|
对于互联网IT从业人员来说,越来越多的工作会逐渐转移到Linux系统之上,这一点,无论是开发、运维、测试都应该是深有体会。曾有技术调查网站W3Techs于2018年11月就发布一个调查报告,报告显示Linux在网站服务器的系统中使用率高达37.2%,这一数据也表明,Linux系统被广泛应用。其实,除了在网站服务器中的应用,Linux系统还被用于DNS域名解析服务器、电子邮件服务器、一些开源软件的应用(大数据应用:据Linux基金会的研究,86%的企业已经使用Linux操作系统进行云计算、大数据平台的构建)服务器等之上。 大多数使用者都会认为Linux默认是安全的,有时候这种说法也的确是一个存在争议的话题。Linux默认确实有内置的安全模型。你需要打开它并且对其进行定制,这样才能得到更安全的系统。Linux更难管理,不过相应也更灵活,有更多的配置选项。 对于系统管理员,让产品的系统更安全,免于骇客和黑客的攻击,一直是一项挑战。而且,近些年来对于Linux遭遇攻击的案例很多,所以,如何构建一个安全、强大且牢固的Linux系统一直是一个可探索性的话题。今天,民工哥将从系统的各个层面,给大家分享一下我在日常工作中是如何构建、或者加固Linux系统安全的。希望这些方法对你有所帮助,码字不易,如有帮助,请转发分享加点在看支持一下民工哥。 1、物理安全 这应该说是对于服务器安全保障的第一步。 硬件服务器,首先得专业人的来做专业的维护。其次就是关闭从CD/DVD等这些方面的软启动方式。同时也可以设置BIOS密码,并且要有限制访问的策略与各类流程管控。 还可以禁用USB设备来达到安全的目的: [code]vim /etc/modprobe.d/stopusb install usb-storage /bin/true [/code]或者使用下面的命令将USB的驱动程序删除 [code][root@rs-server ~]# mv /lib/modules/3.10.0-693.el7.x86_64/kernel/drivers/usb/storage/usb-storage.ko.xz [/code]2、保证系统最新 这个就是说要保证系统无其它漏洞存在,比如:已经有的漏洞要及时的修复。保证系统包含了最新版本的补丁、安全修复和可用内核。 [code]yum updates yum check-update [/code]这个就需要管理员经常关注国内外关于、系统最新漏洞以及补丁发布的信息了: 2018上半年回顾:网络安全直面五大威胁! nginx 被爆安全问题致使 1400 多万台服务器易遭受 DoS 攻击 构建高效安全的Nginx Web服务器 3、最小化处理原则 无论是安装系统,还是常用的软件,都必须遵守这个原则:最小化安装,同时也是减少漏洞存在的可能性。 对于系统一些不必要的服务、端口,建议关闭。 [code][root@rs-server ~]# chkconfig --list |grep "3:on" network 0:off 1:off 2:on 3:on 4:on 5:on 6:off [/code]然后使用下面的命令关闭: [code]chkconfig service-name off [/code]4、登录与连接 对于Linux服务器来说,一般都是采用远程登录(SSH)连接的方式去进行登录操作。因此: 第一步:就是除了非必要情况,杜绝使用root用户登录,可以使用sudo来进行提权操作,然后利用系统命令将/etc/sudoers文件锁定(除root用户之外的用户无权限修改)。 第二步:建议修改SSH配置文件,比如默认端口号22,禁止root密码登录(有些自有机房的还可以直接禁用root用户通过SSH协议登录)等。 [code][root@rs-server ~]# vim /etc/ssh/sshd_config #Port 22 可修改成其它端口号,民工哥常用IP+22混合使用 #PermitRootLogin yes 将yes改成No #PermitEmptyPasswords no 打开注释即可 #AllowUsers username 指定特定的用户通过SSH协议进行远程连接 [/code]对于生产中的服务器,我们还可以使用堡垒机进行连接限制: 手把手从0开始教你搭建Jumpserver,为服务器安全保驾护航! 5、用户管理 Linux是一个可多用户并行操作的系统,所以,系统也对用户进行了划分:超级用户与普通用户。两者权限不同,因此,能干的事也有所不同,所以,对于用户的管理也是非常重要的一步。 设置用户密码: 这个可以通过系统命令passwd来进行设置,一般建议使用强度比较复杂的密码,且各个系统中相同的用户使用不同的密码(日常可以使用管理器来管理)。 [code][root@rs-server ~]# passwd mingongge Changing password for user mingongge. New password: Retype new password: passwd: all authentication tokens updated successfully. [/code]临时用户管理: 对于这种需要的临时用户管理,一般是使用过后可以删除,也可以在一段时间后将其锁定不让其再登录,在下次需要登录时再次开启权限。 删除用户很简单,可以使用系统命令userdel -r username 进行删除。 锁定用户其实就是修改用户的属性: [code][root@rs-server ~]# usermod -L mingongge [/code]我们打开终端尝试登录看看:  这时发现已经无法正常登录连接了,表明刚刚的配置是正确的。等到下次需要登录时,可以使用下面的命令进行解锁: [code][root@rs-server ~]# usermod -U mingongge #-L lock #-U unlock [/code]6、文件管理 这里的文件管理指的是存储用户信息的重要文件:/etc/passwd、/etc/shadow这两个文件。 [code][root@rs-server ~]# stat /etc/passwd File: ‘/etc/passwd’ Size: 945 Blocks: 8 IO Block: 4096 regular file Device: fd00h/64768d Inode: 17135889 Links: 1 Access: (0644/-rw-r--r--) Uid: ( 0/ root) Gid: ( 0/ root) Access: 2019-08-06 01:14:37.439994172 +0800 Modify: 2019-08-06 01:14:37.440994172 +0800 Change: 2019-08-06 01:14:37.442994172 +0800 Birth: - [root@rs-server ~]# stat /etc/shadow File: ‘/etc/shadow’ Size: 741 Blocks: 8 IO Block: 4096 regular file Device: fd00h/64768d Inode: 17135890 Links: 1 Access: (0000/----------) Uid: ( 0/ root) Gid: ( 0/ root) Access: 2019-08-06 01:14:37.445994172 +0800 Modify: 2019-08-06 01:14:37.445994172 +0800 Change: 2019-08-06 01:14:37.447994172 +0800 Birth: - [/code]一般从上面的一些文件属性上可以看出是不是这些文件遭遇篡改了,所以,一般情况建议将此两个文件锁定除了root用户之外的用户无权限修改与访问。 7、启用防火墙 利用系统的防火墙来过滤出入站的流量,这是一个很好的预防攻击的策略,而且系统防火墙的规则可以逐条设置,非常强大,强裂建议开启。 Linux系统安全配置iptables服务介绍 8、软件包的管理 对于系统安装的软件,我们使用RPM包管理器来管理,对于使用yum或者apt-get命令列出来的软件,在对其进行删除、卸载时,一定要使用下面的命令进行: [code]yum -y remove software-package-name sudo apt-get remove software-package-name [/code]9、禁用Crtl+Alt+Del 重启 多数服务器在按下Crtl+Alt+Del组合键后,都会使用服务器重启,这个对于线上服务器来说是绝对不友好的一个安全因素,必须禁止,否则一个误操作就造成很大的影响。 [code]#CentOS6 禁用Ctrl+Alt+Del重启功能 #方法一: vi /etc/init/control-alt-delete.conf #start on control-alt-delete #注释此行 #方法二: mv /etc/init/control-alt-delete.conf /etc/init/control-alt-delete.conf.bak #注:两种方法都无需重启系统即可生效 [/code]对于CentOS7 来说,方法有所不同: [code][root@rs-server ~]# cat /etc/inittab # inittab is no longer used when using systemd. # # ADDING CONFIGURATION HERE WILL HAVE NO EFFECT ON YOUR SYSTEM. # # Ctrl-Alt-Delete is handled by /usr/lib/systemd/system/ctrl-alt-del.target # # systemd uses 'targets' instead of runlevels. By default, there are two main targets: # # multi-user.target: analogous to runlevel 3 # graphical.target: analogous to runlevel 5 # # To view current default target, run: # systemctl get-default # # To set a default target, run: # systemctl set-default TARGET.target # [/code]这个文件里已经说明了相关的介绍。  经过测试,如果将上面文件中的配置注释掉之后,reboot命令会不生效了: [code][root@rs-server ~]# ll /usr/lib/systemd/system/ctrl-alt-del.target lrwxrwxrwx. 1 root root 13 Mar 14 17:27 /usr/lib/systemd/system/ctrl-alt-del.target -> reboot.target [/code]这个ctrl-alt-del.target这是reboot.target的软链接。所以,最终正确的方法是:移动掉这个文件到其它目录,然后重载配置文件使用其它生效,如果再需要这个功能就只需要重新添加这个软件链接即可。 10、监控用户行为 如果你的系统中有很多的用户,去收集每一个用户的行为和和他们的进程消耗的信息非常重要。可以随后和一些性能优化和安全问题处理时进行用户分析。但是如果监视和搜集用户行为信息呢 ?有两个很有用的工具‘psacct‘ 和 ‘acct‘可以用来监视系统中用户的行为和进程。 [code][root@rs-server ~]# yum install psacct -y [/code]使用方法如下: [code]ac 统计用户连接时间 ac #显示所有用户连接总时间 ac -p #显示每个用户连接时间 ac -d #显示每天所有用户连接总时间 ac silence #显示指定用户连接时间 ac -d silence #显示指定用户每天连接时间 sa 输出用户活动信息 sa #显示所有用户执行命令情况 sa -u #按用户显示执行命令情况 sa -m #按进程显示执行命令情况 sa -p #按使用率显示执行命令情况 lastcomm 输出最近执行命令信息 lastcomm #显示所有执行命令 lastcomm silence #显示指定用户执行命令 lastcomm ls #显示指定命令执行情况 其他 last #查看最近用户登录成功列表 last -x #显示系统关机、重新开启等信息 last -a #将IP显示在最后一列 last -d #对IP进行域名解析 last -R #不显示IP列 last -n 3 #显示最近3条 lastb #查看最近用户登录失败的列表 [/code]具体的使用例子: [code][root@rs-server ~]# ac -p root 71.88 total 71.88 [root@rs-server ~]# sa -u root 0.00 cpu 1043k mem 0 io accton root 0.00 cpu 3842k mem 0 io systemd-tty-ask root 0.03 cpu 72576k mem 0 io pkttyagent root 0.00 cpu 32112k mem 0 io systemctl root 0.00 cpu 2674k mem 0 io systemd-cgroups root 0.07 cpu 37760k mem 0 io ps root 0.00 cpu 28160k mem 0 io grep root 0.00 cpu 1080k mem 0 io ac root 0.14 cpu 0k mem 0 io kworker/u256:0 * root 0.10 cpu 0k mem 0 io kworker/0:0 * root 0.02 cpu 0k mem 0 io kworker/0:2 * [root@rs-server ~]# lastcomm sa sa root pts/0 0.00 secs Tue Aug 6 02:15 [root@rs-server ~]# last -x root pts/0 192.168.1.14 Tue Aug 6 00:48 still logged in root tty1 Tue Aug 6 00:48 still logged in [root@rs-server ~]# lastb mingongg ssh:notty 192.168.1.14 Tue Aug 6 01:11 - 01:11 (00:00) mingongg ssh:notty 192.168.1.14 Tue Aug 6 01:11 - 01:11 (00:00) btmp begins Tue Aug 6 01:11:27 2019 [/code]11、定期检查日志 将系统及其重要的日志保存在本服务器之外的专业日志服务器上,从而避免黑客通过分析日志来入侵系统及应用,以下是常见的日志文件:  12、数据备份  这个不用说都知道是非常重要的,尤其是重要的生产数据,必须本地、异地、不同介质备份及保存,同时还需要定期检查数据的完整性、可用性。 Xtrabackup实现数据的备份与恢复 高逼格企业级MySQL数据库备份方案,原来是这样… 关于数据误删后恢复:不小心执行了 rm -f,先别急着跑路 ! 13、安全工具 对于系统来说,常用的安全扫描工具是必备的,比如:扫描开放端口nmap。对于系统中的WEB应用等来说,可以使用一些开源的工具:IBM AppScan、SQL Map等,同样这类的商用产品也很多,这里就不做介绍了(又不给我广告费)。 对于文件有文件加密工具,对于系统还有一些入侵检测、漏洞扫描工具,无论是开源还是商业,都是可以根据实际需求与企业成本来决定使用哪一款工具。 14、管理方法 对于安全管理来说,好的流程与管理制度同样也是必须的,否则,上述13点基本的作用为0,有方法,没有制度去让方法落地执行!! 所以,无论对于小企业、大企业来说,流程、管理制度始终是先行于所有的处理方法之前的。人才是世界上最不可控的因素!! 不掉坑,不背锅!史上最全的服务器安全管理规范开源了 希望这些方法对你有所帮助,码字不易,如有帮助,请转发分享加点在看支持一下民工哥。以上就是民工哥结合个人工作经验的一些总结,可能不全也可能会有不正之处,如果你也有不同的理解或强化系统安全的方法,也请文章后面留言分享出来,我们一探讨、一同交流、共同构建更加强大、安全、可靠的Linux系统环境。  今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。网络安全学习资源分享:最后给大家分享我自己学习的一份全套的网络安全学习资料,希望对想学习 网络安全的小伙伴们有帮助! 零基础入门对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。 读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击)  1.网络安全学习路线图要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。 对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。  2.视频教程网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。 技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取技术文档】  (都打包成一块的了,不能一一展开,总共300多集) 3.技术文档和电子书技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本【点击领取书籍】  4.工具包、面试题和源码“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。  最后就是我这几年整理的网安方面的面试题,如果你是要找网安方面的工作,它们绝对能帮你大忙。 这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的,如果大家有好的题目或者好的见解欢迎分享。 参考解析:深信服官网、奇安信官网、Freebuf、csdn等 内容特点:条理清晰,含图像化表示更加易懂。 内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…   读者福利 | CSDN大礼包:《网络安全入门&进阶学习资源包》免费分享 (安全链接,放心点击) 免责声明:本内容来源于网络,如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
