安装一台安全的Linux

安装一台安全的Linux何伟平hwtony@xmubbsLinux的优点Linux花费小，硬件要求低开放源码相对安全Linux的缺点学习成本高缺少技术支持特定服务无法满足要求选择依据根据应用选择操作系统利用linux为老机器延长寿命安全概述防范谁（天灾、病毒、人）需要什么样的措施授予最小的权限安装要点避免连接网络慎重规划文件系统仅安装必要程序规划文件系统选用日志文件系统独立/var、/home、/boot独立/usr、/tmp安装最小的操作系统安装时选择Minimal物理安全限制启动方式保护控制台限制启动方式更改启动顺序加上BIOS密码加上Loader密码给GRUB加上密码获得加密串grubmd5cryptPassword:******Encrypted:$1$qW/qn0$LOnxgnJ2eyQupw2i7aTtS1编辑/boot/grub/grub.conf，加入password--md5$1$b.0qn0$X7vUSPBqlznCPHzQQJJQ51保护控制台–禁用ctrl+alt+del编辑/etc/inittab注释掉如下配置ca::ctrlaltdel:/sbin/shutdown-t3-rnow保护控制台–禁用程序执行以下命令rm–f/etc/security/console.apps/haltrm–f/etc/security/console.apps/rebootrm–f/etc/security/console.apps/poweroffforiin/etc/pam.d/*dosed‘/[^#].*pam_console.so/s/^/#/’$itemp&&mv–ftemp$idone帐户安全删除不必要帐户限制帐户权限保护超级管理员帐户删除不必要的帐户用以下命令查看用户cat/etc/passwd|cut-f1-1-d:-删除adm、lp、sync、shutdown、halt、news、mail、uucp、operator、games、gopher、ftp删除不必要的组用以下命令查看用户cat/etc/group|cut-f1-1-d:-删除adm、lp、news、mail、uucp、games、dip限制帐户权限允许登陆？usermod-s/sbin/nologinusername登陆方式，位置？避免创建默认组保护超级管理员帐户编辑/etc/profile，加入TMOUT=600编辑/etc/pam.d/su，去掉下面的注释#authrequired/lib/security/$ISA/pam_wheel.souse_uid文件安全避免不必要的文件权限保护重要文件注意SUID程序避免不必要的文件权限修改fstab/var、/tmp加上noexec、nosuid、nodev/home加上nosuid、nodev保护重要的文件chattr–i/etc/services/etc/passwd/etc/shadow/etc/group/etc/gshadow……去掉不必要的SUID查找SUID程序find/-typef\(-perm-04000-o-perm-02000\)去掉权限chmoda-s/bin/mount……网络安全配置防火墙删除不必要的服务设置内核参数IPTABLES(1)#exportINET_IP=xxx.xxx.xxx.xxx#iptables-Nbad_tcp_packets#iptables-Nallowed#iptables-Abad_tcp_packets-ptcp--tcp-flags\SYN,ACKSYN,ACK-mstate--stateNEW-jREJECT--reject-withtcp-reset#iptables-Abad_tcp_packets-ptcp!--syn-mstate--stateNEW-jDROP#iptables-Aallowed-pTCP--syn-jACCEPT#iptables-Aallowed-pTCP-mstate--stateESTABLISHED,RELATED-jACCEPT#iptables-Aallowed-pTCP-jDROPIPTABLES(2)#iptables-AINPUT-ptcp-jbad_tcp_packets#iptables-AINPUT-pALL-ilo-s127.0.0.1-jACCEPT#iptables-AINPUT-pALL-ilo-s$INET_IP-jACCEPT#iptables-AINPUT-pALL-d$INET_IP-mstate--state\ESTABLISHED,RELATED-jACCEPT#iptables-AOUTPUT-ptcp-jbad_tcp_packets#iptables-AOUTPUT-pALL-olo-d127.0.0.1-jACCEPT#iptables-AOUTPUT-pALL-olo-d$INET_IP-jACCEPT#iptables-AOUTPUT-pALL-s$INET_IP-mstate--state\ESTABLISHED,RELATED-jACCEPTIPTABLES(3)#iptables-AINPUT-pTCP--dport22-jallowed……#iptables-AOUTPUT-pUDP--dport53-jACCEPT#iptables-AOUTPUT-pTCP--dport53-jallowed#iptables-AOUTPUT-pTCP--dport21-jallowed……#iptables-PINPUTDROP#iptables-POUTPUTDROP#iptables-PFORWARDDROP#serviceiptablessaveTCP_WRAPPERS/etc/hosts.denyALL:ALL/etc/hosts.allow，用ipsshd:xxx.xxx.xxx.xxx……删除不必要的服务chkconfig–listchkconfig–level3servicenameoff手工编辑/etc/rc.d/rc3.d设置内核参数/etc/sysctl.confnet.ipv4.icmp_echo_ignore_all=1net.ipv4.icmp_echo_ignore_broadcasts=1net.ipv4.conf.all.accept_source_route=0net.ipv4.tcp_syncookies=1net.ipv4.conf.all.accept_redirects=0net.ipv4.ip_always_defrag=1net.ipv4.icmp_ignore_bogus_error_responses=1net.ipv4.conf.all.rp_filter=1net.ipv4.conf.all.log_martians=1安全相关SecurityThroughObscurity（不公开、即安全）日志&备份升级SecurityThroughObscurity删除/etc/issue、/etc/issue.net修改端口日志与备份正确设置/var/log权限设置自动备份并测试(/etc、/var/log)备份/var/lib/rpm/fileindex.rpm与/var/lib/rpm/packages.rpm，用rpm–Va检查谢谢