Cara melakukan pengerasan keselamatan dan pembaikan kelemahan pada sistem Linux

Memandangkan setiap perniagaan semakin bergantung kepada Internet, keselamatan siber semakin menjadi tumpuan organisasi. Dalam hal ini, sistem Linux adalah titik permulaan yang baik. Disebabkan ciri-ciri sumber terbuka, penggunaan meluas, dan tidak memerlukan kebenaran, sistem Linux telah menjadi sistem pengendalian pilihan bagi banyak organisasi dan perusahaan. Walau bagaimanapun, risiko sistem Linux juga semakin meningkat. Artikel ini akan memperkenalkan cara untuk mengeras dan membaiki kelemahan sistem Linux, dan menyediakan beberapa kod sampel untuk membantu anda mengkonfigurasi sistem Linux yang lebih selamat.

Pertama, kita perlu menumpukan pada aspek ini: pengurusan pengguna, kebenaran fail dan direktori, konfigurasi rangkaian dan pelayan serta keselamatan aplikasi. Langkah terperinci dan kod sampel untuk setiap aspek diterangkan di bawah.

1. Pengurusan Pengguna

Kata Laluan Kuat

Bangunkan dasar kata laluan yang memerlukan pengguna memilih kata laluan yang kompleks dan menukar kata laluan dengan kerap.

#强制用户选择具备最低密码强度的密码
auth requisite pam_passwdqc.so enforce=users
#强制/用户更改自己的密码
auth required pam_warn.so
auth required pam_passwdqc.so min=disabled,disabled,12,8,7
auth required pam_unix.so remember=24 sha512 shadow

Larang log masuk jauh root

Adalah disyorkan bahawa hanya pengguna yang mempunyai kebenaran root boleh menyambung terus. Konfigurasikan PermitRootLogin dalam /etc/ssh/sshd_config ke no.

Masa Log Masuk

Tetapan tamat masa boleh memastikan pemotongan automatik selepas tempoh masa terbiar. Tetapkan seperti berikut dalam /etc/profile atau ~/.bashrc:

#设置空闲登陆超时退出时间为300秒
TMOUT=300
export TMOUT

2. Kebenaran fail dan direktori

Konfigurasi lalai

Konfigurasi lalai akan membenarkan semua pengguna melihat semua fail dan direktori. Tambahkan kandungan berikut pada fail /etc/fstab:

tmpfs /tmp            tmpfs defaults,noatime,mode=1777 0  0
tmpfs /var/tmp        tmpfs defaults,noatime,mode=1777 0  0
tmpfs /dev/shm        tmpfs defaults,noatime,mode=1777 0  0

Tentukan kebenaran untuk fail dan direktori sensitif

Akses harus dihadkan kepada kumpulan pengguna atau individu tertentu. Gunakan arahan chown dan chmod untuk mengubah suai kebenaran fail dan direktori Contoh berikut adalah untuk menetapkan direktori yang hanya boleh diubah suai oleh pengguna root:

#修改某目录只能root用户修改
chown root /etc/cron.deny
chmod 600 /etc/cron.deny

Semak SUID, SGID, dan Sticky Bits

SUID (Set. ID pengguna), SGID (Set group ID), Sticky Bit dan bit lain adalah beberapa tanda keselamatan dalam sistem Linux dan perlu diaudit secara berkala. Arahan berikut digunakan untuk mencari sebarang syarat kebenaran yang tidak layak:

#查找SUID权限未被使用的文件和目录
find / -perm +4000 ! -type d -exec ls -la {} ; 2>/dev/null
#查找SGID权限未被使用的文件和目录
find / -perm +2000 ! -type d -exec ls -la {} ; 2>/dev/null
#查找粘滞位未设置的目录
find / -perm -1000 ! -type d -exec ls -la {} ; 2>/dev/null

3. Konfigurasi Rangkaian dan Pelayan

Firewall

iptables ialah salah satu aplikasi tembok api yang paling biasa digunakan di Linux. Kod sampel berikut menyekat semua akses masuk:

#清空所有规则和链
iptables -F
iptables -X
#允许所有本地进出的通信，并拒绝所有远程的访问
iptables -P INPUT DROP
iptables -P OUTPUT DROP
#添加规则
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

Hadkan akses perkhidmatan

Sesetengah perkhidmatan hanya boleh dijalankan secara tempatan dan terdapat risiko besar untuk diakses dari luar. Bangunkan peraturan dalam direktori /etc/hosts.allow dan /etc/hosts.deny untuk mengehadkan masa capaian, IP dan maklumat lain kepada perkhidmatan.

4. Keselamatan Aplikasi

Kemas kini Pakej Perisian

Kedua-dua perisian kernel dan ruang pengguna memerlukan kemas kini tetap untuk menyelesaikan pepijat dan kelemahan yang diketahui. Anda boleh menggunakan yum, rpm dan alatan lain untuk mengemas kini pakej perisian. Contoh kod diberikan di bawah:

#更新已安装的所有软件包
yum -y update
#更新单个软件包
yum -y update <package>

Elakkan menggunakan pengguna root untuk menjalankan aplikasi

Apabila menjalankan aplikasi, anda harus menggunakan pengguna yang tidak mempunyai hak istimewa dan jangan gunakan pengguna root untuk menjalankan aplikasi.

Kompilasi perpustakaan pautan statik

Pustaka pautan statik mengandungi semua kebergantungan untuk menulis aplikasi, yang boleh menghalang pengguna lain daripada mengganggu pakej bergantung. Kod sampel diberikan di bawah:

#编译静态链接库
gcc -o app app.c -static

Kesimpulan

Kerja pengerasan keselamatan dan kelemahan sistem Linux tidak terhenti di situ, tetapi langkah di atas boleh membantu kami mengukuhkan keselamatan sistem Linux. Perlu diingatkan bahawa langkah-langkah ini tidak dapat menjamin sepenuhnya keselamatan sistem Organisasi dan perusahaan harus mengambil pelbagai langkah untuk memastikan keselamatan.

Atas ialah kandungan terperinci Cara melakukan pengerasan keselamatan dan pembaikan kelemahan pada sistem Linux. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!