Linux基本安全设定

1RedHatLinux基本安全設定tryOct29,2002NCCUComputerCenter前言Linux是一個OpenSource的作業系統，這代表著一旦安裝好Linux，全世界的Hacker都會知道你Server的一切細節，包含所有系統的bug及漏洞。稱職的Linux管理員應該在Linux安裝完成後，馬上做一些基本的安全設定。這些設定雖然簡單，卻可以避免掉大部份的一般入侵行為。以下就我們在ICRA2003及在電算中心管理ApServer的經驗，整理出一些非常基本的安全設定，Linux灌好後請務必將以下步驟當做例行程序。去除不必要的服務執行/usr/sbin/ntsysv，出現如下畫面。2只要把不必要服務的「*」拿掉，再按「Ok」確認即可。建議啟動服務參考列表服務名稱備註anacron排程。apmd進階電源管理。atd排程。crond排程。gpmconsole上的剪貼簿。httpd沒用就關起來。identdTCP/IPIDENTProtocolServeripchains防火牆管理。keytablekudzu自動偵測新硬體。netfsnetwork網器卡服務。portmapDARPAporttoRPCprogramnumbermapper.random亂數產生器。smb網路芳鄰，沒用就關起來。sshdSecureSocketShellsyslogkernellogstelnet沒用就關起來。wu-ftpd沒用就關起來。xinetdInternet服務鎖IP以下這個方式可以鎖所有經過xinetd的服務的IP(如telnet,ssh…)。編輯/etc/hosts.deny，加上ALL:ALL。編輯/etc/hosts.allow，加上你要開放的特定對象，左邊是port，右邊是IP。如，ALL:140.119.代表政大校內可使用該主機所有port，最後一個「.」不要忘了加。80:ALL，所有人可入port80執行/etc/init.d/xinetdrestart。3使用ssh登入系統如果你從宿舍「成員眾多的LAN環境」上要telnet到你的機器上，有很大的機會您的密碼會被sniff，這時最好是透過ssh來連上遠端機器。在win32上可以用putty來連上ssh。要下載putty.exe，在archie上找就有了。執行putty.exe，出現如下畫面，HostName打你主機的IP，Protocol選SSH，SavedSessions取個名字，如test，如下。4選Save、Load，之後按Open，便可連上，可以用root的帳號及密碼直接登入，如下。修改issue.net在/etc/issue.net是指當你從別台主機登入時，所看到的畫面，預設值會5把linux的版本、kernel都印出來。為安全起見，我們應該要將它拿掉。打開/etc/issue.net將和系統資訊有關的內容刪除即可。簡易iptables設定在RedHatLinux7.3之後，核心預設的防火牆為iptables，之前則是ipchains。請您依您的核心版本來選擇防火牆。首先切換到root帳號打iptables–L(或ipchains-L)，這道指令是列出目前的iptables的設定。出現畫面如下我們可以發現，iptables/ipchains中，共分三種Chains(INPUT、FORWARD及OUTPUT)，及二種Policy(ACCEPT及DROP)。在這裏我們只做簡單的INPUTChain的設定。我們要設的規則如下:「先將所有要存取這台Server的封包都DROP掉，除了xxx之外」所以我們要先決定xxx是什麼，如上面那張圖，我們是讓telnet(23)及http(80)從任何IP都能連進來。網路芳鄰140.119.210開頭的才能連進來。1024port以上及ssh從任何IP都能連進來。這樣先deny再accept的好處是，你能很精確地掌握那幾個服務或那幾個IP能連進來。如何改變INPUTChain的defaultPolicy到DROP?6iptables–PINPUTDROP(注意:如果您是從遠端連機器，千萬記要先accept你自己的機器才能下DROP，不然連你的機器都連不上了。)如何讓特定的IP完全連不進你的機器(連ping都ping不到)iptables–AINPUT–s(IP)-jDROP如何讓特定的IP擁有機器的所有port存取權限iptables–AINPUT–s(IP)-jACCEPT開放特定的portiptables–AINPUT–p(tcp或udp)–m(tcp或udp)–dport(你要開放的port)–jACCEPT例如iptables–AINPUT–ptcp–mtcp–dport80–jACCEPT開放一群特定的port，以「:」分隔即可例如iptables–AINPUT–pudp–mudp–dport1023:65535–jACCEPT在iptables/ipchains中所做的設定是馬上生效，不過下次開機時又會不見。所以如果你不想每次重開機都重新打一次，可先將iptables匯出，在開機時再自動匯入，做法如下先利用上面介紹的指令，做好您的iptables設定匯出iptables設定/sbin/iptables-save/etc/iptables.current在/etc/rc.local中加上iptables-restore/etc/iptables.current下次開機時就會自動再匯入了。更新OpenSSL最近很多程式利用OpenSSL的漏洞在網路上橫行，當你檢視/tmp下，ls–la後看到有很多.cinik的檔時，就代表你已被入侵。所以在系統安裝好後，應馬上下傳最新版的OpenSSL來安裝(以rpm–Uvh指令即可)。如果不知道到那裏下傳，可到linux.sinica.edu.tw(中研院,anonymous可登入)下的/redhat/updates下傳。