Linux服務(wù)安全加固

SSH服務(wù)安全配置

SHH服務(wù)介紹

描述：

? SSH是對(duì)常見(jiàn)登錄服務(wù)（如 telnet、ftp、rlogin、rsh和rcp）的安全加密替代服務(wù)。強(qiáng)烈建議站點(diǎn)放棄舊的明文登錄協(xié)議，使用SSH防止會(huì)話劫持和從網(wǎng)絡(luò)嗅探敏感數(shù)據(jù)

? SSH配置文件為/etc/ssh/sshd_config文件，一旦對(duì)SSH配置文件進(jìn)行了更改，就必須運(yùn)行以下命令重新加載sshd配置令SSH服務(wù)配置生效：

systemctl reload sshd

使用SSH V2協(xié)議

描述：

? SSH支持兩種不同且不兼容的協(xié)議：SSH V1 和 SSH V2。SSH V1 是最初的協(xié)議，存在安全問(wèn)題，SSH V2是改進(jìn)后更安全的協(xié)議。

原理：

? SSH V1包含一些基本的漏洞，這些漏洞使會(huì)話易受中間人攻擊。SSH V2 暫時(shí)未有安全影響。

加固方法：

? 編輯 /etc/ssh/sshd_config文件來(lái)設(shè)置如下所示參數(shù)：

? Protocol 2

檢測(cè)方法：

運(yùn)行以下命令驗(yàn)證輸出是否匹配：

grep "^Protocol" /etc/ssh/sshd_config

SSH1免費(fèi)，SSH2收費(fèi)

其實(shí) SSH 并不只是在 Linux 和 Unix 下使用，他們同樣在Windows NT下廣泛使用。

相對(duì)于 Telnet，ssh 對(duì)傳輸內(nèi)容加密并壓縮。

使用SSH2又不想付費(fèi)，那么一個(gè)可供選擇的自由軟件是Openssh，它是一個(gè)遵守GPL協(xié)議的軟件包，同時(shí)支持SSH1及SSH2標(biāo)準(zhǔn)，可以從www.openssh.com下載。

設(shè)置禁用SSH X11轉(zhuǎn)發(fā)

描述：

? SSH X11 Forwarding 參數(shù)提供了通過(guò)連接隧道X11來(lái)傳輸流量的功能，以啟動(dòng)遠(yuǎn)程圖形連接。SSH X11 Forwarding 提供通過(guò)SSH連接并運(yùn)行Linux上有GUI需要的程序的服務(wù)。

原理：

? 使用SSH X11 Forwarding 遠(yuǎn)程登錄 X11 服務(wù)器的用戶可能會(huì)受到X11 服務(wù)器上其他用戶的攻擊，這是一個(gè)小風(fēng)險(xiǎn)，除非有直接使用X11 應(yīng)用程序的操作需求，否則建議禁用X11 Forwarding

加固方法：

編輯/etc/ssh/sshd_config文件來(lái)設(shè)置如下所示參數(shù)：

X11ForWarding no

檢測(cè)方法：

運(yùn)行以下命令驗(yàn)證輸出是否匹配：

grep "^X11Forwarding" /etc/ssh/sshd_config

設(shè)置SSH最大認(rèn)證嘗試次數(shù)

描述：

? MaxAuthTries參數(shù)指定每個(gè)連接允許的最大身份驗(yàn)證嘗試次數(shù)。當(dāng)?shù)卿浭?shù)量達(dá)到一半時(shí)，錯(cuò)誤消息將被詳細(xì)寫(xiě)入說(shuō)明登錄失敗的syslog文件中。

原理：

? MaxAuthTries控制SSH最大認(rèn)證嘗試次數(shù)，將MaxAuthTries參數(shù)設(shè)置為一個(gè)較低的值，可以將成功的暴力攻擊SSH服務(wù)器的風(fēng)險(xiǎn)降到最低。

加固方法：

? 編輯/etc/ssh/sshd_config文件設(shè)置SSH MaxAuthTries參數(shù)為3到6之間：

? MaxAuthTries 4

禁止root賬戶直接SSH登錄系統(tǒng)

描述：

? PermitRootLogin參數(shù)指定root用戶是否可以使用ssh登錄系統(tǒng)。

原理：

? 不允許通過(guò)root賬戶直接SSH登錄，需要系統(tǒng)管理員使用自己的個(gè)人賬戶進(jìn)行身份驗(yàn)證，然后通過(guò)sudo或su升級(jí)到root權(quán)限。這反過(guò)來(lái)增加了不可抵賴性的可能性，并在發(fā)生安全事件時(shí)提供了清晰的審計(jì)跟蹤。

加固方法：

? 編輯 /etc/ssh/sshd_config文件來(lái)設(shè)置如下推薦參數(shù)：

? PermitRootLogin no

檢測(cè)方法：

運(yùn)行以下命令驗(yàn)證輸出是否匹配：

grep "^PermitRootLogin" /etc/ssh/sshd_config

禁止空口令賬戶進(jìn)行SSH登錄

描述:

? PermitEmptypasswords參數(shù)指定SSH服務(wù)器是否允許使用空密碼字符串登錄賬戶。

原理：

? 不允許密碼為空的賬戶進(jìn)行遠(yuǎn)程SSH登錄shell訪問(wèn)，可以降低對(duì)系統(tǒng)進(jìn)行未經(jīng)授權(quán)訪問(wèn)的可能性。

加固方法：

? 編輯 /etc/ssh/sshd_config文件來(lái)設(shè)置如下所示參數(shù)：

? PermitEmptyPasswords no

檢測(cè)方法：

? 運(yùn)行以下命令驗(yàn)證輸出是否匹配：

? grep "^PermitEmptyPasswords" /etc/ssh/sshd_config

設(shè)置SSH會(huì)話超時(shí)時(shí)間與次數(shù)

描述：

? ClientAliveInterval 和 ClientAliveCountMax這兩個(gè)選項(xiàng)控制ssh會(huì)話的超時(shí)時(shí)間和超時(shí)次數(shù)。ClientAliveInterval變量控制指定時(shí)間長(zhǎng)度內(nèi)沒(méi)有活動(dòng)的ssh會(huì)話終止。ClientAliveCountMax變量控制ssh最多允許在每個(gè)ClientAliveInterval上發(fā)送多少個(gè)客戶端活動(dòng)消息。當(dāng)發(fā)送的客戶機(jī)活動(dòng)消息連續(xù)沒(méi)有來(lái)自客戶機(jī)的響應(yīng)時(shí)，ssh會(huì)話終止。

原理：

? 沒(méi)有與SSH會(huì)話連接關(guān)聯(lián)的超時(shí)值，則可能允許未經(jīng)授權(quán)的用戶訪問(wèn)另一個(gè)用戶的ssh會(huì)話（例如，用戶離開(kāi)計(jì)算機(jī)沒(méi)有鎖定屏幕）。設(shè)置超時(shí)值可以降低發(fā)送這種情況的風(fēng)險(xiǎn)。

加固方法：

? 編輯/etc/ssh/sshd_config文件，根據(jù)站點(diǎn)策略來(lái)設(shè)置，將ClientAliveInterval設(shè)置為 300 到 900，即5 - 15分鐘，將ClientAliveCountMax設(shè)置為 0 - 3

ClientAliveInterval 300
ClientAliveCountMax 0

注意：所有設(shè)置，操作完畢后，要重啟ssh服務(wù)器，systemctl reload sshd

檢測(cè)方法：

? 運(yùn)行以下命令驗(yàn)證輸出是否匹配：

? grep "^ClientAliveInterval" /etc/ssh/sshd_config

? grep "^ClientAliveCountMax" /etc/ssh/sshd_config

限制SSH會(huì)話身份驗(yàn)證時(shí)間

描述：

? LoginGraceTime 參數(shù)限制用戶必須在指定的時(shí)限內(nèi)認(rèn)證成功。LoginGraceTime參數(shù)限制用戶寬限期越長(zhǎng)，可存在的未經(jīng)身份驗(yàn)證的連接就越多。與此會(huì)話中的其他會(huì)話控件一樣，寬限期應(yīng)限于適當(dāng)?shù)慕M織限制，以確保服務(wù)可用于所需的訪問(wèn)。

原理：

? LoginGraceTime參數(shù)設(shè)置為一個(gè)較低的數(shù)值，可以將成功的暴力攻擊SSH服務(wù)器的風(fēng)險(xiǎn)降到最低。它還將限制并發(fā)的未經(jīng)身份驗(yàn)證的連接的數(shù)量。

加固方法：

? 編輯 /etc/ssh/sshd_config文件來(lái)設(shè)置如下所示參數(shù)：

? LoginGraceTime 60

檢測(cè)方法：

? 運(yùn)行以下命令驗(yàn)證輸出的 LoginGraceTime 在1到60s之間：

? grep "^LoginGraceTime" /etc/ssh/sshd_config

禁用不必要服務(wù)

關(guān)閉Avahi服務(wù)

描述：

? Avahi是一個(gè)免費(fèi)由zeroconf實(shí)現(xiàn)，用于多播DNS / DNS-SD 服務(wù)發(fā)現(xiàn)的服務(wù)。Avahi允許程序發(fā)布和發(fā)現(xiàn)在本地網(wǎng)絡(luò)上沒(méi)有經(jīng)過(guò)特定配置的運(yùn)行服務(wù)和主機(jī)。例如，用戶將計(jì)算機(jī)接入網(wǎng)絡(luò)，Avahi會(huì)自動(dòng)查找要打印的打印機(jī)，要查看的文件和要與之通話的人，和將在計(jì)算機(jī)上運(yùn)行的網(wǎng)絡(luò)服務(wù)。

原理：

? 系統(tǒng)功能通常不需要自動(dòng)發(fā)現(xiàn)網(wǎng)絡(luò)服務(wù)。建議禁用該服務(wù)以減少潛在的網(wǎng)絡(luò)攻擊。

加固方法：

1、運(yùn)行以下命令驗(yàn)證avahi-daemon運(yùn)行狀態(tài)：

? systemctl status avahi-daemon

2、運(yùn)行以下命令禁用avahi-daemon，重啟系統(tǒng)后生效

? systemctl disable avahi-daemon.service

? 檢測(cè)方法：

? 運(yùn)行以下命令驗(yàn)證avahi-daemon在所有運(yùn)行級(jí)別已列為"off"或不可用：

? systemctl status avahi-daemon

同理，根據(jù)服務(wù)器需要和站點(diǎn)策略設(shè)置關(guān)閉其他服務(wù)：

1、CUPS服務(wù)：通過(guò)Unix打印系統(tǒng)（CUPS）提供了打印到本地和網(wǎng)絡(luò)打印機(jī)的功能

2、NFS和RPC服務(wù)：網(wǎng)絡(luò)文件系統(tǒng)（NFS）是UNIX環(huán)境中分布最廣的文件系統(tǒng)之一。它使系統(tǒng)具有向其他服務(wù)器掛載文件系統(tǒng)的能力

3、FTP 服務(wù)：文件傳輸協(xié)議（FTP）為聯(lián)網(wǎng)計(jì)算機(jī)提供傳輸文件的能力。

4、DNS服務(wù)：域名系統(tǒng)（DNS）是一種分層命名系統(tǒng)，它將名稱映射到連接到網(wǎng)絡(luò)的計(jì)算機(jī)，服務(wù)和其他資源的IP 地址。

5、Samba服務(wù)：Samba守護(hù)進(jìn)程允許系統(tǒng)管理員配置他們的Linux系統(tǒng)共享文件系統(tǒng)和目錄給Windows系統(tǒng)

禁用USB探測(cè)

描述：

? 為了保護(hù)數(shù)據(jù)不被泄露，可以使用軟件和硬件防火墻來(lái)限制外部未經(jīng)授權(quán)的訪問(wèn)，但是數(shù)據(jù)泄露也可能發(fā)生在內(nèi)部。很多情況下限制用戶使用USB可以用來(lái)保障系統(tǒng)安全和數(shù)據(jù)的泄露。

原理：

? 在Linux系統(tǒng)下，每個(gè)程序執(zhí)行完畢都會(huì)返回一個(gè)退出碼給調(diào)用者，一般情況下0表示成功，其他值表明有問(wèn)題或者程序退出的特殊含義。/bin/true選項(xiàng)讓被設(shè)置程序什么都不做，只設(shè)置程序退出。

加固方法：

打開(kāi)創(chuàng)建/etc/modprobe.d/CIS.conf文件，然后將下行內(nèi)容添加進(jìn)去：

install usb-storage /bin/true

檢查方法：

運(yùn)行modprobe命令驗(yàn)證USB設(shè)備被設(shè)置為/bin/true，然后lsmod命令無(wú)返回值確認(rèn)USB設(shè)備探測(cè)已被禁用：文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-411889.html

modprobe -n -v usb-storage
lsmod | grep usb-storage

到了這里，關(guān)于Linux服務(wù)安全加固的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！