扫码加入知识星球:网络安全攻防(HVV)
下载全套资料
Linux是一套免费使用和自由传播的类Unix操作系统,作为一个开放源代码的操作系统,Linux服务器以其安全、高效和稳定的显著优势而得以广泛应用,但如果不做好权限的合理分配,Linux系统的安全性还是会得不到更好的保障,下面我们将主要使用RHEL7系统,分别从账户安全、登录控制,SeLinux配置等,优化Linux系统的安全性。
Linux是一套免费使用和自由传播的类Unix操作系统,作为一个开放源代码的操作系统,Linux服务器以其安全、高效和稳定的显著优势而得以广泛应用,但如果不做好权限的合理分配,Linux系统的安全性还是会得不到更好的保障,下面我们将主要使用RHEL7系统,分别从账户安全、登录控制,SeLinux配置等,优化Linux系统的安全性。
早在1985年,美国国防部就已经提出了可信计算机系统评测标准TCSEC,TCSEC将系统分成ABCD四类7个安全级别。D级是安全级别最低的级别,C类为自主保护级别;B类为强制保护级别;A类为验证保护类。
• D级,最低安全性 • C1级,主存取控制 • C2级,较完善的自主存取控制(DAC)、审计 • B1级,强制存取控制(MAC) • B2级,良好的结构化设计、形式化安全模型 • B3级,全面的访问控制、可信恢复 • A1级,形式化认证
当前主流的操作系统安全性远远不够,如Windows NT都只能达到C2级,安全性均有待提高,不过经过安全加固后的Linux系统可达到B1的安全级别。
控制系统账户: 系统账户默认存放在cat /etc/passwd
中,你可以手动查询用户信息,我们直接除了Root账户需要登录以外,其他的账户全部设置为禁止登录。
使用 passwd -l 用户名
锁定用户登录,如下我们写BASH
脚本批量的完成这个过程。
#!/bin/bashfor temp in `cut -d ":" -f 1 /etc/passwd | grep -v "root"`do passwd -l $tempdone
修改口令生存期: 口令生存期,即用户密码的过期时间,默认在cat /etc/login.defs | grep "PASS"
中存储着,我们需要把这个时间改小,如下配置即可。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
设置口令复杂度: 设置新建用户时输入的口令复杂程度,该配置默认在cat /etc/pam.d/system-auth
文件中存放。
[root@localhost ~]# vim /etc/pam.d/system-auth#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.password required pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=10
在上方文件中添加如下一行配置,其含义是至少包含一个数字、一个小写字母、一个大写字母、一个特殊字符、且密码长度>=10
限制登录超时: 限制用户登陆成功后的等待时间,当用户终端无操作时则默认断开连接。
[root@localhost ~]# vim /etc/profileTMOUT=300export TMOUT
限制TTY尝试次数: 该配置可以有效的防止,爆破登录情况的发生,其配置文件在cat /etc/pam.d/login
中添加如下配置,这个方法只是限制用户从TTY终端登录,而没有限制远程登录。
[root@localhost ~]# vim /etc/pam.d/login#%PAM-1.0auth required pam_tally2.so deny=3 lock_time=300 even_deny_root root_unlock_time=10[root@localhost ~]# pam_tally2 --user lyshark 查询远程登录次数
修改SSH远程端口: 修改SSH登录端口,这里可以修改为65534等高位端口,因为Nmap扫描器默认也就探测0-1024端口,这样能够有效的规避扫描。
[root@localhost ~]# vim /etc/ssh/sshd_config# If you want to change the port on a SELinux system, you have to tell# SELinux about this change.# semanage port -a -t ssh_port_t -p tcp #PORTNUMBER#Port 65534 # 登录端口改为65534MaxAuthTries=3 # 密码最大尝试次数3[root@localhost ~]# systemctl restart sshd[C:Users]$ ssh [email protected] 6553
禁止Root用户登录: 首先创建一个普通用户 lyshark ,然后配置好Sudo授权,需要时使用Sudo授权执行命令,禁止Root用户登录主机。
# --------------------------------------------------------------------------------------------# 创建普通用户 lyshark[root@localhost ~]# useradd lyshark[root@localhost ~]# passwd lyshark# --------------------------------------------------------------------------------------------# 给普通用户添加Sudo授权[root@localhost ~]# vim /etc/sudoers## The COMMANDS section may have other options added to it.#### Allow root to run any commands anywhere root ALL=(ALL) ALLlyshark ALL=(ALL) ALL# --------------------------------------------------------------------------------------------# 修改ROOT用户禁止登录系统[root@localhost ~]# vim /etc/ssh/sshd_configPermitRootLogin no[root@localhost ~]# systemctl restart sshd
除此之外,你可以通过指定那些被允许用来使用SSH的用户名,从而使得SSH服务更为安全。
[root@localhost ~]# vim /etc/ssh/sshd_configAllowUsers lyshark admin # 指定允许登录的用户AllowGroup lyshark admin # 指定允许登录的用户组
登录警告提示: 通过修改 /etc/motd
和/etc/issue.net
来实现弹出警告提示框,当用户远程登陆以后就会提示以下的两行文字。
[root@localhost ~]# vim /etc/motd[root@localhost ~]# vim /etc/issue.net-----------------------------------------------------------------------------------------------Warning! If unauthorized, illegal login system, please exit immediately!!Your system fingerprint has been recorded!!-----------------------------------------------------------------------------------------------
限制Umask值: umask 值用于设置文件的默认属性,系统默认的Umask 值是0022,也就是U权限不动,G权限减去2,O权限减2,这里为了防止上传一句话木马,我们将系统的Umask值改为0777
,也就是说,当用户新建任何文件的时候,其都不会具有(读写执行)权限,就算上传成功也不具有任何权限。
[root@localhost ~]# echo"umask 0777" >> /etc/bashrc[root@localhost ~]# touch test1[root@localhost ~]# mkdir test2[root@localhost ~]# [root@localhost ~]# ls -lhtotal 0----------. 1 root root 0 Aug 25 05:46 test1d---------. 2 root root 6 Aug 25 05:46 test2
锁定系统文件: 锁定文件是Linux系统中最为强大的安全特性,任何用户(即使是root),都无法对不可修改文件进行写入、删除、等操作,我们将一些二进制文件设置为只读模式,能够更好的防止系统被非法篡改或注入恶意代码,一般情况下/sbin 和/usr/lib两个目录内容能被设置为不可改变。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
0
限制GCC编译器: 如果系统已经被黑客入侵,那么黑客的下一个目标应该是编译一些POC文件,用来提权,从而在几秒钟之内就成为了root用户,那么我们需要对系统中的编译器进行一定的限制。
首先,你需要检查单数据包以确定其包含有哪些二进制文件。然后将这些文件全部设置为000无权限。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
1
然后,单独创建一个可以访问二进制文件的编译器的组,赋予他这个组相应的权限。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
2
至此,任何试图使用gcc的用户将会看到权限被拒绝的信息。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
3
限制日志文件: 接着我们需要对日志文件,进行一定的限制,因为一般情况如果系统被入侵了,日志文件将对我们取证有所帮助,而一旦被入侵以后,黑客首先会想办法清除这些痕迹,所以我们需要设置日志文件只能增加不能删除属性,防止其将日志删除掉。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
4
最小化防火墙规则: 配置防火墙,拒绝所有端口,只放行SSH,HTTP这两个必要的端口。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
5
开启SELinux: 由于系统管理员都会关闭,所以这里要手动开启。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
6
开启SeLinux后,会发现sshd服务无法正常启动了,这是因为SELinux策略生效了,下面我们需要修改配置。
SELinux放行SSH端口: 通过 Semanage 管理工具放行6553这个端口。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
7
设置Web目录权限: 通过 semanage 命令设置,web目录权限。
[root@localhost ~]# vim /etc/login.defs# Password aging controls:## PASS_MAX_DAYS Maximum number of days a password may be used.# PASS_MIN_DAYS Minimum number of days allowed between password changes.# PASS_MIN_LEN Minimum acceptable password length.# PASS_WARN_AGE Number of days warning given before a password expires.#PASS_MAX_DAYS 90 # 新建用户密码最长使用天数PASS_MIN_DAYS 0 # 新建用户密码最短使用天数PASS_MIN_LEN 7 # 新建用户密码到期提示天数PASS_WARN_AGE 10 # 最小密码长度
8
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...