录远程主机的日志

    2.本机配置:

    修改/etc/syslog.conf文件

    # vi /etc/syslog.conf

    *.* @192.168.0.1 表示将本机的日志记录到192.168.0.1这台服务器上。

    3.重启2台服务器日志服务

    /etc/init.d/syslog restart

    注意事项: 如无日志服务器本项不做加固

    存在风险应急处理措施:删除或注释配置文件添加行并重启日志服务

     

    是否实施:

    2.3.3  加固内容:日志必须保存6个月或180天

        描     述:日志保存的时间长,可以查询较长时间的日志

    步     骤:

    注意事项: 系统默认日志保存时间为永久,本项不做加固

    存在风险应急处理措施:

     

    是否实施:

    2.3.4  加固内容:日志系统配置文件保护

        描    :日志文件的保护,可以防止攻击者对日志配置文件的访问

    步     骤: 修改日志配置文件只有管理员可读

                chmod 400  /etc/syslog.conf

    注意事项: 无

    存在风险应急处理措施: 无风险。回退措施:chmod 644 /etc/syslog.conf

     

    是否实施:

    2.4  服务优化

    2.4.1  加固内容:关闭xinetd控制服务

        描    述:关闭不需要的服务可以提高系统的安全性,也可以优化系统。

    步     骤:修改/etc/xinetd.d/下各服务的配置文件:

    把 disable = no 改为  yes  

    保存退出,重启xinetd
    #service xinetd restart

          需要关闭的服务:

                telnet  klogin  kshell  ntalk  tftp 

    注意事项: ntalk也许会没有没有

    存在风险应急处理措施: 不存在风险。回退措施:配置文件里的 disable = yes 改为 no ,重启xinetd服务

     

    是否实施:

    2.4.2  加固内容:关闭FTP服务(可选)

    描     述:关闭不需要的服务,可以提高系统安全性

    步     骤: 1. 闭ftp服务:

    service vsftpd stop

    2.禁止开机启动:

    chkconfig vsftpd off

    注意事项:

    存在风险应急处理措施: 不存在风险。1.启动ftp服务:service vsftpd start 2.设置开机启动ftp服务:chkconfig vsftpd on

     

    是否实施:

    2.4.3  加固内容:关闭sendmail服务(可选)

    描     述: 关闭sendmail服务可以防止利用此服务对系统进行攻击。

    步     骤:1.关闭sendmail服务:

          service sendmail stop

            2.禁止开机启动:

    chkconfig sendmail off

    注意事项: sendmail关闭后系统将收不到邮件

    存在风险应急处理措施: 无风险。回退操作:   1. service sendmail stop 

    2. chkconfig sendmail off

     

    是否实施:

    2.4.4  加固内容:关闭pop3、imap服务

    描     述:关闭不需要的服务,可以提高系统安全性

     

    步     骤: 1.关闭dovecot服务:

    #service dovecot stop

       2.禁止开机启动:

    #chkconfig dovecot off

    注意事项: linux的pop3和imap由dovecot管理,但是系统默认不装dovecot

    存在风险应急处理措施: 邮件服务器上不能关闭此服务。回退方法:

    1.启动dovecot服务:#service dovecot start 

    2.设置开机启动dovecot服务: #chkconfig dovecot on

     

    是否实施:

    2.4.5  加固内容:关闭图形化窗口服务

       描     述:如果不需要可以进行关闭,防止潜在攻击行为

    步     骤: 1.关闭图形化:

    #init 3

       2.设置开机不启动图形化

    #vi /etc/inittab

    修改开机启动runlevel为3

    id:3:initdefault

    注意事项: 重启后开机将不启动图形化

    存在风险应急处理措施: 不存在风险。回退方法:#init  5

     

    是否实施:

    2.4.6  加固内容:关闭普通服务

    描    述:关闭不需要的服务可以提高系统的安全性,也可以优化系统。

    步     骤: 1.使用 service <服务名>  stop 停止服务

       2.使用命令“chkconfig --level <init级别> <服务名>  off”设置服务在各init级别下开机不启动

       3.可以使用 chkconfig –list 查看服务开机启动状态

       4.需要关闭服务:

    nfs、nfslock、autofs、ypbind
    ypserv、yppasswdd、portmap
    smb、netfs、lpd、apache
    httpd、tux、snmpd、named
    postgresql、mysqld、webmin、
    kudzu、squid、cups、ip6tables
    iptables、pcmcia、bluetooth
    NSResponder、apmd、avahi-daemon
    canna、cups-config-daemon
    FreeWnn、gpm、hidd等

    注意事项: nfs、httpd、iptables也许能用到。有些服务默认并没有安装

    存在风险应急处理措施: 无。回退方法:

                            启动服务:service 服务名 start

    设置开机启动服务:chkconfig 服务名 on

     

    是否实施:

     

    2.5  安全防护

    2.5.1  加固内容:设置UMASK值

        描     述: 设置umask值可以定义新建文件的访问权限

    步     骤: 在/etc/profile添加行:  umask=022

    注意事项:

    存在风险应急处理措施:修改后,新建文件权限默认为644.回退方法:改/etc/profile文件到加固前状态

     

    是否实施:

    2.5.2  加固内容:敏感文件的安全保护

    描     述:可以防止攻击者对关键文件的攻击行为

    步     骤:修改如下文件的权限:

    #chmod   644 /etc/passwd

    #chmod   644 /etc/group

    #chmod   400 /etc/shadow

    注意事项:

    存在风险应急处理措施: 无。修改文件的权限到加固之前的权限。

     

    是否实施:

  • 相关阅读:
    Jenkins简明入门(三) -- Blue Ocean,让一切变得简单
    TeamForge使用指南
    Jenkins简明入门(二) -- 利用Jenkins完成Python程序的build、test、deployment
    谈谈Python中的decorator装饰器,如何更优雅的重用代码
    Jenkins简明入门(一) -- 安装
    Python CSV 超简明用法
    Intel CPU命名规则的简略解析
    ef core 2.1 利用Query Type查询视图
    asp.net core 开发环境自定义域名及端口
    ef core 使用include进行外键连接查询
  • 原文地址:https://www.cnblogs.com/HondaHsu/p/4249423.html
Copyright © 2020-2023  润新知