Linux 服务器安全加固

liubulong

一、summary随着互联网的发展，隐私以及安全被大家看的越来越重视，越来越多的重要交易正在通过网络完成，与此同时数据被损坏、截取和修改的风险也在增加。优秀的系统应当拥有完善的安全措施，应当足够坚固、能够抵抗来自Internet的侵袭，这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是，如果你不适当地运用Linux的安全工具，它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题。
然而这也是我的薄弱之处，希望以本文告诫自己，时刻加强安全防护意识，不要存任何侥幸心理，中间可能会有遗漏的地方，也希望大家能留言告知，让我们所有运维的兄弟们都可以轻松的了解。
二、 用户帐号安全2.1 设定密码策略#!/bin/bash# Function: 实现对用户密码策略的设定，如密码最长有效期等read -p  "设置密码最多可多少天不修改：" Aread -p  "设置密码修改之间最小的天数：" Bread -p  "设置密码最短的长度：" Cread -p  "设置密码失效前多少天通知用户：" Dsed -i '/^PASS_MAX_DAYS/c\PASS_MAX_DAYS   '$A'' /etc/login.defssed -i '/^PASS_MIN_DAYS/c\PASS_MIN_DAYS   '$B'' /etc/login.defssed -i '/^PASS_MIN_LEN/c\PASS_MIN_LEN     '$C'' /etc/login.defssed -i '/^PASS_WARN_AGE/c\PASS_WARN_AGE   '$D'' /etc/login.defsecho "已设置好密码策略......"2.2 、对用户密码强度的设定打开 /etc/pam.d/sysetm-auth文件 ，修改如下。我们设置新密码不能和旧密码相同，同时新密码至少8位，还要同时包含大字母、小写字母和数字。
password    requisite     pam_pwquality.so try_first_pass local_users_only retry=3 authtok_type=  difok=1 minlen=8 ucredit=-1 lcredit=-1 dcredit=-12.3 、对用户的登录次数进行限制打开/etc/pam.d/sshd文件，在#%PAM-1.0的下面，加入下面的内容，表示当密码输入错误达到3次，就锁定用户150秒，如果root用户输入密码错误达到3次，锁定300秒。锁定的意思是即使密码正确了也登录不了。
auth required pam_tally2.so deny=3 unlock_time=150 even_deny_root root_unlock_time3002.4、禁止ROOT用户远程登录2.5、设置历史命令保存条数和账户超时时间#! /bin/bashread -p "设置历史命令保存条数：" Eread -p "设置账户自动注销时间：" Fsed -i '/^HISTSIZE/c\HISTSIZE='$E'' /etc/profilesed -i '/^HISTSIZE/a\TMOUT='$F'' /etc/profile2.6、设置只有指定用户组才能使用su命令切换到root用户在linux中，有一个默认的管理组 wheel。在实际生产环境中，即使我们有系统管理员root的权限，也不推荐用root用户登录。一般情况下用普通用户登录就可以了，在需要root权限执行一些操作时，再su登录成为root用户。但是，任何人只要知道了root的密码，就都可以通过su命令来登录为root用户，这无疑为系统带来了安全隐患。所以，将普通用户加入到wheel组，被加入的这个普通用户就成了管理员组内的用户。然后设置只有wheel组内的成员可以使用su命令切换到root用户。
#! /bin/bash# Function: 修改配置文件，使得只有wheel组的用户可以使用 su 权限sed -i '/pam_wheel.so use_uid/c\auth            required        pam_wheel.so use_uid ' /etc/pam.d/sun=`cat /etc/login.defs | grep SU_WHEEL_ONLY | wc -l`if [ $n -eq 0 ];thenecho SU_WHEEL_ONLY yes >> /etc/login.defsfi  2.7、对Linux账户进行管理#! /bin/bash# Function: 对系统中的用户做检查，加固系统echo "系统中有登录权限的用户有："awk -F: '($7=="/bin/bash"){print $1}' /etc/passwdecho "********************************************"echo "系统中UID=0的用户有："awk -F: '($3=="0"){print $1}' /etc/passwdecho "********************************************"N=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l`echo "系统中空密码用户有：$N"if [ $N -eq 0 ];then echo "恭喜你，系统中无空密码用户！！" echo "********************************************"else i=1 while [ $N -gt 0 ] do    None=`awk -F: '($2==""){print $1}' /etc/shadow|awk 'NR=='$i'{print}'`    echo "------------------------"    echo $None    echo "必须为空用户设置密码！！"    passwd $None    let N-- done M=`awk -F: '($2==""){print $1}' /etc/shadow|wc -l` if [ $M -eq 0 ];then  echo "恭喜，系统中已经没有空密码用户了！" elseecho "系统中还存在空密码用户：$M" fifi三、网络服务安全要经常检查系统的物理环境，禁止那些不必要的网络服务；充分了解系统和服务软件是如何工作的；经常检查系统配置和安全策略，并注意每天查看安全日志。
Linux 系统对外提供强大、多样的服务，由于服务的多样性及其复杂性，在配置和管理这些服务时特别容易犯错误，另外，提供这些服务的软件本身也存在各种漏洞，所以，在决定系统对外开放服务时，必须牢记两个基本原则：

• 只对外开放所需要的服务，关闭所有不需要的服务。对外提供的服务越少，所面临的外部威胁越小。
• 将所需的不同服务分布在不同的主机上，这样不仅提高系统的性能，同时便于配置和管理，减小系统的安全风险。
  

四、系统设置安全时刻留意安全站点公布的，与 Linux 系统和软件有关的最新安全漏洞和报告；及早发现系统存在的***漏洞，及时安装系统补丁程序。
4.1、限制控制台的使用4.2、系统关闭Ping可以把指令添加到文件/etc/rc.d/rc.local中去。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all4.3、禁止IP源路径路由五、文件系统安全对一些重要信息(例如系统配置信息)建立并完善备份机制；对一些特权账号的密码设置要谨慎。
5.1、文件权限去掉不必要的suid程序，可以通过脚本查看。
find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls -lg {} \;5.2、备份与恢复定期对文件系统进行备份，可以将损失减小到最小程度。