网普科技
网普管理员
网普科技人民公仆
积分 3080
发贴 2863
注册 2004-6-26
来自 网普科技
状态 离线
|
#1 linux系统安全(一): 安装与设置
晋亮
网络安全工程师,
2003 年 1 月 09 日
我们把主要精力放在用Linux搭建安全的服务器上面。我们通过系统设置和一些共享的安全软件固化我们的系统,使其能做到真正的安全。第一部分主要从安装和设置方面阐述 Linux 作为服务器应注意的方面。
目前随着网络的逐渐普及,安全问题越来越引起了人们的注意。Linux作为免费的开放源代码操作系统,正在被越来越多地用作服务器平台,而且随着Linux 下应用软件的多样化,很多人(包括笔者)也喜欢使用Linux作为桌面。在这一系列文章中我们把主要精力放在用Linux搭建安全的服务器上面。我们通过系统设置和一些共享的安全软件固化我们的系统,使其能做到真正的安全。由于篇幅原因,不可能论述的很详细,我在这里只是把我们要注意和关心的地方举出来,至于一些其他的常识性的细节不再赘述。
第一部分主要从安装和设置方面阐述 Linux 作为服务器应注意的方面。
1 Linux服务器的安装
大家一定都安装过Linux系统,也许您可能已经很熟练了,但是在这里我们提出一些在安装过程中应该注意的问题:
首先在分区的时候不要只图简单把所有的空间都留给根分区,应该把不同的部分放在不同的分区。强烈的建议您把"/var"和"/tmp"放在不同的分区,如果您的服务器有较多的用户访问,这几乎是您所必须做的。另外最好把"/var"和"/usr"放在不同的分区,这样可以避免由于日志或用户的原因是您的硬盘被占满或直接导致您的服务器性能降低。对分区的最后一点警告就是如果您要提供一种或多种服务,一定要把这个服务有关的东西放在单独一个分区,例如:您如果要建一台WWW服务器,您在分区时候一定要留一个单独的分区(例如:"/www"),将来您可以用chroot提高这种服务的安全性。
另外一个重要的问题是安装时软件包的选择。我们用Redhat作为例子,出于安全和性能的考虑,您必须选择"Select individual package"单选框,这样您就可以进行软件包的选择。有些软件是您不必安装的,有些软件是安装后必须卸载的,有些是安装后必须安装的。我们下面给出清单:
不必安装的软件包:CODE: [Copy to clipboard]
Applications/Archiving: dump
Applications/File: git
Applications/Internet: finger, ftp, fwhois, ncftp, rsh, rsync, talk, telnet
Applications/Publishing: ghostscript, ghostscript-fonts, mpage, rhs-printfilters
Applications/System: arpwatch, bind-utils, knfsd-clients, procinfo, rdate, rdist, screen, ucd-snmp-utils
Documentation/indexhtml
System Environment/Base: chkfontpath, yp-tools
System Environment/Daemons: XFree86-xfs, lpr, pidentd, portmap, routed, rusers, rwho, tftp, ucd-snmp, ypbind
System Environment/Libraries: XFree86-libs, libpng
User Interface/X: XFree86-75dpi-fonts, urw-fonts 安装后必须卸载的软件包:CODE: [Copy to clipboard]
pump apmd isapnptools redhat-logos mt-st kernel-pcmcia-cs setserial
redhat-release eject linuxconf kudzu gd bc getty_ps raidtools pciutils mailcap setconsole gnupg 安装后必须安装的软件包(有了这些软件包我们才可以编译程序):CODE: [Copy to clipboard]
autoconf-2.13-5.noarch.rpm m4-1.4-12.i386.rpm automake-1.4-5.noarch.rpm
dev86-0.14.9-1.i386.rpm bison-1.28-1.i386.rpm byacc-1.9-11.i386.rpm
cdecl-2.5-9.i386.rpm cpp-1.1.2-24.i386.rpm cproto-4.6-2.i386.rpm
ctags-3.2-1.i386.rpm egcs-1.1.2-24.i386.rpm ElectricFence-2.1-1.i386.rpm
flex-2.5.4a-7.i386.rpm gdb-4.18-4.i386.rpm kernel-headers-2.2.12-20.i386.rpm
glibc-devel-2.1.2-11.i386.rpm make-3.77-6.i386.rpm patch-2.5-9.i386.rpm 在您对您的服务器的所有工作做完以后(以后不再有编译的需要了),把上面这些软件包从您的系统中删除。这样即使有人侵入了您的系统,他也不能在上面编译程序,而且这样还可以使您以后进行完整性检查的速度加快。您可以把上面这些软件包保存在活动介质上以便以后使用,可能上面这些不是最新的版本,您可以去下载目前最新最稳定的版本。
2 系统设置
2.1 口令和帐号
首先你必须设置BIOS的口令,现在的个人计算机系统大都支持这种设置。
其次你必须为你的lilo的单用户模式设置口令限制,在/etc/lilo.conf中第一个引导的image前面加入下面的信息:CODE: [Copy to clipboard]
restricted
passwd="your password" "your passwd"是您所所要设定的单用户模式引导的密码。设置完成用lilo -u使lilo重新读取/etc/lilo.conf中的信息。
另外就是用户的密码包括根用户的密码,系统默认的用户密码是5位。您可以编辑"/etc/login.defs"文件,把最小口令长度由5改成8。找到 PASS_MIN_LEN 5 这一行,改为:PASS_MIN_LEN 8 。"login.defs"是很重要的配置文件。可以在这个文件中设定一些其它的安全策略,比如:口令的有效期。
口令的选择不应包括字典中有的词汇,这样是十分危险的。正确的口令应该足够长,比且使用一些特殊字符。
系统中有许多预置帐号,如果你没有使用,一定要将这些帐号删掉。这些没有安全的口令对系统的安全性是一个巨大的挑战。
一个值得注意的命令是chage.您可以使用它设置帐号的时间限制。(具体见man chage).
对于根用户而言,您可以设置/etc/securetty.这个文件可以限制根用户登陆的控制台。您可以用"#"符号注释掉不许可根用户登陆的控制台号。
可以通过下面的脚本禁止对控制台的访问:CODE: [Copy to clipboard]
# !/bin/sh
cd /etc/pam.d
for i in * ; do
sed '/[^#].*pam_console.so/s/^/#/' < $i > foo && mv foo $I
done 然后禁止使用所有的控制台程序,如:shutdown和halt。可以运行下面的命令来实现:CODE: [Copy to clipboard]
[root@sound]# rm -f /etc/security/console.apps/servicename 截短您的 "~/.bash_history"文件,这个文件中保存着以前使用的命令列表。截短这个文件可以使您以前执行过的命令暴露在别人眼光下的机会减小.(在您的命令中很可能包括象密码信息这样的保密信息)。通过编辑/etc/profile的下面两项可以做到这一点:CODE: [Copy to clipboard]
HISTFILESIZE=20
HISTSIZE=20 __
通过下面的措施可以防止任何人都可以su为root:
1编辑su文件(vi /etc/pam.d/su)在文件的头部加入下面两行:CODE: [Copy to clipboard]
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel 2 然后把您想要执行su成为root的用户放入wheel组CODE: [Copy to clipboard]
[root@sound]# usermod -G10 admin 2.2 权限与文件系统
linux的ext2文件系统有属性功能这个特点。我们可以用lsattr命令列出文件的属性,用chattr命令改变文件的属性。文件系统的属性有很多种,我们在这里要注意的是两个属性:CODE: [Copy to clipboard]
对于系统种的配置文件,最好设置不可改变属性,而对于一些日志文件最好设置只可添加属性。下面是两个具体例子:CODE: [Copy to clipboard]
chattr +i /etc/inetd.conf
chattr +a /var/log/secure 如果要去掉这些属性,将上面命令中的"+"号变为"-"号。
另外我们要对mount的文件系统做限制,这个配置在/etc/fstab中。通过设置mount选项我们可以使我们mount上来的文件系统更安全。常用的mount选项有default,nodev,noexec,nosuid,noatime,ro,user等。
我们还可以对系统资源做限制使我们的系统更加安全,看下面的方法:
编辑limits.conf文件(vi /etc/security/limits.conf),加入或改变下面这些行:CODE: [Copy to clipboard]
* hard core 0
* hard rss 5000
* hard nproc 20 这些行的的意思是:"core 0"表示禁止创建core文件;"nproc 20"把最多进程数限制到20;"rss 5000"表示除了root之外,其他用户都最多只能用5M内存。上面这些都只对登录到系统中的用户有效。通过上面这些限制,就能更好地控制系统中的用户对进程、core文件和内存的使用情况。星号"*"表示的是所有登录到系统中的用户。
然后必须编辑"/etc/pam.d/login"文件,在文件末尾加入下面这一行:CODE: [Copy to clipboard]
session required /lib/security/pam_limits.so 2.3 其他一些设置
1 在/etc/inetd.conf中注释掉不需要的服务
2 在/etc/host.allow和/etc/host.deny中设置可以访问您的系统的计算机。
3 通过下面的方法使系统对ping没有反应 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
4_用下面的命令在你的服务器上禁止IP原路径路由:CODE: [Copy to clipboard]
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done __把上面的命令加到"/etc/rc.d/rc.local"文件中去.
5 用下面的方法提高系统防止SYN攻击的能力:CODE: [Copy to clipboard]
[root@sound]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies 把这个命令加入"/etc/rc.d/rc.local"文件中
6 使Control-Alt-Delete软关机无效
编辑inittab文件(vi /etc/inittab)把这一行:CODE: [Copy to clipboard]
ca::ctrlaltdel:/sbin/shutdown -t3 -r now 改为:CODE: [Copy to clipboard]
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now 用下面的命令使改变生效:CODE: [Copy to clipboard]
[root@sound]# /sbin/init q 7 去掉用户提示信息
编辑"/ect/rc.d/rc.local"文件,在下面这些行的前面加上"#":CODE: [Copy to clipboard]
--
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
-- 然后删除"/etc"目录下的 "issue.net"和"issue"文件: "/etc/issue.net"文件是用户从网络登录计算机时(例如:telnet、SSH),看到的登录提示。同样在"/etc"目录下还有一个 "issue"文件,是用户从本地登录时看到的提示。这两个文件都是文本文件,可以根据需要改变。但是,如果想删掉这两个文件,必须向上面介绍的那样把 "/etc/rc.d/rc.local"脚本中的那些行注释掉,否则每次重新启动的时候,系统又会重新创建这两个文件。
参考资料
* www.redhat.com―――红帽linux的主站
* www.debian.org―――debian linux发行版的主站
* www.linuxforum.net―――中国最大的linux论坛
* www.linuxbyte.net―――国内整合比较好的linux网站
* www.nsfocus.com―――绿盟的站点
* www.securityfocus.com―――国外整合很好的安全网站
关于作者
晋亮,网络安全工程师, 可以通过 sound810@sina.com和他联系。
|
天理路上甚宽,稍游心,胸中便觉广大宏朗;
人欲路上甚窄,才寄迹,眼前俱是荆棘泥涂。
网普科技,优质美国主机服务!
美国Linux主机,美国虚拟主机
支持PHP+MYSQL+cPanel+EMAIL
为用户负责,拒绝反动、赌博及色情内容! QQ:126818
 发送QQ消息 |
|
