Web 服务器与系统安全

2016-04-28

基本原则

最小的权限+最小的服务=最大的安全。保持简单，程序只实现指定的功能。坚持最小权限，把可能造成的危害降到最低。
对操作者（IP）的所有操作默认不信任，采用白名单机制，只放行已知的操作。
永远不要信任用户的输入。对所有的输入进行前台和后台两次检查。
操作之前先备份。
密码复杂度：长度至少8位，并包括数字、小写字母、大写字母和特殊符号4类中至少2类

安全范围

操作系统安全加固
Web 程序安全
数据库安全
接口安全
其他系统服务安全

操作系统安全加固

禁用不使用的用户
关闭不必要的端口和服务
禁止root直接远程登录
防止一般网络攻击: 禁ping等
其他。

more >>

查看全文 >>

CentOS 安全加固

2016-04-26

CentOS 加固


# 用户名
USR=ajhealth
# 密码：大小写、特殊字符、数字，大于8个字符
authconfig --passalgo=sha512 --update
### 移除空闲时间大于15分钟的用户
echo "readonly TMOUT=900" >> /etc/profile.d/os-security.sh
echo "readonly HISTFILE" >> /etc/profile.d/os-security.sh
chmod +x /etc/profile.d/os-security.sh
### 禁用不使用的用户和组
cp /etc/passwd{,.bak}
sed -i "/^adm:x\|lp:x\|shutdown:x\|halt:x\|uucp:x\|operator:x\|games:x\|gopher:x\|ftp:x\|nfsnobody:x\|nfsnobody:x\|postfix:x/ s/^/# /" /etc/passwd 
cp /etc/group{,.dist}
sed -i "/adm:x\|lp:x\|uucp:x\|games:x\|gopher:x\|video:x\|dip:x\|ftp:x\|audio:x\|floppy:x\|postfix:x/ s/^/# /" /etc/group
### 关闭不使用的服务
chkconfig --list | grep '3:on'
...
### 创建 sudo 用户
visudo
### SSH安全设置
cp /etc/ssh/sshd_config{,.bak}
sed -i "s/PermitRootLogin yes/PermitRootLogin no/" /etc/ssh/sshd_config # 禁止root直接远程登录
sed -i "/^#Port 22/a Port 11011" /etc/ssh/sshd_config # change port
sed -i "/^#IgnoreRhosts/ s/^#//g" /etc/ssh/sshd_config # ignore Rhosts files
echo "auth required pam_tally2.so deny=6 unlock_time=180 even_deny_root root_unlock_time=180" >> /etc/pam.d/login # 限制登录失败次数并锁定
#### 登录IP限制
##### 更严格的限制是在sshd_config中定死允许ssh的用户和来源ip：
echo AllowUsers $USR@10.116.44.24 >> /etc/ssh/sshd_config
# echo AllowUsers $USR@10.116.44.24 hadoop@10.116.44.24 hadoop@hadoop1 hadoop@10.116.43.165 >> /etc/ssh/sshd_config
tail -2 /etc/ssh/sshd_config
# restart sshd:
service sshd restart
[
	或者使用tcpwrapper:
	vi /etc/hosts.allow
	sshd:172.29.73.23
	sshd:172.29.73.
	vi /etc/hosts.deny
	sshd:all
]
#### 减少history命令记录
sed -i "$ a \\
if [ \"\$SHLVL\" = 1 ]; then\\
  history -c\\
fi
" ~/.bash_logout
sed -i "$ a \\
if [ \"\$SHLVL\" = 1 ]; then\\
  history -c\\
fi
" $(eval echo ~$USER)/.bash_logout
#### 禁ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo "echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all" >> /etc/rc.d/rc.local
%% --- ---
#### 增强特殊文件权限
给下面的文件加上不可更改属性，从而防止非授权用户获得权限
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
chattr +i /etc/services #给系统服务端口列表文件加锁，防止未经许可的删除或添加服务
chattr +i /etc/pam.d/su
chattr +i /etc/ssh/sshd_config
### 显示文件的属性
lsattr /etc/passwd /etc/shadow /etc/services /etc/ssh/sshd_config
### 注意：执行以上 chattr 权限修改之后，就无法添加删除用户了。
### 如果再要添加删除用户，需要先取消上面的设置，等用户添加删除完成之后，再执行上面的操作，例如取消只读权限chattr -i /etc/passwd。（记得重新设置只读）
#### 配置只能使用密钥文件登录
**注意：以普通账号操作，不是以root账号操作**
ssh-keygen -t rsa -b 2048
Generating public/private rsa key pair.
Enter file in which to save the key (/root/.ssh/id_rsa):   //默认路径，回车
Enter passphrase (empty for no passphrase):     //输入你的密钥短语，登录时使用
Enter same passphrase again: 
cat ~/.ssh/id_rsa.pub >> ~/.ssh/authorized_keys
chmod 600 ~/.ssh/authorized_keys
cat ~/.ssh/id_rsa
# save the content to local, and then:
rm ~/.ssh/id_rsa*
sed -i "/#RSAAuthentication\|#PubkeyAuthentication\|#AuthorizedKeysFile/ s/^#//" /etc/ssh/sshd_config 
sed -i "s/PasswordAuthentication yes/PasswordAuthentication no/" /etc/ssh/sshd_config
### 防止IP欺骗
cat >> /etc/host.conf <<EOF
order hosts,bind
multi on
nospoof on
EOF

查看全文 >>