lighting
Các phương pháp bảo mật server Linux?
Các phương pháp bảo mật server Linux?
haianh02
09/08/2013 00:01
Tổng quan bảo mật server Linux (CentOS) – Phần 1
Bạn hãy luôn thiết đặt Password cho BIOS và không cho phép các thiết bị như floppy disk hay CD-ROM boot khi hệ thống khởi động.
2. PASSWORD
Bạn hãy chọn một password phức tạp cho tài khoản của mình, password bao gồm ký tự hoa, thường, số và ký tự đặc biệt như . , * – …
Ngoài ra bạn hãy Edit file: /etc/login.defs
PASS_MIN_LEN 8
Yêu cầu nhập password có chiều dài ngắn nhất là 8.
3. ACCOUNT TIME OUT
Xác định thời gian time out của account
Edit file: /etc/profile
HITSFILESIZE=on
TMOUT=7200
4. DISABLE CONSOLE PROGRAM ACCESS
Disable tất cả các lệnh khi thực hiện qua console-equivalent
[root@longvnit] /#rm -f /etc/security/console.apps/
Khuyến cáo bạn nên loại bỏ các lệnh sau:
[root@longvnit] /# rm -f /etc/security/console.apps/halt
[root@longvnit] /# rm -f /etc/security/console.apps/poweroff
[root@longvnit] /# rm -f /etc/security/console.apps/reboot
[root@longvnit] /# rm -f /etc/security/console.apps/shutdown
5. Xóa bỏ bit SUID & SGID không cần thiết
[root@longvnit] /# chmod a-s /usr/bin/chage
[root@longvnit] /# chmod a-s /usr/bin/gpasswd
[root@longvnit] /# chmod a-s /usr/bin/wall
[root@longvnit] /# chmod a-s /usr/bin/chfn
[root@longvnit] /# chmod a-s /usr/bin/chsh
[root@longvnit] /# chmod a-s /usr/bin/newgrp
[root@longvnit] /# chmod a-s /usr/bin/write
[root@longvnit] /# chmod a-s /usr/sbin/usernetctl
[root@longvnit] /# chmod a-s /usr/sbin/traceroute
[root@longvnit] /# chmod a-s /bin/mount
[root@longvnit] /# chmod a-s /bin/umount
[root@longvnit] /# chmod a-s /bin/ping
[root@longvnit] /# chmod a-s /sbin/netreport
[root@longvnit] /# chmod a-s /etc/passwd
6. /etc/host.conf
Edit file /etc/hosts.conf như sau:
# Order lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# Machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
7. /etc/services
Đảm bảo rằng quyền owner trên file /etc/services là của root
[root@longvnit] /# stat /etc/services
Chống thay đổi file
[root@longvnit] /# chattr +i /etc/services
8. /etc/securetty
Thay đổi thành
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
Mục đích của việc thay đổi này là chỉ đồng ý cho root login trên một tty.
9. Special accounts
Xóa những account & group không cần thiết ra khỏi hệ thống.
Xóa Users:
[root@longvnit] /# userdel adm
[root@longvnit] /# userdel lp
[root@longvnit] /# userdel sync
[root@longvnit] /# userdel shutdown
[root@longvnit] /# userdel halt
[root@longvnit] /# userdel news
[root@longvnit] /# userdel uucp
[root@longvnit] /# userdel operator
[root@longvnit] /# userdel games
[root@longvnit] /# userdel gopher
Xóa Groups:
[root@longvnit] /# groupdel adm
[root@longvnit] /# groupdel lp
[root@longvnit] /# groupdel news
[root@longvnit] /# groupdel uucp
[root@longvnit] /# groupdel games
[root@longvnit] /# groupdel dip
[root@longvnit] /# groupdel pppusers
[root@longvnit] /# groupdel popusers (Nếu có)
[root@longvnit] /# groupdel slipusers
Nếu hệ thống không cần thêm user & group bạn có thế chống thay đổi files
[root@longvnit] /# chattr +i /etc/passwd
[root@longvnit] /# chattr +i /etc/shadow
[root@longvnit] /# chattr +i /etc/group
[root@longvnit] /# chattr +i /etc/gshadow
10. Chống su lên root
Edit file /etc/pam.d/su thêm hai dòng sau:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
Có nghĩa rằng chỉ những user thuộc group wheel (GID=10) có quyền su lên root.
Tiếp theo để thêm một tài khoản có quyền su lên root ví dụ: admin
[root@longvnit] /# usermod -g 10 admin
11. Mounting a file system
Đầu tiên bạn cần tìm hiểu một số option sau:
defaults: Allow everything quota, read-write, and suid on this partition.
noquota: Do not set users quotas on this partition.
nosuid: Do not set SUID/SGID access on this partition.
nodev: Do not set character or special devices access on this partition.
noexec: Do not set execution of any binaries on this partition.
quota: Allow users quotas on this partition.
ro: Allow read-only on this partition.
rw: Allow read-write on this partition.
suid: Allow SUID/SGID access on this partition.
Sau đó bạn edit file /etc/fstab
/dev/ /tmp ext2 defaults 1 2
/dev/ /home ext2 defaults 1 2
Thành
/dev/ /tmp ext2 defaults,rw,nosuid,nodev,noexec 1 2
/dev/ /home ext2 defaults,rw,nosuid,nodev 1 2
Sau đó bạn remote lại:
[root@longvnit] /#mount -oremount /home/
[root@longvnit] /#mount -oremount /tmp/
12. Disable dùng Ctrl-Alt-Delete để shutdown
Edit file /etc/inittab
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
Áp đặt thay đổi
[root@longvnit] /#/sbin/init q
13. /etc/rc.d/
Chỉ cho phép root sử dụng script trong /etc/rc.d/
Nguyễn Thăng Long (Tổng hợp từ nhiều nguồn)[root@longvnit] /# chmod -R 700 /etc/rc.d/init.d/*
