Seguridad de Linux: Defensa paso a paso (1)

Así como no hay escudos irrompibles, ningún sistema es absolutamente seguro. También en el campo de la seguridad, nadie puede decir que él es un maestro. La seguridad del sistema se intercambia por el sudor y la sabiduría de muchas personas mayores. La seguridad del sistema involucra todos los aspectos. Ya sea un banco o un sistema telefónico, ya sea un sistema de MS Windows o Unix que el público cree que está asegurado, hay problemas de seguridad sin excepción. El único punto de seguridad es cuántas personas utilizan el sistema. Cuantos más usuarios del sistema, más críticos son los problemas de seguridad y más rápidamente se descubren las vulnerabilidades de seguridad. Además, cuanto mejor sea la escalabilidad del sistema, más servicios de aplicaciones admitan, más problemas de seguridad. Bajo el sistema MS Windows, la persona que usa el mouse puede consultar la información en la red para establecer la seguridad del sistema o dañarlo. La configuración de seguridad es una espada de doble filo. Un lado puede desgarrar el sistema indefenso, destruir los datos y el otro lado bloquea la intrusión ilegal y protege los datos. Este límite es la diferencia entre Nuker y Hacker. Linux es un sistema de código abierto, y la seguridad puede mejorarse desde el nivel de código, pero para aquellos que son nuevos en sistemas Linux, esto es demasiado complicado. Si una empresa desea usar Linux como sistema operativo de escritorio, la configuración debe ser diferente de la del servidor. El servidor se puede usar en Internet, ya sea su firewall, servidor proxy u otras aplicaciones. La configuración de seguridad se centra en aplicaciones críticas y el enfoque de la aplicación del escritorio es diferente. Para el Mandrake común, Red Hat, SuSE, Debian en el mercado, las configuraciones de seguridad son diferentes, pero el método es el mismo. Por ejemplo, Red Hat, que tiene muchos usuarios en el mercado chino, usará Red Hat Linux como sistema operativo de escritorio para la compañía de 200 a 300 personas. La seguridad del sistema se establecerá paso a paso, y también se mencionará la configuración de los recursos circundantes.
Hardware Security
El chasis debe estar bloqueado. Una vez que cualquier sistema está físicamente en contacto, la seguridad se reduce al menos a la mitad. Porque cualquiera puede quitar el disco duro y leer datos a otros sistemas, rompiendo la seguridad. Por lo tanto, los escritorios y los servidores deben evitar el contacto físico tanto como sea posible.
Seguridad de BIOS
Aunque hay muchas herramientas para leer la contraseña de BIOS y hay muchas contraseñas de BIOS, la configuración de la protección de contraseña de BIOS es un paso necesario. La contraseña utilizada debe ser tan grande como 8 o más dígitos, la combinación de números, símbolos y letras, y no es lo mismo que cualquier contraseña del sistema. Si le preocupa la seguridad de todas las máquinas después de ser robadas, considere agregar una contraseña personalizada. Por ejemplo, usar el nombre de la persona de la máquina o el número único de la máquina para combinar la contraseña anterior puede ser una mejor memoria y una contraseña que cumpla con los requisitos de complejidad y singularidad.
Configuración de inicio
Una vez que el sistema está instalado, además del arranque del disco duro, los disquetes, los CD e incluso las unidades flash USB pueden causar problemas de seguridad. Por lo tanto, es necesario prohibir el arranque de cualquier dispositivo que no sea el disco duro en el BIOS.
System Partition
El disco duro actual puede cumplir con los requisitos de capacidad de Linux. Tome como ejemplo un disco duro de 20 a 40 GB. No se requiere un método de partición adicional. La partición automática de Red Hat puede cumplir los requisitos. El método de partición específico es una partición de inicio de 40 MB (/arranque), dos veces la partición de intercambio de memoria (intercambio), y el resto es la partición raíz (/). La razón por la que el directorio /home y el directorio /var no están separados es que debido al uso por un solo usuario, demasiadas particiones del sistema aumentarán la complejidad de la administración. Por ejemplo, la partición /var está llena y el sistema es anormal. La partición simple está disponible para los usuarios.
Instalación
Por favor, evite la instalación completa, es decir, la opción Todo. Como se mencionó anteriormente, cuantos más servicios proporcione el sistema, más vulnerabilidades y peor será la seguridad. Instale lo más posible con instalaciones no interactivas, como crear disquetes de instalación, a través de NFS, o instalar scripts. Cuanto menos participe directamente el usuario, más fuerte será la capacidad de administración. La denominación de host utiliza reglas uniformes, como la dirección de correo electrónico de la empresa y el número de extensión, que es fácil de solucionar y localizar. Las direcciones IP también intentan usar direcciones estáticas o DHCP con enlace de dirección MAC, por lo que cualquier excepción puede eliminar rápidamente la máquina calificada. Tenga en cuenta que el uso del sistema de archivos ext3 puede reducir la pérdida de datos en el disco duro debido a un fallo de alimentación y no se puede iniciar.
Control de cuentas y centros
Probablemente sea bueno usar NIS para cuentas y controles centrales, pero también es una opción para aumentar la complejidad de la administración. Si el entorno de uso es un inicio de sesión de un solo usuario y los archivos son compartidos por el servidor, también es una buena opción iniciar sesión con un solo usuario sin utilizar NIS. Por supuesto, ahora no es solo un tipo de NIS de administración central de cuentas. La cuenta de esta máquina necesita usar la dirección de correo electrónico de la compañía del usuario como nombre de inicio de sesión, por supuesto, debe haber una cuenta de administrador, pero no agregue la cuenta local al grupo de administradores locales. Tener múltiples cuentas de privilegios de root nativos es inherentemente peligroso.
Start Loader
Inicie el cargador para usar GRUB en lugar de LILO. El motivo: aunque todos pueden agregar una contraseña de inicio, LILO usa contraseñas de texto sin formato en el archivo de configuración, y GRUB se cifra con el algoritmo md5. La protección por contraseña evita el uso de un kernel personalizado para iniciar el sistema y establece el tiempo de espera de inicio en 0 sin ningún otro sistema operativo. La configuración de LILO está en el archivo /etc/lilo.conf. El archivo de configuración de GRUB está en /boot/grub/grub.conf: /etc/lilo.conf image = /boot /2.4.18-vmlinuz label = Linux de solo lectura # La contraseña es texto sin formato contraseña = Clear-TextPassword # Protección de unión restringida /boot/grub/grub.conf # Modifique el tiempo de inicio a 0, es decir, inicie directamente el tiempo de espera 0 # Puede usar grub-md5-crypt para generar la contraseña cifrada después de la contraseña de md5 --md5 $ 1 $ LS8eV /$ mdN1bcyLrIZGXfM7CkBvU1
El uso de usuarios de sudo a veces usa comandos que requieren privilegios de root, en cuyo caso se requiere sudo. Sudo es una herramienta que utilizan los usuarios y se registra en los registros durante un tiempo limitado según los comandos restringidos en el archivo de configuración. Se configura en el archivo /etc /sudoers. Cuando el usuario usa sudo, debe ingresar su propia contraseña para verificar la identidad del usuario. Los comandos definidos pueden usarse por un período de tiempo. Cuando se usan comandos que no están en el archivo de configuración, habrá un registro de la alarma. /etc /sudoers sudo [-bhHpV] [-s < shell >] [-u < usuario >] [comando] o sudo [-klv] -b Ejecuta el comando en segundo plano -h Muestra ayuda -H Coloca el entorno HOME La variable se establece en la nueva identidad. La variable de entorno HOME -k La contraseña final es válida, es decir, la contraseña se ingresará la próxima vez -l Listar los comandos que el usuario actual puede usar -p Cambiar la solicitud de la contraseña de desafío -s < shell > Ejecutar la especificada Shell -u < user > toma al usuario especificado como la nueva identidad. Cuando no está en uso, el valor predeterminado es root -v. La contraseña extendida es válida por 5 minutos -V muestra información de la versión
limita el número de usuarios
su El usuario recién creado no tiene privilegios de raíz, por lo que debe usar su para cambiar de usuario. Linux puede aumentar el límite para cambiar al usuario raíz. Use PAM (módulos de autenticación conectables) para desactivar que cualquier persona que no sea el grupo de ruedas se convierta en su, modifique el archivo /etc/pam.d/su y elimine el número de ID de máscara. Use /usr /sbin /usermod G10 bjecadm para agregar la cuenta de bjecadm al grupo con un gid de 10, que es el grupo de ruedas. /etc/pam.d/su # Use la verificación de contraseña de autenticación suficiente /lib/security/pam_wheel.so debug # Los usuarios del grupo de rueda de límite pueden cambiar a la autenticación de raíz requerida /lib/security/pam_wheel.so use_uid
Fortalecer la seguridad de inicio de sesión
Puede aumentar la configuración del retraso de error de inicio de sesión, el registro, el límite de longitud de la contraseña de inicio de sesión y el límite de caducidad modificando el archivo /etc/login.defs. /etc/login.defs # Contraseña de inicio de sesión válida por 90 días PASS_MAX_DAYS 90 # Tiempo de modificación mínimo de la contraseña de inicio de sesión, el aumento puede evitar que los usuarios ilegales cambien en el corto plazo varias veces. PASS_MIN_DAYS 0 # Contraseña de inicio de sesión. Longitud mínima de 8 dígitos. PASS_MIN_LEN. PASS_WARN_AGE 7 # tiempo de espera 10 segundos para el error de inicio de sesión FAIL_DELAY 10 # Iniciar sesión en el registro de errores. FAILLOG_ENAB yes # Use SYSLOG_SU_ENAB al restringir el registro de administración de superusuario # Use SYSLOG_SG_ENAB yes cuando use el registro de administración del grupo de superusuarios #Cuando utilice mdd5 como contraseña Método de cifrado mediante MD5_CRYPT_ENAB sí

Limitación de la ventana del terminal para el inicio de sesión de raíz
Modifique el archivo /etc /securetty para evitar que la defensa de seguridad se rompa a través del método de agotamiento de inicio de sesión. Una vez que root no pueda iniciar sesión directamente, solo puede cambiar de usuario a través de su, y está limitado por pam.d, y se reducirá la posibilidad de romper este método. /etc /securetty vc /1 vc /2 vc /3 vc /4 vc /5 vc /6 vc /7 vc /8 vc /9 vc /10 vc /11 #Shield en el inicio de sesión de la raíz de la ventana del terminal, y se puede restringir para que se abran al mismo tiempo El número de terminales. # tty1 # tty2 # tty7 # tty8 # tty9
Además, también debe limitar el historial en la ventana del terminal. Modifique el archivo /etc /profile y cambie el archivo de perfil en el directorio de usuarios si es necesario. /etc /profile # Restrinja el historial de comandos de escritura en 20, que es similar a la función doskey HISTSIZE = 20 #límite de registro escriba el tamaño de archivo del historial de comandos HISTFILESIZE = 20 #Ponga la ventana del terminal para salir después de 600 segundos sin ninguna operación Esta configuración no se aplica a todas las ventanas. TMOUT = 600
Copia de seguridad de archivos importantes
Muchos troyanos, gusanos y puertas traseras se ocultan al reemplazar archivos importantes. Es una buena práctica realizar copias de seguridad de los comandos más importantes y de uso común. Prepare un conjunto de medios de solo lectura, CD o unidad flash USB, o incluso descárguelo en línea. En resumen, use el comando original cuando sea necesario en lugar de los comandos que pueden estar infectados en el sistema. Debe prestar atención a la copia de seguridad de la siguiente manera: /bin /su /bin /ps /bin /rpm /usr /bin /top /sbin /ifconfig /bin /mount