文章內(nèi)容

Linux 系統(tǒng)安全規(guī)范

發(fā)布時(shí)間: 2012/8/14 19:46:14

　基本原則: a. 及時(shí)更新所有的服務(wù)，以防止最新的威脅
　　b. 盡可能使用安全的協(xié)議
　　c. 盡可能讓每臺(tái)機(jī)只提供一種服務(wù)
　　d. 嚴(yán)格監(jiān)控所有機(jī)器以及時(shí)發(fā)現(xiàn)惡意行為
　　e. 訂閱系統(tǒng)相關(guān)的安全郵件列表
　　一．帳戶和口令
　　(一). 帳戶
　　1．為每個(gè)系統(tǒng)維護(hù)人員建立一個(gè)獨(dú)立的普通權(quán)限帳號(hào)，為監(jiān)控機(jī)建立監(jiān)控
　　帳號(hào)，分別用于日常系統(tǒng)維護(hù)和系統(tǒng)監(jiān)控；
　　2．FTP 服務(wù)器配置虛擬帳號(hào)；
　　3．禁止除root 帳號(hào), 系統(tǒng)維護(hù)人員帳號(hào)和監(jiān)控機(jī)帳號(hào)之外所有帳號(hào)使用
　　SHELL的權(quán)限；
　　4．鎖定所有在安裝系統(tǒng)時(shí)自動(dòng)建立的帳號(hào)；
　　a. 查找出未鎖定的系統(tǒng)帳號(hào)：egrep -v '.*:\*|:\!' /etc/shadow | awk -F: '{print $1}'
　　b. 鎖定：usermod –L <username>
　　(二). 口令
　　1．強(qiáng)度：a. 10位以上；包含了字母（大寫字母和小寫字母），數(shù)字和特殊符號(hào)；不允許包含英文單詞；
　　b. 配置：在文件/etc/pam.d/system-auth中配置；
　　password requisite /lib/security/$ISA/pam_cracklib.so retry=3 minlen=10 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1）
　　2．更改頻率：a. 120天；
　　b. 配置新建帳戶的默認(rèn)更改頻率：在文件/etc/login.defs中設(shè)置 pass_max_days=120
　　c. 修改當(dāng)前用戶的更改頻率: chage –M 120 <username>
　　3．歷史：a. 10次
　　b. 配置：在文件/etc/pam.d/system-auth中配置
　　password requisite /lib/security/$ISA/pam_cracklib.so retry=3 minlen=10 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=3
　　password sufficient /lib/security/$ISA/pam_unix.so nullok use_authtok md5 shadow remember=10）
　　4．推薦的選擇口令的方法：想出一個(gè)句子，用其中每個(gè)單詞的首字母及其包含的符合，并將字母替換為跟其相似的數(shù)字或符號(hào)來生成口令；
　　5．好的口令舉例：Zhongguoliantong10010!))!), Beijingquhao010)!)；
　　二．遠(yuǎn)程登錄
　　(一). SSH
　　1．只支持SSH v.2；
　　2．禁止直接使用root帳號(hào)登錄，只允許使用普通權(quán)限帳號(hào)直接登錄；
　　3．更改默認(rèn)端口（改為22222）；
　　(二). 登錄banner
　　1. 在/etc/issue文件里加入登錄警告
　　#cat > /etc/issue << EOF
　　=======================================
　　Warning: The system is owned by xxxxxx,
　　Unauthorized access to this system is prohibited!!!
　　=======================================
　　
　　2. 在/etc/motd文件里加入對(duì)登錄成功者的警告
　　#cat > /etc/motd << EOF
　　=======================================
　　Warning: The system is owned by xxxxxx,
　　What you do will be monitored and logged!!!
　　=======================================
　　三．內(nèi)核參數(shù)
　　1．調(diào)整如下內(nèi)核參數(shù)，以提高系統(tǒng)防止IP欺騙及DOS攻擊的能力：
　　net.ipv4.ip_forward = 0   # 對(duì)于LVS，網(wǎng)關(guān)或VPN服務(wù)器，要設(shè)置為1
　　net.ipv4.tcp_syncookies = 1
　　net.ipv4.conf.all.accept_source_route = 0
　　net.ipv4.conf.all.accept_redirects = 0
　　net.ipv4.conf.all.rp_filter = 1   # 對(duì)于LVS 后端服務(wù)器，
　　# 要設(shè)置為0
　　net.ipv4.icmp_echo_ignore_broadcasts = 1
　　net.ipv4.icmp_ignore_bogus_error_responses = 1
　　net.ipv4.conf.all.log_martians = 1
　　
　　kernel.sysrq = 0
　　kernel.core_uses_pid = 1
　　四．文件系統(tǒng)
　　1．mount 選項(xiàng)：/           ro            # 先將 /root 目錄移到/home/root
　　/boot    ro
　　/usr      ro
　　/var       noexec, nosuid
　　/tmp       noexec, nosuid
　　2．SUID,SGID文件：每天運(yùn)行一個(gè)cron任務(wù)，看是否有新的SUID/SGID文件出現(xiàn)，
　　如果有，則發(fā)e-mail 給維護(hù)人員；
　　3．所有人都可以寫的目錄：每天運(yùn)行一個(gè)cron任務(wù)，看是否有新的所有人都可以
　　寫的目錄出現(xiàn)，如果有，則發(fā)e-mail 給維護(hù)人員；
　　4．ACL：在為多個(gè)用戶分配某個(gè)文件或目錄的權(quán)限時(shí)，禁止使用修改用戶所屬組
　　實(shí)現(xiàn)，使用ACL實(shí)現(xiàn)；
　　5. umask：配置為0022 或0055（在/etc/bashrc中配置）；
　　五．日志
　　1．日志集中存放到日志主機(jī)上, 本地保存4周的日志備份；
　　2．日志客戶機(jī)配置：參考<<linux 系統(tǒng)規(guī)范>> 8. 配置系統(tǒng)日志；
　　3．日志主機(jī)配置：參考<<linux 日志主機(jī)配置指南>>；
　　六．應(yīng)用程序
　　(一). MySQL
　　1．以mysql用戶運(yùn)行MySQL；
　　2．給管理員帳戶root改名(ht-mysql-admin)；
　　3．給管理員帳戶設(shè)置強(qiáng)鍵的口令；
　　4．刪除數(shù)據(jù)庫(kù)test；
　　5．刪除MySQL安裝過程中自動(dòng)創(chuàng)建的不需要的帳戶，
　　禁止創(chuàng)建非絕對(duì)必需的帳戶；
　　6．禁止存放任何純文本口令在數(shù)據(jù)庫(kù)中；
　　7．禁止從字典里選擇口令；
　　8．嚴(yán)格控制用戶權(quán)限：僅給予用戶完成其工作所需的最小的權(quán)限;
　　禁止授予PROCESS, SUPER, FILE 權(quán)限給非管理帳戶；
　　9．禁止將MySQL數(shù)據(jù)目錄的讀寫權(quán)限授予給mysql用戶外的其它OS 用戶；
　　10．訂閱郵件列表：MySQL Announcements；
　　(二). Resin
　　1．以用戶resin運(yùn)行resin；
　　2．跟APACHE集成使用，禁止運(yùn)行在standalone 模式直接提供WEB服務(wù) ；
　　(三). Apache
　　1．只編譯必須使用的模塊；
　　2．以daemon組的daemon用戶運(yùn)行APACHE；
　　3．關(guān)閉所有的診斷頁(yè)面和自動(dòng)目錄索引服務(wù)；
　　4．刪除cgi-bin目錄和manul目錄；
　　5．盡可能不要暴露自己的真實(shí)身份；
　　6．使用chrooting 限制apache對(duì)文件系統(tǒng)的訪問（在使用了集中存儲(chǔ)的情況下
　　比較難以實(shí)現(xiàn)）；
　　7．安裝modsecurity模塊；
　　8．運(yùn)用基于主機(jī)的身份驗(yàn)證控制對(duì)管理頁(yè)面的訪問；
　　9．日志集中存放和分析；
　　10．訂閱郵件列表：Apache HTTP Server Announcements List ；
　　七．防火墻
　　一）．軟件：iptables
　　(二). 規(guī)則
　　1．加載重要的iptables 模塊：ip_tables, iptable_filter, ip_conntrack,
　　ip_conntrack_ftp；
　　2．按網(wǎng)卡接口（eth0, eth1,…）和數(shù)據(jù)包類型（TCP,UDP,ICMP）
　　自定義規(guī)則集；
　　3．配置每個(gè)規(guī)則集的 policy為 ACCEPT，但一定要在每個(gè)規(guī)則集的末尾顯式DROP任何匹配該規(guī)則集但不允許的數(shù)據(jù)包（iptables –A <rule-set name> -j DROP）；
　　4．DROP 無效數(shù)據(jù)包，IP spoof 數(shù)據(jù)包；
　　5．只開放能滿足業(yè)務(wù)需求的最少的端口；
　　(三). 配置
　　參考<< linux 系統(tǒng)規(guī)范 >> 10. 配置安全 3)防火墻；
　　八．入侵檢測(cè)和防護(hù)
　　1．工具：OSSEC；
　　2．策略：在某臺(tái)服務(wù)器上安裝OSSEC HIDS 服務(wù)器，在需要作主機(jī)入侵檢查和防護(hù)及文件完整性檢測(cè)的服務(wù)器上安裝OSSEC HIDS 代理，代理將相關(guān)信息發(fā)送到HIDS服務(wù)器，由服務(wù)器統(tǒng)一分析處理；
　　3．配置：參考<< HIDS OSSEC安裝指南>>；
　　九．安全審計(jì)
　　---------------------------------------------------------------
　　審計(jì)對(duì)象          工具                     頻率
　　-----------------------------------------------------------
　　Linux 系統(tǒng)        nmap                     1個(gè)月
　　Nessus                  3個(gè)月
　　自動(dòng)日志分析      實(shí)時(shí)
　　人工日志分析     必要時(shí)
　　口令文件          John the ripper     3個(gè)月
　　APACHE          nikto                       6個(gè)月
　　Appscan                6個(gè)月
　　------------------------------------------------------------
　　注：新安裝的服務(wù)器必須經(jīng)過安全審計(jì)才允許投入產(chǎn)品環(huán)境；
　　新發(fā)布了應(yīng)用后，必須立即進(jìn)行安全審計(jì)；
　　十．安全郵件列表和網(wǎng)站
　　1．訂閱郵件列表：www.securityfocus.com的 Bugtraq, Focus-Linux, Web
　　Application Security；
　　2．經(jīng)常關(guān)注網(wǎng)站：http://www.securityfocus.com，http://www.owasp.org，
　　http://www.cert.org，http://www.us-cert.gov