系统工程师、系统管理员职责之首是维护操作系统的安全。 Linux操作系统本身是稳定和安全的,但这仅仅是相对的。在安装Linux时,应选择最小化安装,然后再加装必要的软件,这样可以减小某个程序出现安全隐患的可能。对于系统工程师来说,CentOS是不错的选择,默认最小化安装,再通过yum来批量指定安装必需的软件。本文整理了系统安全配置的一般方法。
一、基础知识
1、finger程序可以被利用并泄露当前系统的信息,例如用户数、管理员登录时间等等对系统安全不利的信息,所以最好卸载掉finger软件包。
2、一定要学会查看系统日志,当然黑客入侵后也都喜欢破坏日志。
3、限制SUID,因为SUID可以做任何root能做的事,exploit(缓冲益处)正是利用SUID对系统进行破坏。具体参考下面第二十一项。
二、口令
1、最少8个字符;包含1个以上数字或特殊字符;不要有规则可言;定期修改口令。
2、vi /etc/login.defs
找到“PASS_MIN_LEN 5”,修改5为8
三、root账号
升级OpenSSH/OpenSSL,禁止root账号远程登录
四、禁止所有不需要的服务(参考:http://www.yunwei.org/read.php?13)
五、chattr +i /home/123.conf 该命令可让某文件具有类似windows只读属性的"i"标志,不可做任何改变,只有管理员才能通过-i参数去掉这个标志
六、修改/etc/aliases,注释不安全的行
注释行包括:games,ingres,system,toor,uucp,manager,dumper,operator,decode
保存后执行:newaliases
七、禁止Ping(参考:http://www.yunwei.org/read.php?14)
八、vi /etc/host.conf
order hosts,bind 默认hosts在前,如果该机是做DNS服务器的,则把bind放在前面
multi on
nospoof on #指明不允许IP伪装
九、禁止IP原路径路由(IP source routing),用iptables防火墙则无需如下设置
vi /etc/rc.d/rc.local
#加入:
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done
十、TCP SYN Cookie保护生效(参考:http://www.yunwei.org/read.php?14),用iptables防火墙则无需设置
1 优化系统参数 sysctl
Linux内核参数可以使用sysctl命令改变,但proc目录下的所有内容都是临时性的,重启动系统后任何修改都会丢失,所以最好的办法是:
修改/etc/sysctl.conf文件或将proc目录下文件内容值的修改操作加入到/etc/rc.d/rc.local
vi /etc/sysctl.conf#===============编辑文件===============
#修改路由转发的功能
net.ipv4.ip_forward=1
#关闭如下参数可以防止黑客对服务器IP地址的攻击
net.ipv4.conf.eth0.accept_source_route=0
net.ipv4.conf.lo.accept_source_route=0
net.ipv4.conf.default.accept_source_route=0
net.ipv4.conf.all.accept_source_route=0
#用于通过选择加密的初始化TCP序列号,可以对回应的包做验证来降低SYN'洪水'攻击的影响
net.ipv4.tcp_syncookies=1
#修改内核共享内存限制
kernel.shmall=268435456
kernel.shmmax=4294967295
#忽略icmp ping广播包,禁ping
net.ipv4.icmp_echo_ignore_all=1
#配置服务器拒绝接受广播风暴或者smurf 攻击attacks
net.ipv4.icmp_echo_ignore_broadcasts=1
#有些路由器针对广播祯发送无效的回应,每个都产生警告并在内核产生日志.这些回应可以被忽略
net.ipv4.icmp_ignore_bogus_error_responses=1
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_recv=3
# 增大iptables状态跟踪表268435456
net.ipv4.netfilter.ip_conntrack_max=1048576
net.nf_conntrack_max=1048576
#默认确立连接会在5天后失效,改为半小时后失效,减少ip_conntrack的有效连接数量
net.ipv4.netfilter.ip_conntrack_tcp_timeout_established = 1800
#以下命令使服务器忽略来自被列入网关的服务器的重定向。因重定向可以被用来进行攻击,所以我们只接受有可靠来源的重定向。
net.ipv4.conf.eth0.secure_redirects=1
net.ipv4.conf.lo.secure_redirects=1
net.ipv4.conf.default.secure_redirects=1
net.ipv4.conf.all.secure_redirects=1
#如果这个服务器不是一台路由器,那么它不会发送重定向,所以可以关闭该功能
net.ipv4.conf.eth0.send_redirects=0
net.ipv4.conf.lo.send_redirects=0
net.ipv4.conf.default.send_redirects=0
net.ipv4.conf.all.send_redirects=0
#设置ipfrag参数,尤其是NFS和Samba服务器。这里,我们可以设置用于重新组合IP碎片的最大、最小内存。当 ipfrag_high_thresh值被指派,碎片会被丢弃直到达到ipfrag_low_thres值。当TCP数据包传输发生错误时,开始碎片整理。有效的数据包保留在内存,同时损坏的数据包被转发。例如,设置可用内存范围从256 MB到384 MB
net.ipv4.ipfrag_low_thresh=262144
net.ipv4.ipfrag_high_thresh=393216
#默认7200,tcp keeplive时间
net.ipv4.tcp_keepalive_time = 300
#默认9,tcp keeplive探测轮询次数
net.ipv4.tcp_keepalive_probes=3
#默认75,tcp keeplive探测轮询时间
net.ipv4.tcp_keepalive_intvl=60
net.ipv4.tcp_sack=0
net.ipv4.tcp_timestamps=0
#Turn on/off the tcp_window_scaling
net.ipv4.tcp_window_scaling=1
#表示TCP/UDP协议打开的本地端口号范围
net.ipv4.ip_local_port_range=1024 61000
#默认60,tcp fin状态超时时间。这样保证了TIME_WAIT 端口既不被拒也不快速关闭
net.ipv4.tcp_fin_timeout=1
#对于同时支持很多连接的服务器,新的连接可以重新使用TIME-WAIT套接字. 这对于Web服务器非常有效
net.ipv4.tcp_tw_reuse=1
#表示是否允许重新应用处于TIME-WAIT状态的socket用于新的TCP连接
net.ipv4.tcp_tw_recycle=1
#这些设置指定了创建TCP套接字时为其分配的内存容量. 另外,使用如下命令发送和接收缓存.该命令设定了三个值:最小值、初始值和最大值
#第三个值必须小于或等于wmem_max和rmem_max
net.ipv4.tcp_rmem="4096 87380 8388608"
net.ipv4.tcp_wmem="4096 87380 8388608"
net.ipv4.tcp_max_orphans=262144
#SYN列队长度,不要设置太高,会消耗相应的内存
#当服务器负载繁重或者是有很多客户端都是超长延时的连接故障,可能会导致half-open连接数量的增加。这对于Web服务器很来讲很平常,尤其有很多拨号客户时.这些half-open连接保存在 backlog connections 队列中.将这个值最少设置为4096 (缺省为1024).即便是服务器不接收这类连接,设置这个值还能防止受到denial-of-service (syn-flood)的攻击
net.ipv4.tcp_max_syn_backlog = 4096
#syn-ack握手状态重试次数,默认5,遭受syn-flood攻击时改为1或2
net.ipv4.tcp_synack_retries = 2 |
狗仔卡
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
显身卡