Método de configuración de la política de seguridad común en Linux

1. Impida que el sistema responda a cualquier solicitud de ping externa /interna. Por lo general, el atacante primero comprueba si el host o la IP están activos mediante el comando ping. Si puede hacer ping a un host o IP, entonces el atacante cree que el sistema está activo y luego ataca o destruye. Si nadie puede hacer ping a la máquina y recibir una respuesta, entonces la seguridad del servidor puede mejorarse considerablemente. Bajo Linux, se pueden realizar las siguientes configuraciones para prohibir la solicitud de ping: [root @ localhost ~] #echo " 1 " > /proc /Sys /net /ipv4 /icmp_echo_ignore_all Por defecto, el valor de " icmp_echo_ignore_all " es " 0 ", que indica que la respuesta está sonando. Puede agregar la línea anterior al archivo /etc/rc.d/rc.local para que se ejecute automáticamente después de cada reinicio del sistema. 2. No utilice la combinación de teclas Control-Alt-Delete para reiniciar el sistema. Bajo la configuración predeterminada de Linux, presione la tecla Control-Alt-Delete y el sistema se reiniciará automáticamente. Esto es muy inseguro, por lo tanto, desactive la combinación de teclas Control-Alt-Delete. Sistema, solo modifique el archivo /etc /inittab: [root @ localhost ~] #vi /etc /inittab Localice esta línea: ca :: ctrlaltdel: /sbin /shutdown -t3 -r ahora antes de "" # " Luego ejecute: [root @ localhost ~] #telinit q

3. Limitación del tamaño del comando del historial de registros del Shell De manera predeterminada, el shell bash almacena hasta 1000 registros de comandos en el archivo $ HOME /.bash_history (el número predeterminado de registros varía según el sistema). Hay un archivo de este tipo en el directorio de inicio de cada usuario en el sistema. Ciertamente, no es seguro grabar tantos comandos históricos, por lo que debe limitar el tamaño del archivo. Puede editar el archivo /etc /profile y modificar las opciones de la siguiente manera: HISTSIZE = 30 significa que los últimos 30 comandos del historial se registran en el archivo $ HOME /.bash_history. Si establece " HISTSIZE " en 0, significa que el comando de historial no está grabado, entonces no puede usar las teclas de arriba y abajo del teclado para encontrar el comando de historial. 4. Eliminar usuarios y grupos innecesarios predeterminados del sistema Linux proporciona varias cuentas del sistema. Después de instalar el sistema, si no necesita algunos usuarios o grupos, debe eliminarlo de inmediato, ya que cuantas más cuentas, más inseguro es el sistema, más fácil será. Atacado Eliminar usuarios innecesarios del sistema Use el siguiente comando [root @ localhost ~] # userdel username para eliminar grupos innecesarios del sistema con el siguiente comando: [root @ localhost ~] # groupdel groupname Los usuarios y grupos predeterminados que se pueden eliminar en el sistema Linux son: eliminado Usuarios, como adm, lp, sync, shutdown, halt, news, uucp, operator, games, gopher, etc. Grupos eliminados, como adm, lp, news, uucp, games, dip, pppusers, popusers, slipusers, etc. 5. Cerrar selinuxSELinux es la abreviatura de Linux con seguridad mejorada, es un sistema de seguridad de control de acceso obligatorio del kernel. Actualmente, SELinux se ha integrado en la línea principal del kernel de Linux 2.6 y la mayoría de las distribuciones de Linux, debido a las aplicaciones de Linux y Linux existentes. Todavía hay algunos problemas con la compatibilidad del módulo del kernel. Por lo tanto, se recomienda que los principiantes primero cierren selinux. Después de un profundo conocimiento de Linux, ¡no es demasiado tarde para estudiar en profundidad sobre selinux! Para ver si el sistema Linux selinux está habilitado, puede usar el comando getenforce: [root @ localhost ~] # getenforceDisabled para cerrar selinux. En la distribución de la serie redhat, puede modificar directamente los siguientes archivos: [root @ localhost ~] #vi /etc /sysconfig /selinux # Este archivo controla el estado de SELinux en el sistema. # SELINUX = puede tomar uno de estos tres valores: # imponer: se aplica la política de seguridad de SELinux. # Permisivo - SELinux imprime advertencias en lugar de imponer. # Deshabilitado - SELinux está completamente deshabilitado. SELINUX = imponer # SELINUXTYPE = tipo de política en uso. Los valores posibles son: # dirigido: solo los demonios de red específicos están protegidos. # Strict - Protección completa de SELinux.SELINUXTYPE = dirigido Modificar SELINUX = imponer SELINUX = deshabilitado, después de reiniciar el sistema Se detendrá SElinux. 6. Configurar tcp_wrappers firewall Tcp_Wrappers es un software para analizar paquetes TCP /IP. Software de paquetes IP similares e iptables. Linux instala este software de manera predeterminada. Como sistema seguro, Linux tiene dos capas de firewalls de seguridad. Las iptables del mecanismo de filtrado implementan la primera capa de protección. El firewall de iptables monitorea de forma intuitiva el estado de ejecución del sistema, bloquea algunos ataques maliciosos en la red y protege todo el sistema de ataques y ataques normales. La implementación de iptables se tratará en detalle en la siguiente sección. Si se pasa la primera capa de protección, la siguiente capa de protección es tcp_wrappers. Las tcp_Wrappers se pueden usar para abrir, cerrar, permitir y deshabilitar ciertos servicios proporcionados en el sistema, lo que garantiza una operación más segura del sistema. El uso de Tcp_Wrappers es muy simple, solo dos archivos de configuración: /etc/hosts.allow y /etc/hosts.deny(1) para ver si Tcp_Wrappers [root @ localhost ~] #rpm -q tcp_wrappers o [root @ localhost] está instalado en el sistema. ~] #rpm -qa |  Grep tcptcp_wrappers-7.6-37.2tcpdump-3.8.2-10.RHEL4 Si hay una salida similar arriba, el sistema ha instalado el módulo tcp_wrappers. Si no se muestra, es posible que no esté instalado. Puede encontrar el paquete RPM correspondiente en el disco de instalación del sistema Linux para la instalación.
(2) Limitaciones del firewall tcp_wrappers Si un servicio en el sistema puede usar el firewall tcp_wrappers depende de si el servicio aplica el archivo de biblioteca libwrapped. Si se aplica, puede usar el firewall tcp_wrappers. Algunos servicios predeterminados en el sistema son: sshd, Portmap, sendmail, xinetd, vsftpd, tcpd, etc. pueden usar el firewall tcp_wrappers.
(3) Las reglas establecidas por tcp_wrappers La implementación del firewall tcp_wrappers se realiza a través de los archivos /etc/hosts.allow y /etc/hosts.deny. Primero, observe el formato: service: host (s) [: Acción]  servicio: representa el nombre del servicio, como sshd, vsftpd, sendmail, etc.  host (es): el nombre de host o la dirección IP pueden ser múltiples, como 192.168.60.0, acción www.ixdba.net: acción, la acción realizada después de que se cumple la condición. Varias palabras clave:  TODOS: Todos los servicios o todas las IP.  TODO EXCEPTO: Se eliminan todos los servicios o todas las IP. Por ejemplo: ALL: ALL EXCEPT 192.168.60.132 significa que a excepción de la máquina 192.168.60.132, cualquier máquina está permitida o denegada cuando se ejecutan todos los servicios. Una vez que entienda la sintaxis, puede restringir el acceso al servicio a continuación. Por ejemplo, en un servidor Linux en Internet, el objetivo es permitir que solo 222.90.66.4, 61.185.224.66 y el nombre de dominio softpark.com inicien sesión de forma remota en el sistema a través del servicio SSH, que se establece de la siguiente manera: