談LINUX服務(wù)器的安全加固

段垚

摘要：隨著我國信息化建設(shè)不斷推進(jìn)信息技術(shù)廣泛應(yīng)用，信息安全問題凸顯服務(wù)器的安全加固是信息系統(tǒng)安全體系建設(shè)過程中不可或缺的一環(huán)，本文根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》第3級要求，結(jié)合作者在實際工作中遇到的各種問題，從用戶、審計和安全代碼防護(hù)三個方面介紹了 iinux服務(wù)器的安全加固方法。

關(guān)鍵詞：安全Linux 加固 服務(wù)器

引言

服務(wù)器是信息系統(tǒng)的核心設(shè)備，黑客攻擊的最終目的就是通過提權(quán)操作獲取服務(wù)器中的重要資源。服務(wù)器一般位于系統(tǒng)縱深內(nèi)部，與外網(wǎng)之間使用安全設(shè)備進(jìn)行隔離，雖然一定程度上為其提供了安全保障，但對服務(wù)器自身的安全加固也是不能忽略的。在操作系統(tǒng)默認(rèn)安裝的情況下，均未對安全進(jìn)行配置，下文將參考《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》3級要求，結(jié)合作者在實際工作中遇到的問題，采用問答的方式淺談—下Linux服務(wù)器的安全加固方法。

1.用戶

1.1.系統(tǒng)中應(yīng)該存在多少賬號

在實際測評工作中會發(fā)現(xiàn)，一大部分操作系統(tǒng)僅有root 一個賬號，而另一部分操作系統(tǒng)因為安裝、調(diào)試等原因會存在很多賬號。到底每個操作系統(tǒng)應(yīng)該有多少個賬號呢，根據(jù)三權(quán)分立、相互制約的原則，應(yīng)至少存在超級管理員、配置員和審計員三種類型的用戶。為便于安全事件的追溯，系統(tǒng)應(yīng)為不同用戶分配不同賬號，嚴(yán)格禁止多用戶共享同一個用戶名的情況。那么下面讓我們檢查—下系統(tǒng)中已經(jīng)存在的賬號。

用戶的基本信息被存儲在/etc/passwd文件中。這個文件的每一行代表一個用戶使用cat命令查看文件內(nèi)容如果存在多余或過期賬戶，在確認(rèn)賬戶狀態(tài)后應(yīng)將其刪除。如果僅存在root -個賬戶則應(yīng)按不同需求建立不同賬戶，避免用戶名共享。

1.2.是否每個用戶都配置7口令

在etc目錄下，有passwd和shadow兩個文件，這是Linux中用于存儲用戶信息的文件。在早期的版本中，passwd是管理用戶的唯一場所，包括用戶名和口令在內(nèi)的所有信息都記錄在這個文件中。出于安全考慮，現(xiàn)在用戶口令被轉(zhuǎn)存至shadow文件中，Shadow文件僅對root用戶可讀。使用cat命令查看文件內(nèi)容，該文件第一個字段為用戶名，第二個字段為口令，口令采用加密存儲，如果該字段顯示“??！”則表示該用戶名口令為空，需要為該用戶添加口令。

1.3.應(yīng)該怎么配置口令

為了減小口令被暴力破解的可能性，建議口令長度大于6位，由大小寫字母、數(shù)字和特殊字符組成，口令應(yīng)定期進(jìn)行更換。為了增加執(zhí)行力度，可通過配置文件進(jìn)行強(qiáng)制要求。配置方法如下：

/etc/login.defs，增加以下配置

PASSMAXDAYS99999（用戶的密碼不過期最多的天數(shù)）;

PASSMIN_DAYSO（密碼修改之間最小的天數(shù)）;

PASS MIN LEN5（密碼最小長度）;

PASS WARN AGE7（密碼過期提醒）。

/etc/pam.d/system-auth，增加以下配置

password

required

pam_cracklib.so retry-3 difok-3minlen-8 ucredit=-l Icredit=-l dcredit=-2

difok-3注：要3個不同字符;

minlen-8（最小密碼長度為8位）;

ucredit=-l（最1個大寫字母）;

lcredit=-l（最少1個小寫字母）;

dcredit=-2（最少2個數(shù)字）。

1.4.除口令外是否還需要其它的身份鑒別方式

按照國標(biāo)及行標(biāo)要求，等保3級及3級以上的信息系統(tǒng)均應(yīng)采用兩種或兩種以上的身份鑒別方式，即除用戶名加口令的外還應(yīng)采取第二種身份鑒別技術(shù)。用戶可以根據(jù)自身實際情況采用證書、動態(tài)口令牌、虹膜等身份鑒別方式，其中動態(tài)口令牌使用較為廣泛。

1.5.登錄失敗處理應(yīng)該怎么配置

不增加登錄失敗處理策略，理論上可以通過暴破方式入侵主機(jī)，應(yīng)采取結(jié)束會話、鎖定或自動退出等措施限制口令嘗試次數(shù)。/etc/pam.d/system-auth應(yīng)增加以下配置

auth

required

pam_tally.so onerr-fail deny-3unlocktime=10

deny-3（登錄失敗3次）

unlock_time=10（鎖定10分鐘）

1.6.采用什么樣的遠(yuǎn)程管理手段

Linux服務(wù)器一般采用telnet和ssh方式進(jìn)行遠(yuǎn)程管理，telnet未對傳輸過程進(jìn)行加密，鑒權(quán)信息等敏感內(nèi)容可能會被竊聽，顧建議采用ssh的遠(yuǎn)程管理方式。加固方法如下：

首先使用chkconfig list lgrep telnet命令查看是否啟用了telnet服務(wù)，如果啟用，用則應(yīng)停用該服務(wù)。使用VI編輯/etc/xinetd.d/telnet文件，將“disable=no”改為“disable=yes”，然后重啟計算機(jī)。或?qū)elnet安裝包直接刪除，命令行為“#rmp -e telnet server nodeps”。

使用rpm aq| grep ssh查看是否已安裝SSH程序包，如已安裝則應(yīng)將/etc/ssh/sshd.config文件中“port 22”前的 “#”注釋符去掉，并把22端口在防火墻上開放。

2.審計

在等級保護(hù)3級中對審計要求共有7個控制點，其中：

應(yīng)對系統(tǒng)中的接口服務(wù)器、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫服務(wù)器等重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫進(jìn)行審計，審計粒度為用戶級。

審計內(nèi)容應(yīng)包括重要用戶行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用及其他與審計相關(guān)的信息。

審計記錄至少應(yīng)包括事件的日期、時間、類型、用戶名、客戶端IP地址、訪問對象、結(jié)果等。

三個控制點在linux默認(rèn)配置的情況下，基本符合要求。

應(yīng)保護(hù)審計進(jìn)程，避免受到未預(yù)期的中斷。

應(yīng)保護(hù)審計記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審計記錄至少保存90天。

應(yīng)定期對審計記錄進(jìn)行分析，以便及時發(fā)現(xiàn)異常行為。

三個控制點需要對hnux進(jìn)行額外配置。

2.1.如何保護(hù)審計進(jìn)程

為了避免審計進(jìn)程被未預(yù)期的中斷，需要對審計進(jìn)程進(jìn)行守護(hù)，應(yīng)定時掃描audit進(jìn)程，當(dāng)檢測到進(jìn)程中斷后應(yīng)重啟，并記錄到日志。下為保護(hù)進(jìn)程示例，請讀者參考。

#！/bin/sh

auditdPIDCount-0

1rm -f /auditdrestart.log。

#LOOIJ

while true; do

sleep 5

ech0 1date+”%Y%m%d%H：%M：%S”f>/dev/null2>&1

auditdPIDCount-1ps aux grep 'auditdll grep -v 7grepil grep -v 'kauditdl l we l'

if[ $auditdPIDCount -lt l];then

'/sbin/auditd>/dev/null 2>&1&

ech0 1date+”%Y%m%d%H：%M：%S”f auditd Restart>> /auditdrestart.109

r二

done

#exit

ech0 1date+”%Y%m%d%H：%M：%S”exit>>/auditdrestart.109

exit O

2.2.如何保護(hù)審計記錄

審計記錄保存在本機(jī)顯然是不安全的，審計記錄可以被人為惡意刪除或因設(shè)備故障丟失，在安全事件發(fā)生后，沒有日志記錄很難找到事件原因。因此我們需要在系統(tǒng)中單獨搭建日志服務(wù)器，將本機(jī)日志傳送到日志服務(wù)器，在日志服務(wù)器中保存。

3.惡意代碼防護(hù)

惡意代碼防護(hù)包括惡意入侵和病毒，在應(yīng)用程序部署完成后應(yīng)及時關(guān)閉不必要的服務(wù)和端口，安裝病毒查殺軟件，啟用人侵檢測功能，保持系統(tǒng)補(bǔ)丁和病毒庫及時更新。

3.1.是否必須安裝殺毒軟件

安裝殺毒軟件可能會造成系統(tǒng)性能下降，并引發(fā)其他位置風(fēng)險，顧對于核心業(yè)務(wù)服務(wù)器酌情處理，如未安裝則應(yīng)避免通過USB及光驅(qū)等設(shè)備直接拷貝文件，茌安全域邊界處應(yīng)采用防毒墻對惡意代碼進(jìn)行查殺。如果安裝殺毒軟件則應(yīng)在系統(tǒng)內(nèi)部部署惡意代碼升級服務(wù)器，通過升級服務(wù)器保持客戶端惡意代碼庫的更新。建議系統(tǒng)防病毒網(wǎng)關(guān)與殺毒軟件采用不同的惡意代碼庫。

3.2.是否必須對系統(tǒng)補(bǔ)丁進(jìn)行更新

系統(tǒng)補(bǔ)丁補(bǔ)丁與殺毒軟件類似，系統(tǒng)補(bǔ)丁的更新會產(chǎn)生一定的潛在風(fēng)險，建議在實驗系統(tǒng)先行部署，如無異常，再進(jìn)行生產(chǎn)系統(tǒng)部署。

3.3.入侵防護(hù)

建議在系統(tǒng)邊界處部署入侵防護(hù)設(shè)備，對系統(tǒng)的入侵防護(hù)進(jìn)行整體考慮。

4.結(jié)束語

因運(yùn)行應(yīng)用干差萬別，顧服務(wù)器有著各自不同的安全需求，在對其進(jìn)行安全加固時應(yīng)從易用性、穩(wěn)定性等多方面進(jìn)行綜合考慮，文中的加固方法并不適用于所有服務(wù)器，這里僅是起到拋磚引玉的作用，給服務(wù)器管理者提供一些安全加固的思路，文中不妥之處請讀者加以指正。

參考文獻(xiàn)

[1]GBIT 222392008信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求。