共计 6553 个字符,预计需要花费 17 分钟才能阅读完成。
本文中,我们将讨论如何通过一些 Linux 的安全命令,加固你的 Linux 系统。
在最开始, 我们需要问的一个问题是:Linux 是已经足够被安全加固了吗? 答案当然是否定的。那些娴熟的攻击者所带来的危险是与日俱增的。每天、甚至是每小时都有新的漏洞被发现。对这些漏洞的利用方法通常建立在它们被发现后的数小时之内。一些漏洞甚至直到有人将其利用到攻击的主机上才被发现。可见,安全应该是我们所有人需要关心的。因此,我想在本文中用一些实际的例子来展示如何增强系统的安全性。
没有一个帖子或是一本书能够回答 Linux 所有的安全问题或是涉及所有可能的威胁。因此,本文理所当然地也不可能包括所有,但是我们希望你一定会发现到其“用武之处”。
我们的主要议题包括:
控制台安全密码生命周期 Sudo 的通知 SSH 调优使用 Tripwire 进行入侵检测使用 Firewalld 回归 iptable 限制编译器不可修改文件用 Aureport 来管理 SELinux 使用 sealert 工具
一、控制台安全
你可以通过限制能够登录的一组特定终端来限制 root 用户的访问。为了实现该目的,请编辑 /etc/ 下安全文件的内容。该文件列出的是允许 root 用户登录的所有设备。
我建议你只允许 root 用户去登录到一个终端之上,且强制所有其他用户都使用非 root 用户的身份进行登录。而如果确实需要 root 用户权限的时候,请使用 su 命令来获取。
二、密码生命周期
密码的生命周期就是允许你为密码指定一个有效的时间周期。时间到期后,系统将强制要求用户输入一个新的密码。这样有效地确保了密码的定期更换,以及密码在被偷盗、破解或为人所知的情况下能够迅速过期。
有两种方法可以实现这个效果。第一种方法是通过命令行使用如下的改变命令:
$ chage -M 20 likegeeks
我们使用 - M 选项为 likegeeks 用户设置了有效期限为 20 天的密码。
你也可以输入不带任何选项的 chage 命令,它会自动提示你选项:
$ chage likegeeks
第二种方法是在 /etc/login.defs 中为所有用户设置默认值。你可以参照下面,按需改变其数值:
PASS_MAX_DAYS 20 PASS_MIN_DAYS 0 PASS_WARN_AGE 5
三、Sudo 的通知
Sudo 命令虽然可以使得你的“生活”更为轻松,但是它们也会因为 Linux 的安全问题而毁了你的“生活”。
我们都知道,sudo 命令允许非 root 用户以 root 身份运行各种命令。你可以在 /etc/sudoers 文件中查到所有的 sudo 配置。
你可以禁止用户去运行那些 root 才能运行的命令。
当 sudo 命令被使用的时侯,你可以通过在文件中添加如下一行语句,以配置其向外发送电子邮件。
mailto yourname@yourdomain.com
当然你也可以用如下语句改变 sudo 的发邮件状态:
mail_always on
四、SSH 调优
只要说到 Linux 安全,我们必然会讨论到 SSH 服务。SSH 应该是你系统中重要的一种服务,它使你能够轻松地连接到自己的系统。而且这可能是在出现各种状况的时候,唯一能让你的系统“幸存”的途径。所以对 SSH 的调优是非常重要的。
由于我们在本文所使用的是 CentOS 7,那么其 SSH 的配置文件就存放在:
/etc/ssh/sshd_config
让我们来深入了解一下吧。
攻击者所使用的扫描器或自动工具一般尝试运用默认端口 22 来连接 SSH。因此通常情况下,你应该改变 SSH 的原有端口到另一个未使用的端口上,比如说 5555。
Port 5555
你也可以通过更新 PermitRootLogin 的值为 no 来限制 root 的登录,例如:
PermitRootLogin no
并禁用无密码的通道,且改用公钥登录的方式。
PasswordAuthentication no PermitEmptyPasswords no
其实还有另外一种可能阻止攻击的调整,但它要求 SSH 通过正向和反向 DNS 查询远程的主机名,这将在系统日志文件中生成一些适当的警告。你只需启用 UseDNS 的值便可实现。
UseDNS yes
此外,当 GSSAPI 服务器被要求验证相关用户的身份时,SSH 会调用一个不常用的功能来实现 GSSAPI 的认证方式。为了避免这种情况可能会引起的某种麻烦,请按照如下将 GSSAPIAuthentication 设为 no:
GSSAPIAuthentication no
考虑到 SSH 通常会出现的超时问题,你可以通过正确地配置 ServerAliveInterval、ServerAliveCountMax 和 TCPKeepAlive 的值来进行管控。
例如下面的规则就意味着每隔 60 秒就产生一个数据包。
ServerAliveInterval 15 ServerAliveCountMax 3 TCPKeepAlive yes
通过调整这些值,你可以提供一个更长的连接。
ClientAliveInterval 30 ClientAliveCountMax 5
你可以通过指定那些被允许用来使用 SSH 的用户名,从而使得 SSH 服务更为安全。
AllowUsers user1 user2
或者指定允许的组:
AllowGroup group1 group2
除此之外,你还可以为 SSH 启用诸如 Google Authenticator 这样的双因素认证方式:
$ yum install google-authenticator
然后运行之,以验证是否成功安装:
$ google-authenticator
你的移动手机上应该已经安装了 Google authenticator 的应用,那么请将下面一行添加到 /etc/pam.d/sshd 之中。
auth required pam_google_authenticator.so
最后的事情就是通过添加下面一行到 /etc/ssh/sshd_config 中,以通知 SSH。
ChallengeResponseAuthentication yes
然后重启你的 SSH:
$ systemctl restart sshd
之后,当你使用 SSH 登录的时候,它将会询问一个验证码。这便意味着你的 SSH 已经能够应对暴力破解的攻击,且更为稳固了。
五、使用 Tripwire 进行入侵检测
Tripwire 是 Linux 安全里的重要工具之一。这是一种基于主机的入侵检测系统 (HIDS)。它通过收集配置和文件系统的细节,并使用这些信息来提供系统先前与当前状态之间的参考点等方式进行工作。该过程监测文件或目录的属性包括:进去哪些被添加或修改了、谁修改的、修改了什么、何时修改的。因此它就是你文件系统的“看门狗”。
你需要访问 EPEL 存储库来获取 Tripwire。你可以按如下方法轻松地添加该库:
wget http://dl.fedoraproject.org/pub/epel/7/x86_64/e/epel-release-7-9.noarch.rpm $ rpm -ivh epel-release-7-9.noarch.rpm
一旦成功安装了 EPEL 库,你就可以安装 Tripwire 了:
$ sudo yum install tripwire
在使用 Tripwire 之前,你需要用如下命令来创建本地和网站密钥:
$ tripwire-setup-keyfiles
它会提示你输入一个用于网站和本地密钥文件的密码。Tripwire 也会建议你使用大写字母、小写字母、数字和标点符号的组合。
你可以通过更改如下文件来定制 Tripwire:
/etc/tripwire/twpol.txt
因为每一行都有注释,且描述也很到位,因此该文件还是比较容易阅读和修改的。
你可以用如下的方式更新自己的 Tripwire 策略。
$ tripwire –update-policy –secure-mode low /etc/tripwire/twpol.txt
Tripwire 将通过参考你的更改,在屏幕上持续刷新显示各个阶段的步骤。当这些完成之后,你就应该能够以如下方式初始化 Tripwire 数据库了:
$ tripwire –init
然后 Tripwire 将开始扫描系统。它所需要的时长取决于系统的总体规模。
任何对文件系统更改将被认为是一种系统的入侵,因此管理员会被通知到,而且他需要使用受信任的文件予以系统恢复。正是出于这个原因,Tripwire 必须去验证任何的系统更改。你可以通过如下命令来验证你的现有的策略文件:
$ tripwire –check
关于 Tripwire,我的最后一点建议是:请额外去加固 twpol.txt 和 twcfg.txt 文件的安全。
更多有关 Tripwire 的选项和设置,你可以通过 man tripwire 查阅到。
六、使用 Firewalld
Firewalld 替代了 iptables,并且通过在不停止当前连接的情况下启用各种配置的更改,从而改善了 Linux 的安全管理。
Firewalld 作为守护进程形式运行着。它允许各种规则被即时地添加和更改,而且它使用各种网络区域来为任何以及所有与网络相关的连接定义一种信任级别。
要想知道 Firewalld 的当前运行状态,你可以输入如下命令:
$ firewall-cmd –state
你可以用如下命令罗列出预定义的区域:
$ firewall-cmd –get-zones
其值也可以如下方式进行更新:
$ firewall-cmd –set-default-zone=
你可以用以下命令获取任何特定区域的所有相关信息:
$ firewall-cmd –zone= –list-all
你也能列出所有支持的服务:
$ firewall-cmd –get-services
而且你可以添加或删除额外的服务。
$ firewall-cmd–zone=–add-service= $ firewall-cmd–zone=–remove-service=
你能通过如下命令列出任何特定区域中所有开放的端口:
$ firewall-cmd –zone= –list-ports
你可用如下方式管理 TCP/UDP 端口的增加与删除:
$ firewall-cmd–zone=–add-port= $ firewall-cmd–zone=–remove-port=
你可以如下命令添加或删除端口的转发:
$ firewall-cmd–zone=–add-forward-port= $ firewall-cmd–zone=–remove-forward-port=
Firewalld 是非常全面的。其中 Firewalld 最棒的地方当数:你可以在不需要停止或重新启动防火墙服务的情况下,管理该防火墙的体系结构。而这正是运用 IPtables 所无法实现的。
七、回归 iptable
有一些人仍然还是喜欢 IP tables 胜过 Firewalld。那么如果你正好处于这种想舍去 Firewalld 而回归 IP tables 的话,请首先禁用 Firewalld:
$ systemctl disable firewalld $ systemctlstop firewalld
然后来安装 IP tables:
$ yum install iptables-services $ touch /etc/sysconfig/iptables $ touch /etc/sysconfig/ip6tables
现在你就可以启动 IP tables 的服务了:
$ systemctlstart iptables $ systemctlstart ip6tables $ systemctl enable iptables $ systemctl enable ip6tables
为了能让内核采用新的配置,你必须重新启动系统。
八、限制编译器
如果你的系统被黑掉了,那么攻击者会对系统使用的是哪种编译器很感兴趣。为什么呢? 因为他们可以去下载一个简单的 C 文件 (POC),并且在你的系统上进行编译,从而在几秒钟之内就成为了 root 用户。如果编译器是开启的话,他们还可以在你的系统上做一些严重的破坏。
首先,你需要检查单个的数据包以确定其包含有哪些二进制文件。然后你需要限制这些二进制文件的权限。
$ rpm -q –filesbypkg gcc | grep 'bin'
现在我们需要创建一个可以访问二进制文件的编译器的组名称了:
$ groupadd compilerGroup
然后,你可以赋予这个组能够改变任何二进制文件的所有权:
$ chown root:compilerGroup /usr/bin/gcc
最后重要的是:仅编译器组才有改变该二进制文件的权限:
$ chmod 0750 /usr/bin/gcc
至此,任何试图使用 gcc 的用户将会看到权限被拒绝的信息了。
我知道有些人可能会说,如果攻击者发现编译器被关闭了的话,他会去下载编译器本身。这就是另外一个故事了,我们会在未来的文章中涉及到的。
九、不可修改文件
不可修改文件是 Linux 系统中一种最为强大的安全特性。任何用户 (即使是 root 用户),无论他们的文件权限是怎样的,都无法对不可修改文件进行写入、删除、重命名甚至是创建硬链接等操作。这真是太棒了!
它们是保护配置文件或防止你的文件被修改的理想选择。请使用 chattr 命令来将任何文件变得不修改:
$ chattr +i /myscript
你也可以如下方法去除其不可修改属性:
$ chattr -i /myscript
/sbin 和 /usr/lib 两个目录内容能被设置为不可改变,以防止攻击者替换关键的二进制文件或库文件成为恶意软件版本。我将其他有关使用不可改变文件的例子,留给你去想象。
十、用 Aureport 来管理 SELinux
通常情况下,如果你使用的是主机控制面板,或者当有一个或多个特定的应用程序可能会碰到一些问题的时候,他们是不会运行在 SELinux 已启用的模式下的,也就是说你会发现 SELinux 是禁用掉的。
但是禁用 SELinux 确实会将系统暴露于风险之中。我的观点是:由于 SELinux 有一定的复杂性,对于我们这些仍想获益于安全性的人来说,完全可以通过运行 aureport 的选项来使得工作轻松些。
aureport 工具被设计为创建一些基于列特征的报告,以显示在审计日志文件中所记录的那些事件。
$ aureport –avc
你也可以运用同样的工具来创建一个可执行文件的列表:
$ aureport -x
你也可以使用 aureport 来产生一个认证的全量报告:
$ aureport -au -i
或者你还可以列出那些认证失败的事件:
$ aureport -au –summary -i –failed
或者你也需要一个认证成功的事件的摘要:
$ aureport -au –summary -i –success
可见,当你使用一个运行着 SELinux 的系统来进行系统的故障诊断的时侯,你作为系统管理员首要考虑的应该就是使用 aureport 的各种好处了。
十一、使用 Sealert 工具
除了 aureport 工具你也可以使用一个很好的 Linux 安全工具—sealert。你可以用以下的命令来进行安装:
$ yum install setools
那么现在我们就有了一个工具,它将积极地从 /var/log/audit/audit.log 这一日志文件中返回各种警告,并将其转换得更为“人性化”且可读。
这个称为 sealert 的工具,其目的是能报告出任何与 SELinux 有关联的问题。你可以这样来使用它:
$ sealert -a /var/log/audit/audit.log
关于所生成的报告,其最好之处是:在每个被发现的问题的警报末尾,系统都会给出如何去解决该问题的相关解释。
在这篇文章中,我们讨论了一些可以帮助你加固 Linux 系统的安全技巧。当然,对于各种运行的服务而言,仍有许多值得加固的 Linux 安全技巧有待发掘。我希望你能从本文中找到对你有用和有趣的内容。
扫描二维码,添加马哥个人微信,领取 kindle 大奖!