段垚

摘要：隨著我國(guó)信息化建設(shè)不斷推進(jìn)信息技術(shù)廣泛應(yīng)用，信息安全問(wèn)題凸顯服務(wù)器的安全加固是信息系統(tǒng)安全體系建設(shè)過(guò)程中不可或缺的一環(huán)，本文根據(jù)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》第3級(jí)要求，結(jié)合作者在實(shí)際工作中遇到的各種問(wèn)題，從用戶(hù)、審計(jì)和安全代碼防護(hù)三個(gè)方面介紹了 iinux服務(wù)器的安全加固方法。

關(guān)鍵詞：安全Linux 加固 服務(wù)器

引言

服務(wù)器是信息系統(tǒng)的核心設(shè)備，黑客攻擊的最終目的就是通過(guò)提權(quán)操作獲取服務(wù)器中的重要資源。服務(wù)器一般位于系統(tǒng)縱深內(nèi)部，與外網(wǎng)之間使用安全設(shè)備進(jìn)行隔離，雖然一定程度上為其提供了安全保障，但對(duì)服務(wù)器自身的安全加固也是不能忽略的。在操作系統(tǒng)默認(rèn)安裝的情況下，均未對(duì)安全進(jìn)行配置，下文將參考《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》3級(jí)要求，結(jié)合作者在實(shí)際工作中遇到的問(wèn)題，采用問(wèn)答的方式淺談—下Linux服務(wù)器的安全加固方法。

1.用戶(hù)

1.1.系統(tǒng)中應(yīng)該存在多少賬號(hào)

在實(shí)際測(cè)評(píng)工作中會(huì)發(fā)現(xiàn)，一大部分操作系統(tǒng)僅有root 一個(gè)賬號(hào)，而另一部分操作系統(tǒng)因?yàn)榘惭b、調(diào)試等原因會(huì)存在很多賬號(hào)。到底每個(gè)操作系統(tǒng)應(yīng)該有多少個(gè)賬號(hào)呢，根據(jù)三權(quán)分立、相互制約的原則，應(yīng)至少存在超級(jí)管理員、配置員和審計(jì)員三種類(lèi)型的用戶(hù)。為便于安全事件的追溯，系統(tǒng)應(yīng)為不同用戶(hù)分配不同賬號(hào)，嚴(yán)格禁止多用戶(hù)共享同一個(gè)用戶(hù)名的情況。那么下面讓我們檢查—下系統(tǒng)中已經(jīng)存在的賬號(hào)。

用戶(hù)的基本信息被存儲(chǔ)在/etc/passwd文件中。這個(gè)文件的每一行代表一個(gè)用戶(hù)使用cat命令查看文件內(nèi)容如果存在多余或過(guò)期賬戶(hù)，在確認(rèn)賬戶(hù)狀態(tài)后應(yīng)將其刪除。如果僅存在root -個(gè)賬戶(hù)則應(yīng)按不同需求建立不同賬戶(hù)，避免用戶(hù)名共享。

1.2.是否每個(gè)用戶(hù)都配置7口令

在etc目錄下，有passwd和shadow兩個(gè)文件，這是Linux中用于存儲(chǔ)用戶(hù)信息的文件。在早期的版本中，passwd是管理用戶(hù)的唯一場(chǎng)所，包括用戶(hù)名和口令在內(nèi)的所有信息都記錄在這個(gè)文件中。出于安全考慮，現(xiàn)在用戶(hù)口令被轉(zhuǎn)存至shadow文件中，Shadow文件僅對(duì)root用戶(hù)可讀。使用cat命令查看文件內(nèi)容，該文件第一個(gè)字段為用戶(hù)名，第二個(gè)字段為口令，口令采用加密存儲(chǔ)，如果該字段顯示“??！”則表示該用戶(hù)名口令為空，需要為該用戶(hù)添加口令。

1.3.應(yīng)該怎么配置口令

為了減小口令被暴力破解的可能性，建議口令長(zhǎng)度大于6位，由大小寫(xiě)字母、數(shù)字和特殊字符組成，口令應(yīng)定期進(jìn)行更換。為了增加執(zhí)行力度，可通過(guò)配置文件進(jìn)行強(qiáng)制要求。配置方法如下：

/etc/login.defs，增加以下配置

PASSMAXDAYS99999（用戶(hù)的密碼不過(guò)期最多的天數(shù)）;

PASSMIN_DAYSO（密碼修改之間最小的天數(shù)）;

PASS MIN LEN5（密碼最小長(zhǎng)度）;

PASS WARN AGE7（密碼過(guò)期提醒）。

/etc/pam.d/system-auth，增加以下配置

password

required

pam_cracklib.so retry-3 difok-3minlen-8 ucredit=-l Icredit=-l dcredit=-2

difok-3注：要3個(gè)不同字符;

minlen-8（最小密碼長(zhǎng)度為8位）;

ucredit=-l（最1個(gè)大寫(xiě)字母）;

lcredit=-l（最少1個(gè)小寫(xiě)字母）;

dcredit=-2（最少2個(gè)數(shù)字）。

1.4.除口令外是否還需要其它的身份鑒別方式

按照國(guó)標(biāo)及行標(biāo)要求，等保3級(jí)及3級(jí)以上的信息系統(tǒng)均應(yīng)采用兩種或兩種以上的身份鑒別方式，即除用戶(hù)名加口令的外還應(yīng)采取第二種身份鑒別技術(shù)。用戶(hù)可以根據(jù)自身實(shí)際情況采用證書(shū)、動(dòng)態(tài)口令牌、虹膜等身份鑒別方式，其中動(dòng)態(tài)口令牌使用較為廣泛。

1.5.登錄失敗處理應(yīng)該怎么配置

不增加登錄失敗處理策略，理論上可以通過(guò)暴破方式入侵主機(jī)，應(yīng)采取結(jié)束會(huì)話(huà)、鎖定或自動(dòng)退出等措施限制口令嘗試次數(shù)。/etc/pam.d/system-auth應(yīng)增加以下配置

auth

required

pam_tally.so onerr-fail deny-3unlocktime=10

deny-3（登錄失敗3次）

unlock_time=10（鎖定10分鐘）

1.6.采用什么樣的遠(yuǎn)程管理手段

Linux服務(wù)器一般采用telnet和ssh方式進(jìn)行遠(yuǎn)程管理，telnet未對(duì)傳輸過(guò)程進(jìn)行加密，鑒權(quán)信息等敏感內(nèi)容可能會(huì)被竊聽(tīng)，顧建議采用ssh的遠(yuǎn)程管理方式。加固方法如下：

首先使用chkconfig list lgrep telnet命令查看是否啟用了telnet服務(wù)，如果啟用，用則應(yīng)停用該服務(wù)。使用VI編輯/etc/xinetd.d/telnet文件，將“disable=no”改為“disable=yes”，然后重啟計(jì)算機(jī)?；?qū)elnet安裝包直接刪除，命令行為“#rmp -e telnet server nodeps”。

使用rpm aq| grep ssh查看是否已安裝SSH程序包，如已安裝則應(yīng)將/etc/ssh/sshd.config文件中“port 22”前的 “#”注釋符去掉，并把22端口在防火墻上開(kāi)放。

2.審計(jì)

在等級(jí)保護(hù)3級(jí)中對(duì)審計(jì)要求共有7個(gè)控制點(diǎn)，其中：

應(yīng)對(duì)系統(tǒng)中的接口服務(wù)器、Web服務(wù)器、應(yīng)用服務(wù)器、數(shù)據(jù)庫(kù)服務(wù)器等重要服務(wù)器的操作系統(tǒng)和數(shù)據(jù)庫(kù)進(jìn)行審計(jì)，審計(jì)粒度為用戶(hù)級(jí)。

審計(jì)內(nèi)容應(yīng)包括重要用戶(hù)行為、系統(tǒng)資源的異常使用和重要系統(tǒng)命令的使用及其他與審計(jì)相關(guān)的信息。

審計(jì)記錄至少應(yīng)包括事件的日期、時(shí)間、類(lèi)型、用戶(hù)名、客戶(hù)端IP地址、訪(fǎng)問(wèn)對(duì)象、結(jié)果等。

三個(gè)控制點(diǎn)在linux默認(rèn)配置的情況下，基本符合要求。

應(yīng)保護(hù)審計(jì)進(jìn)程，避免受到未預(yù)期的中斷。

應(yīng)保護(hù)審計(jì)記錄，避免受到未預(yù)期的刪除、修改或覆蓋等，審計(jì)記錄至少保存90天。

應(yīng)定期對(duì)審計(jì)記錄進(jìn)行分析，以便及時(shí)發(fā)現(xiàn)異常行為。

三個(gè)控制點(diǎn)需要對(duì)hnux進(jìn)行額外配置。

2.1.如何保護(hù)審計(jì)進(jìn)程

為了避免審計(jì)進(jìn)程被未預(yù)期的中斷，需要對(duì)審計(jì)進(jìn)程進(jìn)行守護(hù)，應(yīng)定時(shí)掃描audit進(jìn)程，當(dāng)檢測(cè)到進(jìn)程中斷后應(yīng)重啟，并記錄到日志。下為保護(hù)進(jìn)程示例，請(qǐng)讀者參考。

#！/bin/sh

auditdPIDCount-0

1rm -f /auditdrestart.log。

#LOOIJ

while true; do

sleep 5

ech0 1date+”%Y%m%d%H：%M：%S”f>/dev/null2>&1

auditdPIDCount-1ps aux grep 'auditdll grep -v 7grepil grep -v 'kauditdl l we l'

if[ $auditdPIDCount -lt l];then

'/sbin/auditd>/dev/null 2>&1&

ech0 1date+”%Y%m%d%H：%M：%S”f auditd Restart>> /auditdrestart.109

r二

done

#exit

ech0 1date+”%Y%m%d%H：%M：%S”exit>>/auditdrestart.109

exit O

2.2.如何保護(hù)審計(jì)記錄

審計(jì)記錄保存在本機(jī)顯然是不安全的，審計(jì)記錄可以被人為惡意刪除或因設(shè)備故障丟失，在安全事件發(fā)生后，沒(méi)有日志記錄很難找到事件原因。因此我們需要在系統(tǒng)中單獨(dú)搭建日志服務(wù)器，將本機(jī)日志傳送到日志服務(wù)器，在日志服務(wù)器中保存。

3.惡意代碼防護(hù)

惡意代碼防護(hù)包括惡意入侵和病毒，在應(yīng)用程序部署完成后應(yīng)及時(shí)關(guān)閉不必要的服務(wù)和端口，安裝病毒查殺軟件，啟用人侵檢測(cè)功能，保持系統(tǒng)補(bǔ)丁和病毒庫(kù)及時(shí)更新。

3.1.是否必須安裝殺毒軟件

安裝殺毒軟件可能會(huì)造成系統(tǒng)性能下降，并引發(fā)其他位置風(fēng)險(xiǎn)，顧對(duì)于核心業(yè)務(wù)服務(wù)器酌情處理，如未安裝則應(yīng)避免通過(guò)USB及光驅(qū)等設(shè)備直接拷貝文件，茌安全域邊界處應(yīng)采用防毒墻對(duì)惡意代碼進(jìn)行查殺。如果安裝殺毒軟件則應(yīng)在系統(tǒng)內(nèi)部部署惡意代碼升級(jí)服務(wù)器，通過(guò)升級(jí)服務(wù)器保持客戶(hù)端惡意代碼庫(kù)的更新。建議系統(tǒng)防病毒網(wǎng)關(guān)與殺毒軟件采用不同的惡意代碼庫(kù)。

3.2.是否必須對(duì)系統(tǒng)補(bǔ)丁進(jìn)行更新

系統(tǒng)補(bǔ)丁補(bǔ)丁與殺毒軟件類(lèi)似，系統(tǒng)補(bǔ)丁的更新會(huì)產(chǎn)生一定的潛在風(fēng)險(xiǎn)，建議在實(shí)驗(yàn)系統(tǒng)先行部署，如無(wú)異常，再進(jìn)行生產(chǎn)系統(tǒng)部署。

3.3.入侵防護(hù)

建議在系統(tǒng)邊界處部署入侵防護(hù)設(shè)備，對(duì)系統(tǒng)的入侵防護(hù)進(jìn)行整體考慮。

4.結(jié)束語(yǔ)

因運(yùn)行應(yīng)用干差萬(wàn)別，顧服務(wù)器有著各自不同的安全需求，在對(duì)其進(jìn)行安全加固時(shí)應(yīng)從易用性、穩(wěn)定性等多方面進(jìn)行綜合考慮，文中的加固方法并不適用于所有服務(wù)器，這里僅是起到拋磚引玉的作用，給服務(wù)器管理者提供一些安全加固的思路，文中不妥之處請(qǐng)讀者加以指正。

參考文獻(xiàn)

[1]GBIT 222392008信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求。