Linux的使用環境也日趨成熟,各種開源產品絡繹不絕,大有百花齊放的盛景,那麼當Linux落地企業,迴歸工作時,我們還要面對這Linux運維方面的諸多問題。下面就列舉一些安全加固方面的操作。
RedHat和CentOS
選擇紅帽子系列產品,以centos為主,主要考慮有幾個方面:
centos是redhat的編譯版本,基本上沒有什麼大的變動現在很多環境都是集群環境,包括web集群,中間件集群,rac群集等等,OS層面本身的高可用係數已經不是100%要求那麼高了。主流版本生命週期比較長,比較適合一個硬件的生命週期管理,基本上安裝一次直到設備報廢了。批量安裝部署方便,硬件和軟件兼容性都挺好。版本主要使用6版本,新上應用可以全面考慮升級使用7版本SuSe
使用的Suse Linux Enterprise版,主要考慮因素如下:
1、該發行版本性能和穩定性比較突出
2、對客戶的技術支持體系較為完備,服務響應較快(這基本上是最重要的因素)
3、對開源社區如openstack等生態擁抱得也較好。
4、版本主要是SUSE11 較多。
安全加固
本次安全加固內容主要參考的是Redhat和Centos系列版本系統。
1、註釋掉系統不需要的用戶和用戶組
注意:不建議直接刪除,當你需要某個用戶時,自己重新添加會很麻煩。
2、關閉系統不需要的服務
3、給下面的文件加上不可更改屬性,從而防止非授權用戶獲得權限
4、限制不同文件的權限
5、禁止使用Ctrl+Alt+Del快捷鍵重啟服務器
6、使用yum update更新系統時不升級內核,只更新軟件包
注意:由於系統與硬件的兼容性問題,有可能升級內核後導致服務器不能正常啟動,這是非常可怕的,沒有特別的需要,建議不要隨意升級內核。
7、關閉Centos自動更新
8、關閉多餘的虛擬控制檯
我們知道從控制檯切換到 X 窗口,一般採用 Alt-F7 ,為什麼呢?因為系統默認定義了 6 個虛擬控制檯,
所以 X 就成了第7個。實際上,很多人一般不會需要這麼多虛擬控制檯的,修改/etc/inittab ,註釋掉那些你不需要的。
9、修改history命令記錄
10、隱藏服務器系統信息
在缺省情況下,當你登陸到linux系統,它會告訴你該linux發行版的名稱、版本、內核版本、服務器的名稱。
為了不讓這些默認的信息洩露出來,我們要進行下面的操作,讓它只顯示一個"login:"提示符。
刪除/etc/issue和/etc/issue.net這兩個文件,或者把這2個文件改名,效果是一樣的。
11、優化Linux內核參數
12、系統優化
13、服務器禁止ping
14、檢查口令策略設置是否符合複雜度要求
15、檢查登錄提示-是否設置登錄成功後警告Banner
修改文件/etc/motd的內容,如沒有該文件,則創建它。
16、檢查是否設置登錄超時
執行備份: