[[186977]]

1.概述

Linux服務(wù)器版本：RedHat Linux AS 2.1

對于開放式的操作系統(tǒng)---Linux，系統(tǒng)的安全設(shè)定包括系統(tǒng)服務(wù)最小化、限制遠(yuǎn)程存取、隱藏重要資料、修補(bǔ)安全漏洞、采用安全工具以及經(jīng)常性的安全檢查等。

本文主要從用戶設(shè)置、如何開放服務(wù)、系統(tǒng)優(yōu)化等方面進(jìn)行系統(tǒng)的安全配置，以到達(dá)使Linux服務(wù)器更安全、穩(wěn)定。

2.用戶管理

在Linux系統(tǒng)中，用戶帳號是用戶的身份標(biāo)志，它由用戶名和用戶口令組成。

系統(tǒng)將輸入的用戶名存放在/etc/passwd文件中，而將輸入的口令以加密的形式存放在/etc/shadow文件中。

在正常情況下，這些口令和其他信息由操作系統(tǒng)保護(hù)，能夠?qū)ζ溥M(jìn)行訪問的只能是超級用戶(root)和操作系統(tǒng)的一些應(yīng)用程序。但是如果配置不當(dāng)或在一些系統(tǒng)運(yùn)行出錯的情況下，這些信息可以被普通用戶得到。進(jìn)而，不懷好意的用戶就可以使用一類被稱為“口令破解”的工具去得到加密前的口令。

2.1 刪除系統(tǒng)特殊的的用戶帳號和組帳號：  

以上所刪除用戶為系統(tǒng)默認(rèn)創(chuàng)建，但是在常用服務(wù)器中基本不使用的一些帳號，但是這些帳號常被黑客利用和攻擊服務(wù)器。  

同樣，以上刪除的是系統(tǒng)安裝是默認(rèn)創(chuàng)建的一些組帳號。這樣就減少受攻擊的機(jī)會。

2.2用戶密碼設(shè)置：

安裝linux時默認(rèn)的密碼最小長度是5個字節(jié)，但這并不夠，要把它設(shè)為8個字節(jié)。修改最短密碼長度需要編輯login.defs文件(vi /etc/login.defs)   

2.3 修改自動注銷帳號時間：

自動注銷帳號的登錄，在Linux系統(tǒng)中root賬戶是具有最高特權(quán)的。如果系統(tǒng)管理員在離開系統(tǒng)之前忘記注銷root賬戶，那將會帶來很大的安全隱患，應(yīng)該讓系統(tǒng)會自動注銷。通過修改賬戶中“TMOUT”參數(shù)，可以實現(xiàn)此功能。TMOUT按秒計算。編輯你的profile文件(vi /etc/profile),在"HISTSIZE="后面加入下面這行：

TMOUT=300

300，表示300秒，也就是表示5分鐘。這樣，如果系統(tǒng)中登陸的用戶在5分鐘內(nèi)都沒有動作，那么系統(tǒng)會自動注銷這個賬戶。

2.4 給系統(tǒng)的用戶名密碼存放文件加鎖：   

注：chattr是改變文件屬性的命令，參數(shù)i代表不得任意更動文件或目錄,此處的i為不可修改位(immutable)。查看方法：lsattr /etc/passwd

3.服務(wù)管理

在Linux系統(tǒng)的服務(wù)管理方面，如果想做到服務(wù)的最好安全，其中主要的就是升級服務(wù)本身的軟件版本，另外一個就是關(guān)閉系統(tǒng)不使用的服務(wù)，做到服務(wù)最小化。

3.1 關(guān)閉系統(tǒng)不使用的服務(wù)：   

在這里有兩個方法，可以關(guān)閉init目錄下的服務(wù)，一、將init目錄下的文件名mv成*.old類的文件名，即修改文件名，作用就是在系統(tǒng)啟動的時候找不到這個服務(wù)的啟動文件。二、使用chkconfig系統(tǒng)命令來關(guān)閉系統(tǒng)啟動等級的服務(wù)。

注：在使用以下任何一種方法時，請先檢查需要關(guān)閉的服務(wù)是否是本服務(wù)器特別需要啟動支持的服務(wù)，以防關(guān)閉正常使用的服務(wù)。

第一種：修改文件名的方法   

第二種：使用chkcofig命令來關(guān)閉不使用的系統(tǒng)服務(wù)   

注：以上chkcofig 命令中的3和5是系統(tǒng)啟動的類型，3代表系統(tǒng)的多用啟動方式，5代表系統(tǒng)的X啟動方式。

3.2 給系統(tǒng)服務(wù)端口列表文件加鎖

主要作用：防止未經(jīng)許可的刪除或添加服務(wù)   

3.3 修改ssh服務(wù)的root登錄權(quán)限

修改ssh服務(wù)配置文件，使的ssh服務(wù)不允許直接使用root用戶來登錄，這樣建設(shè)系統(tǒng)被惡意登錄攻擊的機(jī)會。   

將這行前的#去掉后，修改為：PermitRootLogin no

4.系統(tǒng)文件權(quán)限

Linux文件系統(tǒng)的安全主要是通過設(shè)置文件的權(quán)限來實現(xiàn)的。每一個Linux的文件或目錄，都有3組屬性，分別定義文件或目錄的所有者，用戶組和其他人的使用權(quán)限(只讀、可寫、可執(zhí)行、允許SUID、允許SGID等)。特別注意，權(quán)限為SUID和SGID的可執(zhí)行文件，在程序運(yùn)行過程中，會給進(jìn)程賦予所有者的權(quán)限，如果被黑客發(fā)現(xiàn)并利用就會給系統(tǒng)造成危害。

4.1 修改init目錄文件執(zhí)行權(quán)限：   

4.2修改部分系統(tǒng)文件的SUID和SGID的權(quán)限： 

4.3修改系統(tǒng)引導(dǎo)文件 

5.系統(tǒng)優(yōu)化

5.1 虛擬內(nèi)存優(yōu)化：

一般來說，linux的物理內(nèi)存幾乎是完全used。這個和windows非常大的區(qū)別，它的內(nèi)存管理機(jī)制將系統(tǒng)內(nèi)存充分利用，并非windows無論多大的內(nèi)存都要去使用一些虛擬內(nèi)存一樣。

在/proc/sys/vm/freepages中三個數(shù)字是當(dāng)前系統(tǒng)的:最小內(nèi)存空白頁、最低內(nèi)存空白頁和最高內(nèi)存空白。

注意，這里系統(tǒng)使用虛擬內(nèi)存的原則是:如果空白頁數(shù)目低于最高空白頁設(shè)置，則使用磁盤交換空間。當(dāng)達(dá)到最低空白頁設(shè)置時，使用內(nèi)存交換。內(nèi)存一般以每頁4k字節(jié)分配。最小內(nèi)存空白頁設(shè)置是系統(tǒng)中內(nèi)存數(shù)量的2倍;最低內(nèi)存空白頁設(shè)置是內(nèi)存數(shù)量的4倍;最高內(nèi)存空白頁設(shè)置是系統(tǒng)內(nèi)存的6倍。

以下以1G內(nèi)存為例修改系統(tǒng)默認(rèn)虛擬內(nèi)存參數(shù)大?。?/p>

 [[186994]] 

6.日志管理

6.1 系統(tǒng)引導(dǎo)日志：

dmesg

使用 dmesg 命令可以快速查看最后一次系統(tǒng)引導(dǎo)的引導(dǎo)日志。通常它的

內(nèi)容會很多，所以您往往會希望將其通過管道傳輸?shù)揭粋€閱讀器。

6.2 系統(tǒng)運(yùn)行日志：

A、Linux 日志存儲在 /var/log 目錄中。這里有幾個由系統(tǒng)維護(hù)的日志文件，但其他服務(wù)和程序也可能會把它們的日志放在這里。大多數(shù)日志只有 root 才可以讀，不過只需要修改文件的訪問權(quán)限就可以讓其他人可讀。

以下是常用的系統(tǒng)日志文件名稱及其描述： 

B、/var/log/messages

messages 日志是核心系統(tǒng)日志文件。它包含了系統(tǒng)啟動時的引導(dǎo)消息，以及系統(tǒng)運(yùn)行時的其他狀態(tài)消息。IO 錯誤、網(wǎng)絡(luò)錯誤和其他系統(tǒng)錯誤都會記錄到這個文件中。其他信息，比如某個人的身份切換為 root，也在這里列出。如果服務(wù)正在運(yùn)行，比如 DHCP 服務(wù)器，您可以在messages 文件中觀察它的活動。通常，/var/log/messages 是您在做故障診斷時首先要查看的文件。

C、/var/log/XFree86.0.log

這個日志記錄的是 Xfree86 Xwindows 服務(wù)器最后一次執(zhí)行的結(jié)果。如果您在啟動到圖形模式時遇到了問題，一般情況從這個文件中會找到失敗的原因。

D、在/var/log 目錄下有一些文件以一個數(shù)字結(jié)尾，這些是已輪循的歸檔文件。日志文件會變得特別大，特別笨重。Linux 提供了一個命令來輪循這些日志，以使您的當(dāng)前日志信息不會淹沒在舊的無關(guān)信息之中。 logrotate 通常是定時自動運(yùn)行的，但是也可以手工運(yùn)行。當(dāng)執(zhí)行后，logrotate 將取得當(dāng)前版本的日志文件，然后在這個文件名最后附加一個“.1”。其他更早輪循的文件為“.2”、“.3”，依次類推。文件名后的數(shù)字越大，日志就越老。

可以通過編輯 /etc/logrotate.conf 文件來配置 logrotate 的自動行為。通過 man logrotate 來學(xué)習(xí) logrotate 的全部細(xì)節(jié)。

其中：

# rotate log files weekly

weekly

這里代表每個日志文件是每個星期循環(huán)一次，一個日志文件保存一個星期的內(nèi)容。

# keep 4 weeks worth of backlogs

rotate 4

這里代表日志循環(huán)的次數(shù)是4次，即可以保存4個日志文件。

E、定制日志

可以通過編輯 /et/syslog.conf 和 /etc/sysconfig/syslog 來配置它們的行為，可以定制系統(tǒng)日志的存放路徑和日志產(chǎn)生級別。

6.3 系統(tǒng)各用戶操作日志：

last

單獨執(zhí)行l(wèi)ast指令，它會讀取位于/var/log目錄下，名稱為wtmp的文件，并把該給文件的內(nèi)容記錄的登入系統(tǒng)的用戶名單全部顯示出來。

history

history命令能夠保存最近所執(zhí)行的命令。如果是root命令所保存的命令內(nèi)容在/root/.bash_history文件中，如果是普通用戶，操作所命令保存在這個用戶的所屬目錄下，即一般的/home/username/.bash_history。這個history的保存值可以設(shè)置，編輯/etc/profile文件，其中的HISTSIZE=1000的值就是history保存的值。

7.防火墻

7.1 iptables類型防火墻：

7.1.1 iptables概念：

Iptalbes(IP包過濾器管理)是用來設(shè)置、維護(hù)和檢查Linux內(nèi)核的IP包過濾規(guī)則的。

可以定義不同的表，每個表都包含幾個內(nèi)部的鏈，也能包含用戶定義的鏈。每個鏈都是一個規(guī)則列表，對對應(yīng)的包進(jìn)行匹配：每條規(guī)則指定應(yīng)當(dāng)如何處理與之相匹配的包。這被稱作'target'(目標(biāo))，也可以跳向同一個表內(nèi)的用戶定義的鏈。

通過使用用戶空間，可以構(gòu)建自己的定制規(guī)則，這些規(guī)則存儲在內(nèi)核空間的信息包過濾表中。這些規(guī)則具有目標(biāo)，它們告訴內(nèi)核對來自某些源、前往某些目的地或具有某些協(xié)議類型的信息包做些什么。如果某個信息包與規(guī)則匹配，那么使用目標(biāo) ACCEPT 允許該信息包通過。還可以使用目標(biāo) DROP 或 REJECT 來阻塞并殺死信息包。對于可對信息包執(zhí)行的其它操作，還有許多其它目標(biāo)。

根據(jù)規(guī)則所處理的信息包的類型，可以將規(guī)則分組在鏈中。處理入站信息包的規(guī)則被添加到INPUT 鏈中。處理出站信息包的規(guī)則被添加到 OUTPUT 鏈中。處理正在轉(zhuǎn)發(fā)的信息包的規(guī)則被添加到 FORWARD 鏈中。這三個鏈?zhǔn)腔拘畔^濾表中內(nèi)置的缺省主鏈。另外，還有其它許多可用的鏈的類型(如 PREROUTING 和 POSTROUTING)，以及提供用戶定義的鏈。每個鏈都可以有一個策略，它定義“缺省目標(biāo)”，也就是要執(zhí)行的缺省操作，當(dāng)信息包與鏈中的任何規(guī)則都不匹配時，執(zhí)行此操作。

建立規(guī)則并將鏈放在適當(dāng)?shù)奈恢弥?，就可以開始進(jìn)行真正的信息包過濾工作了。這時內(nèi)核空間從用戶空間接管工作。當(dāng)信息包到達(dá)防火墻時，內(nèi)核先檢查信息包的頭信息，尤其是信息包的目的地。我們將這個過程稱為路由。

如果信息包源自外界并前往系統(tǒng)，而且防火墻是打開的，那么內(nèi)核將它傳遞到內(nèi)核空間信息包過濾表的 INPUT 鏈。如果信息包源自系統(tǒng)內(nèi)部或系統(tǒng)所連接的內(nèi)部網(wǎng)上的其它源，并且此信息包要前往另一個外部系統(tǒng)，那么信息包被傳遞到 OUTPUT 鏈。類似的，源自外部系統(tǒng)并前往外部系統(tǒng)的信息包被傳遞到 FORWARD 鏈。

7.1.2 iptables實例1： 

7.1.3 iptables實例2：

注：這個實例中，只需要設(shè)置tcp、udp端口和服務(wù)器網(wǎng)絡(luò)段ip范圍即可，其他已經(jīng)默認(rèn)設(shè)置好。 

7.2 ipchains類型防火墻：

7.2.1 ipchains概念：

Ipchains 被用來安裝、維護(hù)、檢查Linux內(nèi)核的防火墻規(guī)則。規(guī)則可以分成四類：IP input鏈、IP output鏈、IP forward鏈、user defined 鏈。

一個防火墻規(guī)則指定包的格式和目標(biāo)。當(dāng)一個包進(jìn)來時, 核心使用input鏈來決定它的命運(yùn)。 如果它通過了, 那么核心將決定包下一步該發(fā)往何處(這一步叫路由)。假如它是送往另一臺機(jī)器的, 核心就運(yùn)用forward鏈。如果不匹配，進(jìn)入目標(biāo)值所指定的下一條鏈，那有可能是一條user defined鏈，或者是一個特定值: ACCEPT，DENY，REJECT，MASQ，REDIRECT，RETURN。

ACCEPT意味著允許包通過，DENY 扔掉包就象沒有受到過一樣，REJECT也把包扔掉，但(假如它不是 ICMP 包)產(chǎn)生一個 ICMP 回復(fù)來告訴發(fā)包者，目的地址無法到達(dá)(請注意DENY和REJECT對于ICMP包是一樣的)。

MASQ 告訴核心偽裝此包，它只對forward 鏈和user defined鏈起作用，想讓它起作用, 編譯核心時必需讓 IP Masquerading 起作用。

REDIRECT只對input鏈和user defined鏈起作用。它告訴核心把無論應(yīng)送到何處的包改送到一個本地端口. 只有 TCP 和 UDP 協(xié)議可以使用此指定. 任意用 '-j REDIRECT' 指定一個端口(名字或編號)可以使送往此的包被重定向到某個特殊的端口, 即使它被標(biāo)記為送到其它端口。想讓它起作用，編譯內(nèi)核時，必須讓CONFIG_IP_TRANSPARENT_PROXY起作用。

最后的一個目標(biāo)指定是 RETURN, 它跳過它下面的所有規(guī)則, 直到鏈的末尾。

任何其它的目標(biāo)指定表示一個用戶自定義的鏈。包將在那個鏈中通過. 假如那個鏈沒有決定此包的命運(yùn), 那么在那個鏈中的傳輸就完成了，包將通過當(dāng)前鏈的下一個規(guī)則。

7.2.2 ipchains實例：

##清除input規(guī)則的規(guī)則，并改變input默認(rèn)的規(guī)則鏈策略為REJECT 

##以下是允許input規(guī)則鏈的tcp端口為：80 81 22 123 

##設(shè)置除了以上允許的input規(guī)則鏈以為，拒絕0-1023、2049、6000-6009、7100的tcp和upd端口， 

##允許系本身統(tǒng)網(wǎng)卡上發(fā)生的所有包通過 

##清除output規(guī)則的規(guī)則，并改變output默認(rèn)的規(guī)則鏈策略為ACCEPT-F 

##清除forward規(guī)則的規(guī)則，并改變forward默認(rèn)的規(guī)則鏈策略為DENY,設(shè)置了forward規(guī)則鏈允許對10.10.11.0/24網(wǎng)段的包可以轉(zhuǎn)發(fā)并且做偽裝處理。