博客

2、用户安全

3、网络安全

二:实验步骤

1.1保护引导过程

保护引导过程（以Grub引导为例）在 /etc/inittab 中添加 sp:S:respawn:/sbin/sulogin，以确保当切换到单用户模式时 运行级的配置要求输入 root 密码：

防止用户使用 Ctrl-Alt-Del 进行重新引导：

在RHEL6.X和CentOS 6.X下, 该热键的行为由’/etc/init/control-alt-delete.conf’控制。

注释掉原来的改成：exec /usr/bin/logger -p authpriv.notice -t init “Ctrl-Alt-Del was pressed and ignored”，这个配置会在每次按下Ctrl-Alt-Del 时输出日志。(目前未完成)

1.2关闭不使用的服务

ps -aux查看进程

首先查看那些服务开启 chkconfig –list |grep ‘3:on‘

关闭邮件服务，使用公司邮件服务器：

关闭nfs服务及客户端

1.3增强特色文件权限

给下面的文件加上不可更改属性，从而防止非授权用户获得权限。

注意：执行以上 chattr 权限修改之后，就无法添加删除用户了。在后面的实验过程中，如果修改不了上面设置过的文件，记得取消只读权限chattr -i。

如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作，例如取消只读权限chattr -i /etc/passwd。（记得重新设置只读）

1.4 强制实行配额和限制：

Linux PAM（插入式认证模块，Pluggable Authentication Modules）可以强制实行一些实用的限制，在 /etc/security/limits.conf 文件中对此进行配置。

谨记，这些限制适用于单个对话。您可以使用 maxlogins 来控制总额限制。limits.conf 中的条目有如下结构： username|@groupname type resource limit。

为了与 username 区别，groupname 之前必须加 @。类型必须是 soft 或者 hard。软限制（soft-limit）可以 被超出，通常只是警戒线，而硬限制（hard-limit）不能被超出。resource 可以 是下面的关键字之一：

core – 限制内核文件的大小（KB）

data – 最大数据大小（KB）

fsize – 最大文件大小（KB）

memlock – 最大锁定内存地址空间（KB）

nofile – 打开文件的最大数目

rss – 最大持久设置大小（KB）

stack – 最大栈大小（KB）

cpu – 以分钟为单位的最多 CPU 时间

nproc – 进程的最大数目

as – 地址空间限制

maxlogins – 此用户允许登录的最大数目

下面的代码示例中，所有用户每个会话都限制在 10 MB，并允许同时有四个登录。第三行禁用了每个人的内核转储。第四行除去了用户 bin 的所有限制。ftp 允许有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制 为 40 个。developers 有 64 MB 的 memlock 限制，wwwusers 的成员不能创建大于 50 MB 的文件。

要激活这些限制，您需要在 /etc/pam.d/login 底部添加下面一行： session required /lib/security/pam_limits.so。

2用户安全

2.1禁用不使用的用户

注意：不建议直接删除，当你需要某个用户时，自己重新添加会很麻烦。也可以 usermod -L 或 passwd -l user 锁定。

注释掉不常用用户

2.2ssh登录安全

修改ssh的默认端口22，改成如20002这样的较大端口会大幅提高安全系数，降低ssh破解登录的可能性。（

注意：本实验环境不允许修改ssh端口，否则会造成服务断开

）

找到SSh服务配置文件路径一般都是在 /etc/ssh这个目录下面 sshd_config 这个文件，在“# Port 22”这一行下面添加一行，内容为 port 端口号。

重启

只允许wheel用户组的用户su切换

登录超时

用户在线5分钟无操作则超时断开连接，在/etc/profile中添加：

export TMOUT=300

readonly TMOUT

禁止root直接远程登录

vi  /etc/ssh/sshd_config

PermitRootlogin no

限制登录失败并锁定

3网络安全

3.1禁用ipv6

IPv6是为了解决IPv4地址耗尽的问题，但我们的服务器一般用不到它，反而禁用IPv6不仅仅会加快网络，还会有助于减少管理开销和提高安全级别。以下几步在CentOS上完全禁用ipv6。、          让系统不加载ipv6相关模块，这需要修改modprobe相关设定文件，为了管理方便，我们新建设定文件/etc/modprobe.d

vim /etc/modprobe.d/ipv6off.conf

禁用基于IPv6网络，使之不会被触发启动：

vi /etc/sysconfig/network

禁用网卡IPv6设置，使之仅在IPv4模式下运行：

vi  /etc/sysconfig/network

关闭ip6tables:

chkconfig ip6tables off

lsmod | grey

3.2防止一般的网络攻击

网络攻击不是几行设置就能避免的，以下都只是些简单的将可能性降到最低，增大攻击的难度但并不能完全阻止。

禁ping

阻止ping如果没人能ping通您的系统，安全性自然增加了，可以有效的防止ping洪水。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：（必须先开启防护墙）

防止ip欺骗

防止Dos攻击

3.3定期日志检查

将日志移动到专用的日志服务器里，这可避免入侵者轻易的改动本地日志。下面是常见linux的默认日志文件及其用处：

三:分析合思考

1、查询资料了解更多关于linux系统加固的知识。

限制 at/cron给授权的用户：

Cron.allow和at.allow文件列出了允许允许crontab和at命令的用户名单, 在多数系统上通常只有系统管理员才需要运行这些命令。

Crontab文件限制访问权限：

系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访问,一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序。

建立恰当的警告banner:

改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用。

限制root登录到系统控制台：

通常应该以普通用户身份访问系统,然后通过其它授权机制(比如su命令和sudo)来获得更高权限,这样做至少可以对登录事件进行跟踪

设置守护进程掩码（系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件）：

vi /etc/rc.d/init.d/functions，设置为 umask 022、

2、查询资料了解iptables有哪些用途？

 Iptables 提供以下三种功能：包过滤、NAT（网络地址转换）和通用的 pre-route packet mangling。

四:课后习题