Linux服务器加固满足等保三级要求

应邀回答行业问题

Linux系统广泛被应用在服务器上，服务器存储着公司的业务数据，对于互联网公司数据的安全至关重要，各方面都要都要以安全为最高优先级，不管是服务器在云端还在公司局域网内，都要慎之又慎。

如果黑客入侵到公司的Linux服务器上，执行下面的命令，好吧，这是要彻底摧毁的节奏，5分钟后你只能呵呵的看着服务器了，为什么要seek呢？给你留个MBR分区。

dd if=/dev/zero of=/dev/sda bs=4M seek=1

Linux系统的安全加固可分为系统加固和网络加固，每个企业的业务需求都不一样，要根据实际情况来配置。比如SSH安全、账户弱口令安全、环境安全、关闭无用服务、开启防火墙等，已经Centos7为例，简单说下linux系统SSH网络安全加固。

SSH安全

将ssh服务的默认端口22修改为其他端口，并限制root用户登陆，配置firewall允许ssh端口通过。

[root@api ~]#sed -i 's#Port 22#Port 6022#' /etc/ssh/sshd_config

[root@api ~]#echo 'PermitRootLogin no' /etc/ssh/sshd_config

[root@api ~]# firewall-cmd --zone=public --add-port=6022/tcp --permanent

[root@api ~]# firewall-cmd --reload

限制访问ssh的用户和IP

[root@api ~]#echo 'AllowUsers NAME' >>/etc/ssh/sshd_config

[root@api ~]# echo 'sshd:xxxxx:allow' >>/etc/

hostsallow

[root@api ~]# systemctl restart sshd

禁止ping测试服务器，禁止IP伪装。

[root@api ~]# echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

[root@api ~]# echo nospoof on >> /etc/hostconf

在Centos7以后iptables将被firewall替代，当然我们还能够使用iptables，首先需要删除firewall后，才能够使用iptables，技术总是在进步的，老的会慢慢被替代。

Linux系统安全加固还有很多，想要继续可以查阅资料。

安全加固组件在云安全控制台显示状态异常，安全加固组件出现异常，一般是两种情况：未安装组件和组件故障。

1、若未安装安全组件，可直接根据页面上方的安装指导进行安装；

2、若已安装安全组件，请先检查组件连接状态。

安全加固组件重启

Windows系统下，执行:“net stop winagent”“net start winagent”即可重启成功。

Linux系统下，以root权限执行/usr/local/sa/agent/restartsh。然后调用/usr/local/sa/agent/checksh检查是否重启成功。

从实际运作的层面来看，IT安全问题围绕三个基本事实：其一，IT系统不可能绝对可靠地识别用户的身份。其二，授权用户可能会被利用；其三，如果黑客获得了对主机的访问权，那么该主机就可能被闯入。后者，即为主机加固安全，是极其重要的一道防线。

　　方面，主机等高价值目标往往吸引的是黑客中的高手；另一方面，如果保存在主机上的数据越重要，用户对它的安全投入就越大，正所谓是“魔高一尺，道高一丈”的较量。

　　在过去的几年间，现实世界的一些犯罪组织一直在积极招揽黑客，从事针对某些目标的犯罪活动，比如最近黑客试图从住友银行的英国分行盗窃约2亿英镑。此类犯罪活动结合了对IT系统获得物理访问权和黑客行为，这意味着单单在主机和因特网之间设置性能可靠的防火墙已不足以保护你的数据。

　　如今，黑客完全有可能透过防火墙将黑客工具装入网络发动内部进攻。由于众多黑客工具在网上能够免费获得，加上USB存储设备随手可得，只要闲置的USB端口能够实际访问公共场所（比如接待处），就有可能利用网络上的任何PC发动攻击。为此，你要开始考虑对主机进行加固，以防直接从网络内部发动的攻击。

　　断开网络连接

　　要加强主机安全，最明显的一个办法就是，把主机与不需要连接的部分断开。如果黑客无法碰到主机，非法闯入也就无从谈起。

　　关闭端口

　　提高主机安全的第二个办法就是，真正使用主机内置的安全特性。比如，默认配置的Windows服务器允许任何用户完全可以访问任何目录下的任何文件。对这种配置进行修改非常容易，但取很少有网络管理员去修改。如果用户对某个文件没有拥有权，就不应该享有自动访问该文件的权限。如果你改了配置，那么即便黑客闯入了某个账户，他也未必能够访问该主机上的所有文件。

　　另外，对外开的端口越少，黑客用来危及系统安全的办法也就越少。进入Windows MMC管理器禁用不需要的服务，主机上运行的进程越少，意味着黑客可以利用的潜在故障以及安全漏洞就越少。

　　限制访问

　　你可以采取的另一个措施就是切断主机验证和应用管理的联系。拥有管理主机的权限，并不意味着有权可以管理其他功能，比如主机运行的数据库引擎或者其他应用。这可能会给需要全局管理权限的用户带来不便，但它却使非法闯入数据库的难度加大了一倍，因为黑客必须攻破两个用户身份和口令。同样，你可以把其他管理任务授权给特定的用户组，但不授予主机（或者网络）的全局管理权限。比如说，你可以允许用户管理打印机，但不授予控制打印机的主机的全部管理权限。你还可以禁止没要求加班的员工下班后登录主机。其实，大多数操作系统都内置了所有这些特性，你根本用不着投入资金，需要的只是学习并使用这些特性。

　　加强保护

　　视主机操作系统和运行的网络环境而定，你可以要求使用令牌或者生物识别技术进行验证，用于管理员对任何主机进行访问，你还可以限制管理员只能访问安全区域的某个子网。这样，如果管理员想添加一个新用户，就必须在特定的安全区域，通过特定子网上的PC来进行添加，还必须提供用户名、口令、采用生物识别技术的身份以及令牌码。

　　改变操作系统

　　不过，如果你需要更高的安全级别，恐怕就得采用专门技术了。不要单单把Windows作为服务器的操作系统。Windows是一款非常流行的服务器操作系统，但每个黑客都知道，就潜在回报而言，花时间查找Windows操作系统的安全漏洞，远比花同样时间闯入某个版本的Unix大得多。即使你买不起所选择的某个Unix版本的源代码许可证，Unix较之Windows也有一个优点：你可以重新构建内核，只包含主机中真正需要的那些部分。相比之下，Windows在这方面的内核随带了大量的代码，你没法删除，也没法全部关闭。

关于IIS服务器的安全主要包括六步：

1、使用安全配置向导（Security Configuration Wizard）来决定web服务器所需的最小功能，然后禁止其他不需要的功能。具体地说，它能帮你

1》禁止不需要的服务

2》堵住不用的端口

3》至于打开的端口，对可以访问的地址和其他安全做进一步的限制

4》如果可行，禁止不需要的IIS的web扩展

5》减小对SMB，LAN Manager，和LDAP协议的显露

6》定义一个高信噪比的对策

2、把网站文件放在一个非系统分区（partition）上，防止directory traversal的缺陷，对内容进行NTFS权限稽查（Audit）。

3、对自己的系统定期做安全扫描和稽查，在别人发现问题前尽早先发现自己的薄弱处。

4、定期做日志分析，寻找多次失败的登陆尝试，反复出现的404，401，403错误，不是针对你的网站的请求记录等。

5、如果使用IIS 6的话，使用Host Headers ，URL扫描，实现自动网站内容和IIS Metabase的Replication，对IUSR_servername帐号户使用标准的名称等。

6、总的web架构的设计思路：别把你的外网web服务器放在内网的活动目录（Active Directory）里，别用活动目录帐号运行IIS匿名认证，考虑实时监测，认真设置应用池设置，争取对任何活动做日志记录，禁止在服务器上使用Internet Explorer等。