如何做好Linux服务器安全维护

一、强化密码强度

凡是涉及到登录，就需要用到密码，如果密码设定不恰当，很容易被黑客破解，如果是超级管理员用户，如果没有设立良好的密码机制，可能给系统造成无法挽回的成果。

很多用户喜欢用自己的生日、姓名、英文名等信息来设定，这些方式可以通过字典或社会工程的手段去破解，因此建议用户在设定密码时，尽量使用非字典中出现的组合字符，且采用数字与字符、大小写相结合的密码，增加密码被破译的难度。

二、登录用户管理

进入Linux系统前，都是需要登录的，只有通过系统验证后，才能进入Linux操作系统，而Linux一般将密码加密后，存放在/etc/passwd文件中，那么所有用户都可以读取此文件，虽然其中保存的密码已加密，但安全系数仍不高，因此可以设定影子文件/etc/shadow，只允许有特殊权限的用户操作。

三、账户安全等级管理

在Linux操作系统上，每个账户可以被赋予不同的权限，因此在建立一个新用户ID时，系统管理员应根据需要赋予该账号不同的权限，且归并到不同的用户组中。每个账号ID应有专人负责，在企业中，如果负责某个ID的员工离职，该立即从系统中删除该账号。

四、谨慎使用r系列远程程序管理

在Linux系统中，有一系列r开头的公用程序，如rlogin、rcp等，非常容易被不法分子用来攻击我们的系统，因此千万不要将root账号开放给这些公用程序，现如今很多安全工具都是针对此漏洞而设计的，比如PAM工具，就可以将其有效地禁止掉。

五、root用户权限管理

root可谓是Linux重点保护对象，因为其权利是最高的，因此千万不要将它授权出去，但有些程序的安装、维护必须要求是超级用户权限，在此情况下，可以利用其他工具让这类用户有部分超级用户的权限。sudo就是这样的工具。

六、综合防御管理

防火墙、IDS等防护技术已成功应用到网络安全的各个领域，且都有非常成熟的产品，需要注意的是：在大多数情况下，需要综合使用这两项技术，因为防火墙相当于安全防护的第一层，它仅仅通过简单地比较IP地址/端口来过滤网络流量，而IDS更加具体，它需要通过具体的数据包来过滤网络流量，是安全防护的第二层。综合使用它们，能够做到互补，并且发挥各自的优势，最终实现综合防御。

七、保持更新，补丁管理

Linux作为一种优秀的开源软件，其稳定性、安全性和可用性有极为可靠的保证，世界上的Linux高手共同维护着个优秀的产品，因而起流通渠道很多，而且经常有更新的程序和系统补丁出现，因此，为了加强系统安全，一定要经常更新系统内核。

linux系统安全加固是根据系统和应用特点，用一系列规范或原则来进行安全配置，理论上和可信计算扯不上，如果一定要扯上，可用于批量在线系统的后期安全维护。

　　可信计算包括5个关键技术概念，他们是完整可信系统所必须的，这个系统将遵从TCG（Trusted Computing Group）规范

　　Endorsement key 签注密钥

　　签注密钥是一个2048位的RSA公共和私有密钥对，它在芯片出厂时随机生成并且不能改变。这个私有密钥永远在芯片里，而公共密钥用来认证及加密发送到该芯片的敏感数据

　　Secure input and output 安全输入输出

　　安全输入输出是指电脑用户和他们认为与之交互的软件间受保护的路径。当前，电脑系统上恶意软件有许多方式来拦截用户和软件进程间传送的数据。例如键盘监听和截屏。

　　Memory curtaining 储存器屏蔽

　　储存器屏蔽拓展了一般的储存保护技术，提供了完全独立的储存区域。例如，包含密钥的位置。即使操作系统自身也没有被屏蔽储存的完全访问权限，所以入侵者即便控制了操作系统信息也是安全的。

　　Sealed storage 密封储存

　　密封存储通过把私有信息和使用的软硬件平台配置信息捆绑在一起来保护私有信息。意味着该数据只能在相同的软硬件组合环境下读取。例如，某个用户在他们的电脑上保存一首歌曲，而他们的电脑没有播放这首歌的许可证，他们就不能播放这首歌。

　　Remote attestation 远程认证

　　远程认证准许用户电脑上的改变被授权方感知。例如，软件公司可以避免用户干扰他们的软件以规避技术保护措施。它通过让硬件生成当前软件的证明书。随后电脑将这个证明书传送给远程被授权方来显示该软件公司的软件尚未被干扰（尝试破解）

Linux系统基本操作

文件结构图及关键文件功能介绍

Linux文件结构

Linux文件结构图

二级目录

| 目录 | 功能 |

| /bin | 放置的是在单人维护模式下能被操作的指令，在/bin底下的指令可以被root与一般账号所使用 |

| /boot | 这个目录只要在放置开机会使用到的文件，包括 Linux核心文件以及开机选单与开机所需配置的文件等等 |

| /dev | 在Linux系统上，任何装置与接口设备都是以文件的形态存在于这个目录当中的 |

| /etc |

系统主要的配置文件几乎都放在这个目录内，例如人员账号密码各种服务的启动档，系统变量配置等

|

| /home | 这个是系统默认的用户家目录（home directory) |

| /lib | /lib放置的则是在开机时会用到的函式库，以及在/lib或/sbin底下的指令会呼叫的函式库 |

| /media | /media底下放置的是可以移出的装置，包括软盘、光盘、DVD等等装置都挂载于此 |

| /opt | 给第三方协议软件放置的目录 |

| /root | 系统管理员（root）的家目录 |

| /sbin | 放置/sbin底下的为开机过程中所需要的，里面包括了开机、修复、还原系统所需的指令。 |

| /srv | srv可视为[service]的缩写，是一些网络服务启动之后，这些服务所需要取用的数据目录 |

| /tmp | 这是让一般使用者或是正在执行的程序暂时放置文件的地方 |

文件

账号和权限

系统用户

超级管理员 uid=0

系统默认用户 系统程序使用，从不登录

新建普通用户 uid大于500

/etc/passwd

/etc/shadow

用户管理

权限管理

解析文件权限

文件系统安全

查看权限：ls -l

修改权限：

chmod

chgrp

设置合理的初始文件权限

很奇妙的UMASK:

umask值为0022所对应的默认文件和文件夹创建的缺省权限分别为644和755

文件夹其权限规则为：777-022-755

文件其权限规则为：777-111-022=644（因为文件默认没有执行权限）

修改UMASK值：

1、直接在命令行下 umask xxx(重启后消失）

2、修改/etc/profile中设定的umask值

系统加固

锁定系统中多余的自建账号

检查shadow中空口令账号

检查方法：

加固方法：

使用命令passwd -l <用户名> 锁定不必要的账号

使用命令passwd -u <用户名>解锁需要恢复的账号

使用命令passwd <用户名> 为用户设置密码

设置系统密码策略

执行命令查看密码策略设置

加固方法：

禁用root之外的超级用户

检测方法：

awk -F ":" '( 1}' /etc/passwd

加固方法：

passwd -l <用户名>

限制能够su为root的用户

查看是否有auth required /libsecurity/pam_whellso这样的配置条目

加固方法：

重要文件加上不可改变属性

把重要文件加上不可改变属性

Umask安全

SSH安全：

禁止root用户进行远程登陆

检查方法：

加固方法：

更改服务端口：

屏蔽SSH登陆banner信息

仅允许SSH协议版本2

防止误使用Ctrl+Alt+Del重启系统

检查方法：

加固方法：

设置账号锁定登录失败锁定次数、锁定时间

检查方法：

修改账号TMOUT值，设置自动注销时间

检查方法：

cat /etc/profile | grep TMOUT

加固方法：

vim /etc/profile

增加

TMOUT=600 无操作600秒后自动退出

设置BASH保留历史命令的条目

检查方法：

cat /etc/profile | grep HISTSIZE

加固方法：

vim /etc/profile

修改HISTSIZE=5即保留最新执行的5条命令

设置注销时删除命令记录

检查方法：

cat /etc/skel/bash_logout 增加如下行

rm -f $HOME/bash_history

这样，系统中的所有用户注销时都会删除其命令记录，如果只需要针对某个特定用户，，如root用户进行设置，则可只在该用户的主目录下修改/$HOME/bash_history文件增加相同的一行即可。

设置系统日志策略配置文件

日志的主要用途是 系统审计 、监测追踪和分析。为了保证 Linux 系 统正常运行、准确解决遇到的各种样统问题，认真地读取日志文件是管理员的一项非常重要任务。

UNIX/ Linux 采用了syslog 工具来实现此功能，如果配置正确的 话，所有在主机上发生的事情都会被记录下来不管是好还是坏的 。

检查方法：

cat /etc/profile | grep HISTSIZE

确定syslog服务是否启用

查看syslogd的配置，并确认日志文件是否存在

阻止系统响应任何从外部/内部来的ping请求

加固方法：

echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

主机加固是给服务器上一把锁，业务系统的服务器都很脆弱，即使装了杀毒软件，部署了防火墙，并定时打补丁，但仍然会有各种风险，各种中毒，各种被入侵，核心数据还是会被偷窥、被破坏、被篡改、被偷走。所以要对服务器加固。

推荐使用MCK云私钥，服务器安全加固系统，重新定义操作系统各模块的功能，构建独立的身份鉴别体系，在当杀毒软件、防火墙都不起作用时，仍然能顽强的对核心数据进行保护，防止木马病毒入侵，防止核心数据被偷窥、被破坏、被篡改、被偷走！

使用下面命令，查看系统是否含有pam_tally2so模块，如果没有就需要使用pam_tallyso模块，两个模块的使用方法不太一样，需要区分开来。

编辑系统/etc/pamd/system-auth 文件，一定要在pam_envso后面添加如下策略参数：

上面只是限制了从终端su登陆，如果想限制ssh远程的话，要改的是/etc/pamd/sshd这个文件，添加的内容跟上面一样！

编辑系统/etc/pamd/sshd文件，注意添加地点在#%PAM-10下一行，即第二行添加内容

ssh锁定用户后查看：

编辑系统 /etc/pamd/login 文件，注意添加地点在#%PAM-10的下面,即第二行，添加内容

tty登录锁定后查看：

编辑 /etc/pamd/remote文件，注意添加地点在pam_envso后面,参数和ssh一致