《Linux网关及安全应用总结》由会员分享,可在线阅读,更多相关《Linux网关及安全应用总结(6页珍藏版)》请在金锄头文库上搜索。
1、第一章 系统安全常规优化一、 用户账号安全优化1、 基本安全措施删除系统中不使用的用户和组passwd -l zhangsan或 vi /etc/shadow(用户名前加!)userdel lp确认程序或服务用户的登录shell不可用vi /etc/passwdusermod s /sbin/nologin rpm限制用户的密码有效期(最大天数)vi /etc/login.defs (PASS_MAX_DAYS30)只对新建立的用户有效chage -M 30 zhangsan对已有用户有效指定用户在下次登录时必须修改密码Chage -d 0 zhangsan限制用户密码的最小长度vi /etc
2、/pam.d/system-authpassword requisite pam_cracklib.so try_first_pass retry=3 minlen=12限制记录命令历史的条数HISTSIZE=100设置闲置超时自动注销终端vi /etc/profileexport TMOUT=6002、 使用su切换切换用户身份gpasswd -a zhangsan wheelvi /etc/pam.d/suauth required pam_wheel.so use_uid3、 使用sudo提升执行权限vi /etc/sudoers或 visudo用户主机名=(权限用户)NOPASSWD:
3、命令列表lisilocalhost=/sbin/ifconfigjerrylocalhost= NOPASSWD:/sbin/ifconfig%wheelALL=(ALL)NOPASSWD:ALLzhangsanlocalhost=(lisi)NOPASSWD:ALL使用sudo执行命令(以jerry为例)sudo -lsudo /sbin/ifconfig eth0 10.0.0.1二、 文件和文件系统安全优化1、 文件系统层次的安全优化合理规划系统分区建议部分分区为独立的分区/boot、/home、/var、/opt等通过挂载选项禁止执行set位程序、二进制程序vi /etc/fstab/
4、dev/sdc1/varext3defaults,noexec1 2mount -o remount/var锁定不希望更改的系统文件chattr +i /etc/services /etc/passwd /boot/grub.conflsattr /etc/passwdchattr -i /etc/passwd2、 应用程序和服务关闭不需要的系统服务,如cupsd、bluetooth等禁止普通用户执行init.d目录中的脚本chmod -R o-rwx /etc/init.d或chmod -R 750 /etc/init.d/禁止普通用户执行控制台程序cd /etc/security/cons
5、ole.apps/tar jcpvf /etc/conheplpw.tar.bz2 poweroff halt reboot -remove去除程序文件中非必需的set-uid或set-gid附加权限find / -type f -perm +6000 /etc/svi /usr/sbin/chksfile#!/bin/bashOLD_LIST=/etc/sfor i in find / -type f -perm +6000dogrep -F “$i” $OLD_LIST /dev/null $? -ne 0 & ls -lh $idonechmod 700 /usr/bin/chksfil
6、e三、 系统引导和登录安全优化1、开关机安全控制调整BIOS引导设置(只设置系统硬盘启动,并设置BIOS口令)防止用户Ctrl+Alt+Del热键重启系统(vi /etc/inittab)2、GRUB引导菜单加密vi /boot/grub/grub.conf添加password 123456(可通过grub-md5-crypt生成加密字串)Password -md5 加密字串3、终端及登录控制即时禁止普通用户登录:touch /etc/nologin控制服务器开放的tty终端vi /etc/inittab控制允许root用户登录的tty终端 vi /etc/securetty更改系统登录提示,
7、隐藏内核版本信息 vi /etc/issue、vi /et使用pam_access认证控制用户登录地点禁止除了root以外的用户从tty1终端上登录系统vi /etc/pam.d/loginaccount required pam_access.sovi /etc/security/access.conf- : ALL EXCEPT root : tty1禁止root用户从192.168.1.0/24、172.16.0.0/16网络中远程登录vi /etc/pam.d/sshdaccount required pam_access.sovi /etc/security/access.conf-
8、 : root :192.168.1.0/24 172.16.0.0/8第二章 配置iptables防火墙(一)一、 netfilter/iptables1、规则表:filter:INPUT、OUTPUT、FORWARDnat:PREROUTING、POSTROUTING、OUTPUTmangle:PREROUTING、POSTROUTING、FORWARD、INPUT、OUTPUTraw:OUTPUT、PREROUTING2、 数据包过滤匹配流程规则表优先顺序:raw、mangle、nat、filter各规则间的优先顺序:按顺序匹配处理,有匹配项并处理后,不再继续查找(除LOG记录日志外),
9、均不匹配,按默认规则处理二、 管理和设置iptables规则1、 iptables -t 表名 命令选项 链名 条件匹配 -j 目标动作或跳转iptables -t 表名 命令选项 链名 条件匹配 -j 目标动作或跳转-tfilter-A INPUT 通用条件匹配-jDROP-tnat-D OUTPUT-p icmp/tcp/udp-jACCEPT-tmangle-I FORWARD-s10.0.0.0/8-jREJECT-traw-L PREROUTING-d20.0.0.10-jLOG-F POSTROUTING 隐含条件匹配-jSNAT-X-dport 22-jDNAT-N-sport2
10、0:1024-jREDIRECT-ntcp标记匹配-v-tcp-flags!SYN,RST,ACK SYN-VICMP类型匹配-h-icmp-typeEcho-Request-P-icmp-typeEcho-Reply-line-numbers-icmp-typedestination-Unreachable显式条件匹配-mmac -mac-source-m multiport -dport 20,21,25-m iprange -src-range 10.0.0.10-10.0.0.100-mstate -state NEW-mstate -state ESTABLISHED,RELATED
11、-m limit -limit 3/minute -limit-burst 8 -j LOG2、 语法示例:iptables -L INPUT -line-numbersiptables -vnLiptables -D INPUT 2iptables -Fiptables -t nat -Fiptables -t mangle -Fiptables -t filter -P FORWARD DROPiptables -POUTPUTACCEPTiptables-picmp-hiptables-traw-NTCP_PACKETSiptables-traw-Xiptables-IINPUT-p-j
12、REJECTiptables-AFORWARD-p! icmp-jACCEPTiptables-LFORWARDiptables-AFORWARD-s192.168.1.11-jREJECTiptables-AFORWARD-s192.168.0.0.24-jACCEPTiptables-AINPUT-ieth1-s192.168.0.0/16-jDROPiptables-IINPUT-s10.0.0.0/8-jDROPiptables-AINPUT-ptcp-dport22-s202.13.0.0/16-jACCEPTiptables-AINPUT-pINPUT-ptcp-dport20:1024-jACCEPTiptables-AFORWARD-s192.168.0.0/24-pudp-dport53-jACCEPTiptables-AFORWARD-d192.168.0.0/24-pudp-sport53-jACCEPTiptables-IINPUT-ieth1-ptcp-tcp-flagsSYN,RST,ACKSYN-jREJECTiptables-IINPUT-ieth1-ptcp-tcp-flags! SYN,RST,ACKSYN-jACCEPTiptables-AINPUT-
