环境:CentOS7.9
安装好Linux后,为了系统的安全性,我们需要为系统调优和安全设置,下面介绍一些企业实际生产环境中常用的调优及安全设置。
1、禁用SELinux
SELinux是美国国家安全局对于强制访问控制的实现,这个功能让系统管理员又爱又恨,这里就把他关了吧,至于安全访问,可通过防火墙来实现,这也是大多数生产环境的做法。
1)永久禁用SELinux
vim /etc/selinux/config
SELINUX=disabled必须重启系统才能生效
2)临时禁用SELInux
getenforce #查看SELInux当前状态
setenforce 0 #数字0表示Permissive,即给出警告但不会阻止操作,相当于disabled,数字1表示Enforcing,即开启SELinux生产环境中可以先临时禁用SELinux,即设置setenforce 0,再去修改selinux的配置文件永久禁用,这样就不用立即重启系统也能禁用SELinux了,等下次系统需要重启时就能实现永久禁用selinux了,之所以这样做,是因为线上的系统不能说能随便立即重启的。
2、精简开机自启动服务
精简开机自启动是为了节省系统资源,只开启必须的服务。以下是几个必要的开机自启动的服务:
sshd(远程连接服务)、rsyslog(系统的日志服务)、network(网络网卡服务)、crond(计划任务服务,使用crontab命令创建计划任务)、sysstat(一个软件包,包含检测系统性能和吞吐率的一组工具)
centos5.x和centos 6.x版本使用chkconfig 命令来设置开机自启动服务
chkconfig --list #查看所有的开机自启动服务
chkconfig --del service_name #删除开机自启动的服务
chkconfig --add service_name #添加服务开机自启动
chkconfig --level 35 service_name on|off #表示35级别下默认启动|关闭
chkconfig --level 5 service_name off #表示5级别下开机不启动
centos7.x版本后不再使用chkconfig命令来管理,改用systemctl 命令来管理
systemctl list-unit-files #查看所有的服务,其中enable就表示开机自启动,disable表示禁止开机自启动
systemctl enable service_name #开机自启动
systemctl disable service_name #禁止开机自启动3、系统安全最小原则
安装的Linux系统最小化,Yum 安装软件也最小化,无用的包不安装;开机自启动服务最小化,即无用的服务不开启;命令最小化,如能用“rm -f tets.txt”就不用“rm -rf tets.txt”;登录最小化,禁用root远程登录,使用普通用户登录即可;普通用户授权最小化,只给用户必要的管理系统的命令;文件及目录权限最小化,禁止随意创建、更改、删除文件。
4、更改SSH服务远程登录配置
修改ssh默认的22端口;禁用root远程登录;禁止空密码登录;只监听必要的网卡地址而不是所有的网卡地址,如服务器存在内网和外网时,如果禁止外部远程登录只允许内网远程登录,则可以设置ssh只监听内网网卡地址。
5、利用sudo 控制用户对系统命令的使用权限
执行 visudo 命令即可快速打开编辑/etc/sudoes文件,找到 root ALL=(ALL)ALL 这行,在这行下面添加需要提升为root权限的普通用户名及权限即可,其格式为:
用户或组 机器=(表示以谁的身份执行)命令
示例:guo ALL=(ALL) /usr/sbin/reboot,/usr/sbin/useadd
说明:
root ALL=(ALL)ALLroot表示用户名,如果是用户组,这样写 :%组名
ALL :表示允许登录的主机为任意主机
(ALL):表示以谁的身份执行,ALL表示root身份
ALL: 表示当前用户可以执行全部命令,如果指定多个命令需要使用英文道号分割
6、设置Linux服务器时间同步
服务器的时间是至关重要的,如果服务器的时间不对,那么数据就有可能出现问题,因为前端记录的数据,往数据库插入记录时,一般都是取服务器的时间,所以说服务器的时间不对就很有可能造成订单的时间出现问题,所以服务器的时间准确性是至关重要;同步,顾名思义就是把服务器的时间同步到另外一台服务器,这里指的另外一台服务器就是指网络上或者本地内网的时间服务器。同步的命令有ntpdate等命令,一般使用定时任务结合ntpdate命令来实现定时同步时间。
7、调整系统文件描述符数量
每个用户能打开的文件数量是有限的,使用命令ulimit -n查看,默认是1024,使用ulimit -SHn 102400 命令来修改限制,但这时临时的退出登录会话后就失效了,如果想永久变更就修改/etc/security/limits.conf 文件,如下:
vi /etc/security/limits.conf
Oracle hard nofile 102400
Oracle soft nofile 102400这只是修改用户级的最大文件描述符限制,也就是说每一个用户登录后执行的程序占用文件描述符的总数不能超过这个限制。
系统级的限制是限制所有用户打开文件描述符的总和,可以通过修改内核参数来更改该限制:
sysctl -w fs.file-max=102400使用sysctl命令更改也是临时的,如果想永久更改需要在/etc/sysctl.conf添加
fs.file-max=102400保存退出后使用sysctl -p 命令使其生效。
8、Linux服务器内核参数优化
内核参数文件是 /etc/sysctl.conf,打开此文件编辑
vim /etc/sysctl.conf编辑之后重新读取内核参数生效:sysctl -p
9、锁定系统关键文件,防止被提权篡改
要锁定关键系统文件,必须对账号密码及启动文件加锁,防止被篡改,上锁命令如下:
chattr +i /etc/passwd /etc/shadow /etc/group /etc/inittab上锁后所有用户都不能对文件修改删除
解锁 命令:chattr -i /etc/passwd /etc/shadow /etc/group /etc/inittab
想要为了更安全防止被黑客利用,可以将chattr 改名:mv /usr/bin/chatrr usr/bin/xxx
10、为grub菜单加密码
为grub菜单加密码的目的是防止他人修改grub进行内核等启动设置,以及用单用户默认启动进行破解root密码等操作,实际上加密码可以在安装系统的过程中设置,安装系统后的具体步骤如下:
执行命令:/sbin/grub2-set-password 生成密码
重启系统,正常启动话就不需要密码,但当出现grub菜单时按下e进入编辑,此时就需要输入用户和密码了,
实际上,在执行/sbin/grub2-set-password 生成密码时系统就生成了一个密码文件 ,即/boot/grub2/user.cfg,删除这个文件,就相当于取消grub菜单加密码了。
11、禁止Linux被ping
此项不是必须的,因为有时候我们需要ping服务器查看网络是否正常,当然设置禁止ping也可以,从安全的角度来看,禁止ping还会增加系统的安全性。
永久设置禁止ping :
echo "net.ipv4.icmp_echo_ignore_all=1" >> /etc/sysctl.conf #0表示允许,1表示禁止
sysctl -p #重新加载内核参数在客户端ping服务器就会出现请求超时
临时设置禁止ping :
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all #0表示允许,1表示禁止还原,使Linux服务器能ping,删除 /etc/sysctl.conf 下刚才添加的那行 net.ipv4.icmp_echo_ignore_all=1 ,vim /proc/sys/net/ipv4/icmp_echo_ignore_all 改为0
以上这样禁止ping并不是最优的方案,实际生产环境中最常用的做法是通过防火墙来设置让指定的IP可以ping,如下:
iptables -t filter -I INPUT -p icmp --icmp-type 8 -s 192.168.0.0/24 -j ACCEPT通过iptables
iptables是Linux命令行防火墙,也可以配置规则禁用ping流量。在Linux服务器上通过iptables来禁用ping请求,请运行以下命令。首先来检测一下iptables的版本。
[root@localhost ~]# iptables -Viptables是Linux命令行防火墙,它允许我们根据一组规则管理传入和传出流量。新增了两条规则丢掉ping请求和ping应答。以下规则用于正常禁用与服务器之间的 ping 操作。
[root@localhost ~]# sudo iptables -A INPUT -p icmp –icmp-type echo-request -j DROP
[root@localhost ~]## sudo iptables -A OUTPUT -p icmp –icmp-type echo-reply -j上面是关闭ping请求和应答的iptables。那么如何恢复ping请求和ping应答呢?其实很简单,把刚才那两条规则删除掉即可,删除通过-D来删除,新增是通过-A来新增。
[root@localhost ~]# iptables -D OUTPUT -p icmp --icmp-type echo-reply -j DROP
[root@localhost ~]# iptables -D INPUT -p icmp --icmp-type echo-request -j删除iptables规则之后,又可以恢复成ping通的了。
通过csf防火墙
如果Linux中已经安装了CSF防火墙。可以使用CSF禁用传入ping很容易。请按以下步骤操作。
注:如果未安装CSF防火墙,需要先安装才能执行以下命令。
(1),修改csf配置文件(/etc/csf/csf,conf)。增加以下命令
ICMP_IN = "0"(2),修改完之后,保存。接着重新启动 CSF 和 LFD 以更新更改。
[root@localhost ~]#/etc/init.d/csf restart
[root@localhost ~]#/etc/init.d/lfd restart
[root@localhost ~]#csf -r通常情况下前两种方式不用安装任何软件包,Linux系统默认可以进行配置的,最后一种方式csf防火墙是需要安装csf软件包才能进行配置服务器禁用ping命令应答的。
12、ssh配置优化
修改之前,需要将/etc/ssh/sshd_config备份一个,比如/etc/ssh/sshd_config.old, 主要优化如下参数:
Port 12011 PermitRootLogin no UseDNS no #防止ssh客户端超时# ClientAliveInterval 30 ClientAliveCountMax 99 GSSAuthentication no主要目的更改ssh远程端口、禁用root远程登录(本地还是可以root登录的)、禁用dns、防止ssh超时、解决ssh慢,当然也可以启用密钥登录,这个根据公司需求。
注意:修改以后需重启ssh生效,另外需要iptables放行最新ssh端口。
禁用ssh登录执行某些命令
#编辑~/.ssh/authorized_keys,在前面加上语句:
command="bash --restricted --noprofile --rcfile$HOME/.stricted_profile" ssh-rsa…… #使用restricted模式,并且不加载系统默认的profile文件,而加载我们定义的profile文件$HOME/.stricted_profile。上面添加command参数一定是在一个主机行的前面,每添加一台主机,需要添加一行。
vim $HOME/.stricted_profile文件 #内容如下
PATH=${HOME}/bin
export PATH
#配置允许ssh登录可执行的命令
mkdir $HOME/bin
ln -s /usr/bin/ssh $HOME/bin/ #当登陆这台机器的时候,除了ssh 命令,不能使用其他任何命令禁用scp和sftp
rpm -qa|grep openssh-*
yum remove openssh-clients -y
#禁止sftp
vi /etc/ssh/sshd.config
Subsystem sftp /usr/libexec/openssh/sftp-server #注释掉
mv /usr/lib/sftp-server /usr/lib/13、用户权限以及系统安全优化
非root用户添加以及sudo权限控制
通过groupadd 以及useradd建立普通用户以后,需要配置对应的sudo权限,授权不同登录人员的可执行命令权限。此时建议普通用户禁止sudo su -切换root的权限。
sudo控制可以参考《通过shell脚本实现批量添加用户和设置随机密码以及生产环境如何批量添加》,这里也只是抛砖引玉,具体权限可以根据自己公司实际情况进行权限分配。一般是root都在管理人员手中,而运维或者开发都划分其他对应权限,但建议都不能切换root,同时取消useradd、userdel、passwd以及chattr命令的授权。
比较大的sudo权限分配:
username ALL=NOPASSWD:ALL,!/usr/bin/passwd,/usr/bin/passwd [a-zA-Z]*,!/usr/bin/passwd root,!/bin/bash禁用普通用户su到root
禁止非WHEEL用户使用SU命令
编辑su配置文件:vi /etc/pam.d/su,开启:
auth required /lib/security/$ISA/pam_wheel.so use_uid //即要求wheel组的用户才可执行su,只有usermod -G wheel 用户,才可su;
auth required pam_wheel.so use_uid修改/etc/login.defs文件:
echo “SU_WHEEL_ONLY yes” >> /etc/login.defs //普通用户登录,shell限制修改默认的su的wheel组:vi /etc/pam.d/su文件
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel //可将wheel替换为其他用户配置文件锁定
针对/etc/passwd 、/etc/shadow 、/etc/group和/etc/gshadow进行chattr +i保护,进一步提供系统用户管理安全。
操作办法:
[root@21yunwei ~]# chattr +i /etc/passwd /etc/shadow /etc/group /etc/gshadow需要进行用户管理的时候,以root身份进行chattr -i取消保护即可。
14、服务控制
默认无关服务都禁止运行并chkconfig xxx off,只保留有用服务。这种如果是云计算厂商提供的,一般都是优化过。如果是自己安装的虚拟机或者托管的机器,那就需要优化下,默认只保留network、sshd、iptables、crond、以及rsyslog等必要服务,一些无关紧要的服务就可以off掉了,比如我自己的博客的服务器记录是这样保留服务的:
for service in `chkconfig --list | grep "3:on" |awk '{print $1}' | grep -Ev "sshd|crond|nginxd|network|mysqld|php-fpm|rsyslog|iptables|zabbix-agent|salt-minion"` ;do chkconfig $service off ;done这是根据系统当前,后期的服务的运行建议以非root、非bash用户运行,比如常见的nginx、tomcat、mysql等等,避免某一个服务被黑导致整个系统被黑掉。
15、主机名更改
ssh登录以后,势必会看到主机名,这个主机名建议根据业务需要进行命名,这个命名同时也方便于我们后续的监控自动添加以及saltstack等批量化管理有帮助。
16、内核参数优化
进程级文件以及系统级文件句柄数量参数优化
默认ulinit -n看到的是1024,这种如果系统文件开销量非常大,那么就会遇到各种报错比如:
localhost kernel: VFS: file-max limit 65535 reached 或者too many open files 等等,那就是文件句柄打开数量已经超过系统限制,就需要优化了。
这个参数我们进程级优化文件如下:
vim /etc/security/limits.conf # End of file * soft nofile 65535 * hard nofile 65535 * soft nproc 65535 * hard nproc 65535好了,退出当前终端以后重新登录可以看到ulimit -n已经改成了65535。另外需要注意,进程级参数优化还需要修改文件:
/etc/security/limits.d/90-nproc.conf 这个会影响到参数。查看某一个进程的limits可以通过cat /proc/pid/limits查看。默认这个文件参数推荐设置:
[root@21yunwei 9001]# cat /etc/security/limits.d/90-nproc.conf * soft nproc 65535 root soft nproc unlimited系统级文件句柄优化
修改/etc/sysctl.conf添加如下参数:
fs.file-max=65535内核参数优化(这个是非常重要的)。
17、禁止执行 rm -rf /*
利用工具afe-rm, 安装后替换系统命令rm;
下载地址: https://launchpad.net/safe-rm/+download;
下载:wget https://launchpad.net/safe-rm/trunk/1.1.0/+download/safe-rm-1.1.0.tar.gztar -zxvf safe-rm-1.1.0.tar.gz # 将safe-rm命令复制到系统的/usr/local/bin目录
cp safe-rm-1.1.0/safe-rm /usr/local/bin/
ln -s /usr/local/bin/safe-rm /usr/local/bin/rm # 创建软链接,用safe-rm替换rm,如果有问题,请检查环境变量PATH,是否包含/usr/local/bin路径设置过滤目录:
编辑:vi /etc/safe-rm.conf 文件,添加需要过滤的目录即可,一行一个,而且应满足递归原则;
格式:
/ 代表过滤 目录/
./* 代表过滤 目录/ 下面的所有文件
递归过滤示例(这样/root/blue/students各级目录都会受到保护):
/
/root
/root/blue
/root/blue/students
