安裝一臺(tái)安全的Linux

1、安裝一臺(tái)安全的Linux何偉平hwtonyxmubbsLinux的優(yōu)點(diǎn)Linux花費(fèi)小，硬件要求低開放源碼相對(duì)安全Linux的缺點(diǎn)學(xué)習(xí)成本高缺少技術(shù)支持特定服務(wù)無法滿足要求選擇依據(jù)根據(jù)應(yīng)用選擇操作系統(tǒng)利用linux為老機(jī)器延長壽命安全概述防范誰（天災(zāi)、病毒、人）需要什么樣的措施授予最小的權(quán)限安裝要點(diǎn)避免連接網(wǎng)絡(luò)慎重規(guī)劃文件系統(tǒng)僅安裝必要程序規(guī)劃文件系統(tǒng)選用日志文件系統(tǒng)獨(dú)立/var、/home、/boot獨(dú)立/usr、/tmp安裝最小的操作系統(tǒng)安裝時(shí)選擇Minimal物理安全限制啟動(dòng)方式保護(hù)控制臺(tái)限制啟動(dòng)方式更改啟動(dòng)順序加上BIOS密碼加上Loader密碼給GRUB加上密碼獲得加密串grub m

2、d5cryptPassword: *Encrypted: $1$qW/qn0$LOnxgnJ2eyQupw2i7aTtS1編輯/boot/grub/grub.conf，加入password -md5 $1$b.0qn0$X7vUSPBqlznCPHzQQJJQ51保護(hù)控制臺(tái) 禁用ctrl+alt+del編輯/etc/inittab注釋掉如下配置ca:ctrlaltdel:/sbin/shutdown -t3 -r now保護(hù)控制臺(tái) 禁用程序執(zhí)行以下命令rm f /etc/security/console.apps/haltrm f /etc/security/console.apps/rebo

3、otrm f /etc/security/console.apps/powerofffor i in /etc/pam.d/* do sed /#.*pam_console.so/s/#/ temp & mv f temp $i done帳戶安全刪除不必要帳戶限制帳戶權(quán)限保護(hù)超級(jí)管理員帳戶刪除不必要的帳戶用以下命令查看用戶cat /etc/passwd| cut -f 1-1 -d: -刪除adm、lp、sync、shutdown、halt、news、mail、uucp、operator、games、gopher、ftp刪除不必要的組用以下命令查看用戶cat /etc/group| cut -

4、f 1-1 -d: -刪除adm、lp、news、mail、uucp、games、dip限制帳戶權(quán)限允許登陸？usermod -s /sbin/nologin username登陸方式，位置？避免創(chuàng)建默認(rèn)組保護(hù)超級(jí)管理員帳戶編輯/etc/profile，加入TMOUT=600編輯/etc/pam.d/su，去掉下面的注釋#auth required /lib/security/$ISA/pam_wheel.so use_uid文件安全避免不必要的文件權(quán)限保護(hù)重要文件注意SUID程序避免不必要的文件權(quán)限修改fstab/var、/tmp加上noexec、nosuid、nodev/home加上nos

5、uid、nodev保護(hù)重要的文件chattr i/etc/services/etc/passwd/etc/shadow/etc/group/etc/gshadow去掉不必要的SUID查找SUID程序find / -type f ( -perm -04000 -o -perm -02000 )去掉權(quán)限chmod a-s /bin/mount網(wǎng)絡(luò)安全配置防火墻刪除不必要的服務(wù)設(shè)置內(nèi)核參數(shù)IPTABLES (1)# export INET_IP=xxx.xxx.xxx.xxx # iptables -N bad_tcp_packets# iptables -N allowed# iptables -

6、A bad_tcp_packets -p tcp -tcp-flags SYN,ACK SYN,ACK -m state -state NEW -j REJECT -reject-with tcp-reset # iptables -A bad_tcp_packets -p tcp ! -syn -m state -state NEW -j DROP # iptables -A allowed -p TCP -syn -j ACCEPT # iptables -A allowed -p TCP -m state -state ESTABLISHED,RELATED -j ACCEPT # ip

7、tables -A allowed -p TCP -j DROP IPTABLES (2)# iptables -A INPUT -p tcp -j bad_tcp_packets # iptables -A INPUT -p ALL -i lo -s -j ACCEPT # iptables -A INPUT -p ALL -i lo -s $INET_IP -j ACCEPT # iptables -A INPUT -p ALL -d $INET_IP -m state -state ESTABLISHED,RELATED -j ACCEPT # iptables -A OUTPUT -p

8、 tcp -j bad_tcp_packets# iptables -A OUTPUT -p ALL -o lo -d -j ACCEPT# iptables -A OUTPUT -p ALL -o lo -d $INET_IP -j ACCEPT# iptables -A OUTPUT -p ALL -s $INET_IP -m state -state ESTABLISHED,RELATED -j ACCEPT IPTABLES (3)# iptables -A INPUT -p TCP -dport 22 -j allowed # iptables -A OUTPUT -p UDP -d

9、port 53 -j ACCEPT# iptables -A OUTPUT -p TCP -dport 53 -j allowed# iptables -A OUTPUT -p TCP -dport 21 -j allowed # iptables -P INPUT DROP# iptables -P OUTPUT DROP# iptables -P FORWARD DROP # service iptables save TCP_WRAPPERS/etc/hosts.denyALL:ALL/etc/hosts.allow，用ipsshd:xxx.xxx.xxx.xxx刪除不必要的服務(wù)chkc

10、onfig listchkconfig level 3 servicename off手工編輯/etc/rc.d/rc3.d設(shè)置內(nèi)核參數(shù)/etc/sysctl.confnet.ipv4.icmp_echo_ignore_all = 1net.ipv4.icmp_echo_ignore_broadcasts = 1net.ipv4.conf.all.accept_source_route = 0net.ipv4.tcp_syncookies = 1net.ipv4.conf.all.accept_redirects = 0net.ipv4.ip_always_defrag = 1net.ipv4.icmp_ignore_bogus_error_responses = 1net.ipv4.conf.all.rp_filter = 1net.ipv4.conf.all.log_martians = 1安全相關(guān)Security Through Obscurity（不公開、即安全）日志&備份升級(jí)Sec