LinuxのセキュリティLinuxサーバを強化するための秘訣

私たちは皆知っているように、ネットワークセキュリティは非常に重要なトピックであり、サーバはネットワークセキュリティの最も重要な部分です。オープンソースのオペレーティングシステムとして、Linuxシステムでセキュリティの脆弱性が発見されると、世界中からのボランティアがパッチを当てます。しかし、システム管理者は情報を入手し、タイムリーに修正することに失敗することが多く、これがハッカーにチャンスを与えています。ただし、これらのシステム自体のセキュリティ上の脆弱性に比べて、不適切な設定が原因で多くのセキュリティ問題が発生し、適切な設定を行うことで防止できます。サーバー上で実行されているサービスが多いほど、不適切な構成を行う機会が増え、セキュリティ上の問題が発生する可能性が高くなります。これに関して、この記事ではLinux /Unixサーバーシステムのセキュリティを強化するための知識を紹介します。システムセキュリティレコードファイルオペレーティングシステム内のログファイルは、ネットワークへの侵入を検出するための重要な手がかりです。システムがインターネットに直接接続されている場合は、Telnet /FTPでシステムにログインしようとしている人が多いことがわかります。#more /var /log /secure grep refused'を実行して、システムの攻撃を確認できます。 SSHを使用してTelnet /rloginを置き換えるなど、適切な対策を講じてください。起動とログインのセキュリティ1. BIOSセキュリティBIOSパスワードを設定し、起動順序を変更してフロッピーディスクからの起動を無効にします。 2.ユーザパスワードユーザパスワードはLinuxセキュリティの基本的な出発点であり、多くのユーザはユーザパスワードをあまりにも単純に使用しますが、これは侵入者への扉を開くことと同じです。解読できないユーザーパスワード。より優れたユーザーパスワードは、彼だけが覚えて理解することができ、どこにも書くことのない文字列です。 3.デフォルトアカウントLinuxは多くのデフォルトアカウントを提供していますが、より多くのアカウントを使用するほど、システムは簡単になります。攻撃しました。次のコマンドでアカウントを削除することができます。 ＃userdelusername、または次のコマンドでグループユーザーアカウントを削除します。 ＃groupdel username 4.パスワードファイルchattrコマンドは、権限のないユーザーがアクセスできないようにするために、変更不可能な属性を次のファイルに追加します。 ＃chattr + i /etc /passwd＃chattr + i /etc /shadow＃chattr + i /etc /group＃chattr + i /etc /gshadow 5. Ctrl + Alt + Deleteを無効にしてマシンコマンドを再起動します。/etc /inittabファイルを変更します。 ' ca :: ctrlaltdel：/sbin /shutdown -t3 -r nowの行をコメントアウトします。次に、/etc /rc.d /init.d /ディレクトリ内のすべてのファイルのアクセス権をリセットし、次のコマンドを実行します。＃chmod -R 700 /etc/rc.d/init.d/*したがって、rootだけが読み取ることができます。上記のすべてのスクリプトファイルを作成または実行します。 6. suコマンドを制限します。誰もrootとしてsuを使用したくない場合は、次の2行を追加して/etc/pam.d/suファイルを編集できます。auth enough /lib/security/pam_rootok.so debug auth required /lib /security /pam_wheel.so group = isdこの時点で、isdグループのユーザーのみがsuをルートとして使用できます。その後、ユーザadminにrootとしてsuを使用させたい場合は、次のコマンドを実行します。＃usermod -G10 admin 7.ログイン情報の削除デフォルトでは、ログインプロンプト情報にはLinuxディストリビューション、カーネルバージョン名、およびサーバホスト名が含まれます。これは、より高いセキュリティ要件を持つマシンにとっては多すぎる情報を漏らします。 /etc/rc.d/rc.localを編集して、出力システム情報の次の行を編集できます。そのため、ここで/etc /issueに変更を加えたり、＃再起動するとそれらの変更が失われたりします。＃echo"&/etc /issue＃echo;" >> /etc /issue＃echo" 100 100uname -mとカーネル100 100uname -r）" >> /etc /issue＃cp -f /etc /issue /etc/issue.net＃echo> > /etc /issue次に、次の手順を実行します。＃rm -f /etc /issue＃rm -f /etc/issue.net＃touch /etc /issue＃touch /etc/issue.netネットワークアクセスの制限1.NFSアクセスNFSネットワークファイルシステムサービスを使用する場合は、/etc /exportsに最も厳密なアクセス設定があることを確認する必要があります。つまり、ワイルドカードは使用せず、ルート書き込みアクセスを許可せず、読み取り専用ファイルシステムとしてのみインストールできます。ファイル/etc /exportsを編集して、次の2行を追加します。 /dir /to /export host1.mydomain.com（ro、root_squash）/dir /to /export host2.mydomain.com（ro、root_squash）/dir /to /exportは、出力するディレクトリです。host.mydomain.comこのディレクトリにログインするマシンの名前です。roは読み取り専用システムへのマウントを意味し、root_squashはrootによるこのディレクトリへの書き込みを禁止します。変更を有効にするために、次のコマンドを実行します。 ＃/usr /sbin /exportfs -a 2.Inetd設定まず、/etc /inetd.confの所有者がrootであり、ファイルのアクセス権が600に設定されていることを確認してください。設定が完了したら、' stat'コマンドを使用して確認できます。 ＃chmod 600 /etc/inetd.conf次に、/etc/inetd.confを編集して以下のサービスを無効にします。 Ftp telnetシェルログインexec会話ntalk imap pop-2 pop-3 finger auth ssh /scpがインストールされている場合は、Telnet /FTPも無効にすることができます。変更を有効にするには、次のコマンドを実行します。#killall -HUP inetdデフォルトでは、ほとんどのLinuxシステムですべての要求が許可されています。TCP_WRAPPERSを使用してシステムセキュリティを強化するのは簡単です。アクセス制限を増やすことを許可します。たとえば、/etc/hosts.denyを' ALL：ALLに設定すると、デフォルトですべてのアクセスを拒否できます。次に、許可されたアクセス権を/etc/hosts.allowファイルに追加します。たとえば、< sshd：192.168.1.10 /255 /255.255.0 gate.openarch.com>は、IPアドレス192.168.1.10とホスト名gate.openarch.comがSSH経由での接続を許可されていることを示します。設定が完了したら、tcpdchkで確認することができます。＃tcpdchk tcpchkは、TCPラッパーの設定をチェックし、見つかった潜在的な問題や既存の問題を報告するTCP_Wrapper設定チェッカーです。 3.ログイン端末の設定/etc /securettyファイルはrootログインを許可するttyデバイスを指定し、/bin /loginプログラムによって読み込まれますフォーマットは許可された名前のリストです/etc /securettyを編集して以下をコメントアウトできます。わかりました。 ＃tty1＃tty2＃tty3＃tty4＃tty5＃tty6この時点では、rootはtty1端末にしかログインできません。 4.システムおよびバージョン情報を表示しないリモートログインユーザーにシステムおよびバージョン情報を表示させたくない場合は、次のようにして/etc/inetd.confファイルを変更できます。telnet stream tcp nowait root /usr /sbin /tcpd in.telnetd - h + -hは、telnetがシステム情報を表示せず、' login：'のみを表示することを意味します。攻撃の防止1. pingをブロックする誰もあなたのシステムにpingを実行できない場合、セキュリティは自然に向上します。これを行うには、/etc/rc.d/rc.localファイルに次の行を追加します。echo 1> /proc /sys /net /ipv4 /icmp_echo_ignore_all 2. IPスプーフィングを防止するhost.confファイルを編集して、以下の行を追加します。 IPスプーフィング攻撃を防止します。 DoS攻撃を防止するDoSタイプの攻撃を防止するために、システムのすべてのユーザーに対してリソース制限を設定します。最大プロセス数や使用されているメモリ量など。たとえば、次の行を/etc/security/limits.confに追加することができます。* hard core 0 * hard rss 5000 * hard nproc 20次に、/etc /pam.d /loginファイルを編集して、次の行が存在するかどうかを確認する必要があります。セッションが必要/lib/security/pam_limits.so上記のコマンドは、デバッグファイルを無効にし、プロセス数を50に制限し、メモリ使用量を5MBに制限します。上記の設定の後、あなたのLinuxサーバは最もよく知られているセキュリティ問題とサイバー攻撃の影響を受けないことができます、しかし良いシステム管理者はまだネットワークセキュリティダイナミクスにいつでも注意を払う必要があります。潜在的なセキュリティの脆弱性が修正されています。