Linux系统安全加固防攻击技术

一、前言

本系列文档包括三个部分，分别是《针对Linux系统的攻击》、《Linux系统安全加固》和《Linux系统入侵排查》。编写这些文档的目的，是从攻和防的角度分别对Linux系统相关的安全技术进行介绍，使初级水平的网络安全从业者对Linux操作系统的脆弱性检查、安全加固、应急响应等安全服务工作产生更清晰的认识。

在前面一篇文章《针对Linux系统的攻击》中，介绍了攻击者对Linux系统可能发起什么样的攻击。本文是系列文档的第二部分，在本文档中，针对这些攻击行为，给出在CentOS 7系统中进行相应安全加固的基本步骤和方法。

相关操作系统及IP地址

二、Linux系统安全加固

（一）防口令破解

1. 处理弱口令账户

加固要求：

当前user1用户的口令为弱口令，修改该口令，使其符合长度和复杂性要求。

加固方法：

passwd user1 //为用户设置强壮的口令

验证效果：

重新以user1身份连接到服务器，以新口令登录，确定其可成功登录。

2. 处理与系统运行维护无关的账户

加固要求：

系统存在与系统运行、维护工作无关的账户，名为user1，根据需要，将其锁定或删除。

加固方法：

usermod -L user1 //锁定账户

userdel user1 //删除用户

验证效果：

查看user1用户的状态

返回“密码已被锁定”，说明账户处于锁定状态。

若返回“未知用户名”，则user1已被删除。

3. 限定口令长度和复杂度

加固要求：

设置口令策略，满足长度和复杂度要求。要求长度8位以上，口令中包含大写字母、小写字母、数字、特殊字符，每种字符至少一个。

加固方法：

//限制口令最短8位

authconfig --passminlen=8 --update

//限制口令至少包含4种字符

authconfig --passminclass=4 --update

验证效果：

创建测试用户，为其设置不符合长度和复杂度要求的口令

系统首先提示口令长度不够，之后提示字符类型少于4种。说明本项加固成功。

4. 限定口令生存周期

加固要求：

限制口令的最长使用期限为90天，口令的最短使用期限为3天，口令到期前15天发出警告。

加固方法：

//编辑文件，修改文件内容

vi /etc/login.defs

设置PASS_MAX_DAYS为90，

设置PASS_MIN_DAYS为3，

设置PASS_WARN_AGE为15

保存退出

验证效果：

cat /etc/login.defs | grep '^PASS_' //查看相关参数的值

5. 设置登录失败锁定

加固要求：

用户远程登录验证连续超过5次失败的，锁定账号30分钟

加固方法：

//修改配置文件，在#%PAM-1.0的下面，即第二行添加内容

vim /etc/pam.d/sshd

auth required pam_tally2.so deny=5 unlock_time=1800 even_deny_root root_unlock_time=1800

保存退出

验证效果：

ssh [email protected]

故意连续6次输入错误口令，最后输入正确口令，发现已经无法登录。

在服务器上查看锁定情况：

说明登录失败锁定机制已经生效。

（二）防服务漏洞

1. 更改ssh服务端口

加固要求：

更改ssh服务的监听端口为2222

加固方法：

//编辑配置文件

vi /etc/ssh/sshd_config

取消Port行的注释，将Port的值从22修改为2222

保存退出

//重启ssh服务

systemctl restart sshd

验证效果：

//访问远程主机ssh服务默认的22端口

ssh [email protected]

连接被拒绝

//指定访问远程主机的ssh服务的2222端口

ssh -p 2222 [email protected]

允许登录。说明ssh服务端口修改成功。

2. 限制ssh连接的源地址范围

加固要求：

只允许192.168.242.0/24网段访问ssh服务。

加固方法：

//修改配置文件，在末尾加入一行

vi /etc/hosts.deny

sshd:ALL

保存退出

//修改配置文件，在末尾加入一行

vi /etc/hosts.allow

sshd:192.168.242.0/255.255.255.0:allow

保存退出

验证效果：

从其它虚拟机访问CentOS 7

客户端地址为192.168.242.134，连接被重置，说明ssh客户端地址限制生效了，加固成功。

3. 禁用不必要的服务

加固要求：

停止并禁用不需要的服务，如cups，减小系统的受攻击面。

加固方法：

//停止服务

systemctl stop cups

//禁用服务

systemctl disable cups

验证效果：

//查看服务是否被禁用

systemctl is-enabled cups

//查看服务当前是否正在运行

systemctl status cups

若服务的自启动配置为disabled或masked，服务的运行状态为inactive，则加固成功。

4. 启用selinux

加固要求：

SELinux使用强制访问控制机制，可最大限度地减小系统中服务进程可访问的资源。要求开启selinux，设置工作模式为enforcing，策略为target。

加固方法：

vi /etc/selinux/config //编辑配置文件

设置

SELINUX=enforcing

SELINUXTYPE=targeted

保存退出，重启后生效。

验证效果：

sestatus //查看selinux的工作状态

SELinux status：enabled

Loaded Policy name：Target

说明加固成功。

5. 启用审计服务

加固要求：

启动auditd服务，并设置为开机自动运行。

加固方法：

//手动启动服务

systemctl start auditd

//设置开机自动运行

systemctl enable auditd

验证效果：

//查看auditd服务状态

systemctl status auditd

//查看是否自启动

systemctl is-enabled auditd

若auditd服务被设置为自动启动且已经运行，则加固成功。

（三）防权限提升

1. 管理sudo权限

加固要求：

当前user1用户被加入到了wheel用户组，而系统允许wheel组通过sudo执行任何命令。现要求取消user1用户通过sudo执行任何命令的权限，只允许sudo执行特定的命令。

加固方法：

gpasswd -d user1 wheel //将user1从wheel组中删除

visudo //编辑配置文件，给予user1通过sudo执行特定命令的权限

推荐阅读：《CentOS 7系统配置sudo策略（附sudo提权演示）》

https://www.freebuf.com/articles/system/243526.html

验证效果：

sudo ls //user1用户通过sudo执行未授权的命令

若出现提示，称用户不在sudoers文件中，说明sudo权限配置加固成功。

2. 启用sudo日志

加固要求：

启用sudo日志。

加固方法：

第一步，创建sudo.log文件

//创建日志文件

touch /var/log/sudo.log

第二步，修改rsyslog配置文件

//在配置文件最后添加一行

vi /etc/rsyslog.conf

local2.debug/var/log/sudo.log //空白处不能用空格键，必需用tab键

保存退出

//重启rsyslog服务

systemctl restart rsyslog

第三步，修改sudo配置文件

visudo //编辑sudo配置

Defaults logfile=/var/log/sudo.log

Defaults loglinelen=0

Defaults !syslog

保存退出

验证效果：

cat /var/log/sudo.log //执行sudo命令后查看sudo日志文件

如果产生了日志条目，说明配置成功。

3. 管理suid/sgid文件

加固要求：

系统中存在设置了suid的vim程序（/usr/bin/vim），存在提权风险，要求取消该程序文件的suid权限。

加固方法：

chmod u-s /usr/bin/vim

验证效果：

ls -l /usr/bin/vim

若文件权限中没有suid标识位，说明加固成功。

4. 限制su的使用

加固要求：

除了user1用户之外，其它用户禁止使用su命令。

加固方法：

vi /etc/pam.d/su //编辑配置文件，加入下面的行

auth required pam_wheel.so use_uid

保存退出

vi /etc/group //编辑配置文件，将user1加入wheel组

wheel:x:10:root,user1

保存退出

验证效果：

以user1用户之外的普通用户身份登录，之后执行su命令，若返回“su: 拒绝权限”，则说明加固成功。

5. 设置严格的umask

加固要求：

将用户默认的umask值设置为027

加固方法：

编辑/etc/bashrc、/etc/profile、/etc/profile.d/*.sh等文件，将umask参数的值改为027：

umask=027

验证效果：

创建文件，若文件的权限为640，则说明加固成功。

6. 清除没有属主的目录和文件

加固要求：

查找并处理系统中无属主或无属组的目录和文件

加固方法：

第一步，查找无属主或无属组的目录/文件

find / \( -nouser -o -nogroup \) -exec ls -al {} \;

第二步，对查找到的文件进行处理，不再使用的文件可删除，有用的文件可将其属主或属组修改为现有的某个用户。

验证效果：

系统中找不到无属主或无属组的目录/文件，则加固成功。

7. 注销时清除命令历史

加固要求：

用户注销时清除该用户的历史命令

加固方法：

//注销时清除root用户的历史命令

vi /root/.bash_logout //编辑配置文件，加入下面的命令

echo > /root/.bash_history

保存退出

//注销时清除user1用户的历史命令

vi /home/user1/.bash_logout //编辑配置文件，加入下面的命令

echo > /home/user1/.bash_history

保存退出

//编辑用户配置模板，这样以后创建的用户在注销时也会删除历史命令

vi /etc/skel/.bash_logout //编辑配置文件，加入下面的命令

echo > $HOME/.bash_history

保存退出

验证效果：

注销用户，重新登录，执行history命令查看历史命令，若看不到注销前的历史命令，则说明加固成功。

8. 禁用coredump

加固要求：

禁用系统的core dump功能

加固方法：

vi /etc/security/limits.conf //编辑配置文件，在文件末尾加入：

* hard core 0

保存退出

vi /etc/sysctl.conf //编辑配置文件，加入下面的内容

fs.suid_dumpable = 0

保存退出。重启后参数生效

sysctl -w fs.suid_dumpable=0 //参数立即生效

验证效果：

查看配置文件，确认配置。9. 执行安全更新

加固要求：

安装可用的安全更新。

加固方法：

yum update --security //安装安全更新包

验证效果：

yum check-update --security //检查安全更新

若返回“No packages needed for security;”，说明安全更新已完成。

（四）防木马后门

1. 部署主机入侵检测软件

加固要求：

安装部署AIDE入侵检测软件，并定期检查文件完整性。

加固方法：

yum install aide //在线安装AIDE

aide --init //生成包含文件系统中所有文件的数据库

cp /var/lib/aide/aide.db.new.gz /var/lib/aide/aide.db.gz //安装数据库

aide -c /etc/aide.conf --check //进行完整性检查

aide -c /etc/aide.conf --limit /bin --check //对指定目录进行完整性检查

推荐阅读：《CentOS 8系统安装配置AIDE入侵检测软件检查文件完整性》

https://www.freebuf.com/sectool/265391.html

验证效果：

生成散列数据库后对文件进行修改，运行aide，确认其可以检测到文件的变化。

2. 开启网络防火墙firewalld

加固要求：

开启网络防火墙，只允许远程主机访问本地的特定端口，如22和80端口。

加固方法：

systemctl start firewalld //启动firewalld服务

systemctl enable firewalld //设置服务开机自启

firewall-cmd --add-service=http //允许访问http服务

firewall-cmd --add-service=http --permanent //持久化（写入配置文件）

firewall-cmd --add-service=ssh

firewall-cmd --add-service=ssh --permanent

firewall-cmd --remove-service=dhcpv6-client //删除不需要的服务

firewall-cmd --remove-service=dhcpv6-client --permanent

firewall-cmd --list-service //查看firewalld允许的服务

firewall-cmd --list-service --permanent //查看配置文件允许的服务

推荐阅读：《CentOS 7系统使用firewalld防火墙创建包过滤规则》

https://www.freebuf.com/sectool/237569.html

验证效果：

//查看服务器本地的firewalld服务是否设置为自动启动

systemctl is-enabled firewalld

//远程扫描服务器端口

nmap 192.168.242.132

若只开放了22和80端口，说明firewalld加固成功。

3. 限制crontab使用者

加固要求：

禁止root之外的用户以crontab方式运行计划任务。

加固方法：

touch /etc/cron.allow && vi /etc/cron.allow //创建并编辑文件

在文件的第一行写入root，保存退出

验证效果：

普通用户尝试创建crontab任务，若无法创建，则加固成功

（五）防痕迹清除

1. 启用rsyslog服务

加固要求：

启动rsyslog服务并设置为开机自动运行

加固方法：

systemctl enable rsyslog //设置自动启动

systemctl start rsyslog //手动启动服务

验证效果：

logger -p local1.notice "This is a test for rsyslog." //执行命令

在/var/log/messages文件中若能可以看到相应的日志，说明rsyslog服务工作正常，加固成功。

2. 配置远程日志服务器

加固要求：

配置远程rsyslog日志服务器

加固方法：

vi /etc/rsyslog.conf //编辑配置文件，在末尾加入一行

*.* @192.168.242.1

作用是将全部日志转发到192.168.242.1的UDP 514端口。

保存退出。

推荐阅读：《CentOS 7系统配置rsyslog服务发送和接收日志》

https://www.freebuf.com/articles/es/246659.html

验证效果：

在日志服务器192.168.242.1上监听TCP 514端口

tcpdump -i vmnet8 udp port 514

当被加固主机执行下面的命令时，192.168.242.1主机的UDP 514端口将收到一个包

logger -p local1.notice "This is a test for rsyslog."

目标主机的UDP 514端口收到数据，说明日志服务器配置成功。

3. 配置NTP时间同步

加固要求：

定期（每小时一次）与远程NTP服务器（time1.aliyun.com）同步时间，以保证日志时间的准确性。

加固方法：

crontab -u root -e //编辑root账户的计划任务

0 1 * * * /usr/sbin/ntpdate time1.aliyun.com

保存退出

验证效果：

crontab -u root -l //查看root的crontab，确保存在ntp更新的指令

/usr/sbin/ntpdate time1.aliyun.com //手工执行时间同步

以上命令若返回成功的结果，则说明加固成功。

4. 加强审计日志文件权限

加固要求：

为audit日志文件设置严格的权限，避免日志信息被恶意操作

加固方法：

chmod 700 /var/log/audit

chmod 600 /var/log/audit/audit.log

chmod 400 /var/log/audit/audit.log.*

验证效果：

ls -ld /var/log/audit //查看日志目录权限

ls -l /var/log/audit //查看日志文件权限

（六）防物理攻击

1. bootloader安全配置

加固要求：

要求用户在系统引导程序执行之前输入boot口令，避免非授权用户改变启动参数或者改变引导分区，从而降低系统安全性被削弱的风险（如在启动时关闭selinux、进入单用户模式等）

加固方法：

grub2-setpassword

验证效果：

重启服务器，在出现开机选择菜单时按e，若出现输入用户名和密码的提示，则说明加固成功。

2. 禁用usb设备

加固要求：

禁止在服务器上使用usb存储设备，如U盘或移动硬盘

加固方法：

第一步，伪安装

cd /etc/modprobe.d/

touch block_usb.conf && vi block_usb.conf //创建并编辑配置文件，加入一行

install usb-storage /bin/true

保存退出

第二步，转移usb-storage驱动文件

uname -r //查看当前使用的内核版本

cd /lib/modules/3.10.0-1062.18.1.el7.x86_64/kernel/drivers/usb/storage/

mv usb-storage.ko.xz /root

第三步，对驱动文件进行加密

cd /root

zip -q -r -P biomind usb-storage-driver.zip usb-storage.ko.xz

rm -rf usb-storage.ko.xz

这样，usb存储设备的驱动就无法使用了。当需要使用的时候，将驱动文件解压出来，放回到原先的目录即可。

验证效果：

将USB存储设备插入系统后无法识别，说明加固成功，

三、总结

针对上一篇文章介绍的针对Linux系统的攻击方法，本文相对应地介绍了在Linux系统进行安全加固的方法。应定期对系统进行安全加固操作，以最大程度地降低Linux系统自身的脆弱性，减少系统被入侵的风险。在下一篇文章中，将介绍针对攻击者的各类攻击方式所采取的入侵排查方法。