昨天為大家詳解了 Linux 系統(tǒng)安全配置的基礎方案，涵蓋賬號管理、密碼策略和訪問控制等核心模塊。今天，藍隊云將繼續(xù)深入，聚焦日志審計、系統(tǒng)文件管理、網(wǎng)絡服務優(yōu)化等進階內(nèi)容，幫助大家構建更全面的安全防護體系！

五、日志審計

（一）Cron任務授權

1、安全基線說明

只允許指定授權用戶啟用cron/at任務

2、操作指南

（1）參考配置操作

只允許指定授權用戶啟用cron/at任務，刪除cron.deny、at.deny文件，創(chuàng)建cron.allow、at.allow文件。

3、檢查辦法

（1）判定條件

執(zhí)行：ls -l /etc/cron.allow

 ls -l /etc/at.allow 

查看cron.allow、 at.allow文件的授權情況

（二）對syslog登錄事件記錄

1、安全基線說明

記錄認證、授權使用的相關信息。

2、操作指南

（1）參考配置操作

#vim /etc/rsyslog.conf

配置authpriv.* /var/log/secure

（2）補充說明

將 authpirv 設備的任何級別的信息記錄到/var/log/secure 文件中，這主要是一些和認證、權限使用相關的信息。

3、檢查辦法

（1）判定條件

/etc/rsyslog.conf 文件中配置有authpriv.* /var/log/secure

（三）對rsyslog.conf配置審核

1、安全基線說明

設置記錄什么類型的日志信息。

2、操作指南

（1）參考配置操作

執(zhí)行：

vim /etc/rsyslog.conf，

設置了下列項： 

kern.warning;*.err;authpriv.none\\\\t@loghost *.info;mail.none;authpriv.none;cron.none\\\\t@loghost  *.emerg\\\\t@loghost local7.*\\\\t@loghost

3、檢查辦法

（1）判定條件

/etc/rsyslog.conf文件中必須設置日志記錄信息。

（四）系統(tǒng)日志讀寫權限

1、安全基線說明

系統(tǒng)日志文件由 syslog 創(chuàng)立并且不可被其它用戶修改；其它的系統(tǒng)日志文件不是全局可寫，保護系統(tǒng)日志避免被篡改、覆蓋等。

2、操作指南

（1）參考配置操作

查看如下等日志的訪問權限，保證日志文件不能非授權訪問。

#ls –l 查看下列日志文件權限

/var/log/messages 、

/var/log/secure 、

/var/log/maillog 、

/var/log/cron、

/var/log/spooler、

/var/log/boot/log

3、檢查辦法

（1）判定條件

非授權不能訪問日志文件。

（五）history命令（可選）

1、安全基線說明

為了方便審計，設置系統(tǒng)在記錄歷史命令的同時，記錄時間和用戶。

2、操作指南

（1）參考配置操作

在/etc/profile中添加如下變量即可:

export HISTTIMEFORMAT="%Y-%m-%d %H:%M:%S `whoami` "

然后運行source /etc/profile命令即可，注意引號中的空格。

source /etc/profile

為防止history記錄被刪除可以在/etc/profile文件中添加如下變量：

export PROMPT_COMMAND=' history -a >(tee -a ~/.bash_history | logger -t "$USER[$$] $SSH_CONNECTION") '

（2）補充操作說明

history命令的用法及參數(shù)usage: 

history [-c] [-d offset] [n] or history -anrw [filename] or history -ps arg [arg...]

參數(shù)：

n ：數(shù)字，要列出最近的若干命令列表

-c ：將目前的 shell 中的所有 history 內(nèi)容全部消除

-a ：將目前新增的 history 指令新增入 histfiles 中，若沒有加 histfiles ，則預設寫入 ~/.bash_history

-r ：將 histfiles 的內(nèi)容讀到目前這個 shell 的 history 記憶中

-w ：將目前的 history 記憶內(nèi)容寫入 histfiles

3、檢查辦法

（1）判定條件

執(zhí)行history命令，查看歷史命令是否包含時間和用戶。

（六）遠程日志服務器配置（可選）

1、安全基線說明

配置遠程日志功能，將需要重點關注的日志內(nèi)容傳輸?shù)饺罩痉掌鬟M行備份。

2、操作指南

（1）參考配置操作

修改配置文件vi /etc/rsyslog.conf，

加上這一行：*.* @192.168.100.1

可以將"*.*"替換為你實際需要的日志信息。比如：kern.* / mail.* 等等；可以將此處192.168.100.1 替換為實際的IP 或域名。

重新啟動syslog 服務，執(zhí)行下列命令：

services syslogd restart

（2）補充操作說明

*.*和@之間為一個Tab。

3、檢查辦法

（1）判定條件

cat /etc/rsyslog.conf 查看是否有對應配置；

六、系統(tǒng)文件管理

（一）系統(tǒng)磁盤狀態(tài)

1、安全基線說明

查看磁盤狀態(tài)，保證有足夠的磁盤可用空間。

2、操作指南

（1）參考配置操作

執(zhí)行：df -h，檢查當前系統(tǒng)文件配置情況，保證有足夠的磁盤可用空間；

（2）補充操作說明

處理空間不足情況。

3、檢查辦法

（1）判定條件

保證有足夠的磁盤可用空間；

（二）重要目錄和文件的權限設置（可選）

1、安全基線說明

設置重要目錄和文件的權限，禁止非授權訪問。

2、操作指南

（1）參考配置操作

執(zhí)行以下命令檢查目錄和文件的權限設置情況：

ls -l /etc/

安全建議

根據(jù)安全需要，配置某些關鍵目錄其所需的最小權限；重點要求password 配置文件、shadow 文件、group 文件權限。

（2）補充操作說明

/etc/passwd 所有用戶都可讀，root 用戶可寫 –rw-r—r—

配置命令：chmod 644 /etc/passwd

/etc/shadow 只有root 可讀 –r--------

配置命令：chmod 600 /etc/shadow；

/etc/group 必須所有用戶都可讀，root 用戶可寫 –rw-r—r—

配置命令：chmod 644 /etc/group；

3、檢查辦法

（1）判定條件

查看關鍵目錄的權限#ls -l /etc/

（三）刪除未授權的suid/sgid文件

1、安全基線說明

刪除未授權的suid/sgid文件。

2、操作指南

（1）參考配置操作

用下面的命令查找系統(tǒng)中所有的SUID和SGID文件，執(zhí)行：

for PART in `grep -v ^# /etc/fstab | awk '($6 == "0") {print $2 }'`;dofind $PART -xdev -type f \\\\( -perm -04000 -o -perm -02000 \\\\) -print done

若存在未授權文件則刪除文件或給該文件授權。

（2）補充操作說明

系統(tǒng)中suid和sgid文件很有可能成為安全隱患，必須被嚴密監(jiān)控。因為這些程序都給了它的用戶一些特權，所以要確保危險的suid沒有被安裝。

3、檢查辦法

（1）判定條件

檢查查詢結果中不存在未授權的文件。

（四）檢查任何人都是寫權限的目錄

1、安全基線說明

系統(tǒng)中不應存在任何人都有寫權限的目錄。

2、操作指南

（1）參考配置操作

用下面的命令查找系統(tǒng)中都有寫權限的文件，執(zhí)行：

for PART in `awk '($3 == "ext2" || $3 == "xfs" {print $2}'`;dofind $PART -xdev -type d \\\\( -perm -0002 -a ! -perm -1000 \\\\) -printdone

若存在則刪除該目錄或給該目錄授權。

（2）補充操作說明

無

3、檢查辦法

（1）判定條件

自檢查；

（五）檢查任何人都有寫權限的文件

1、安全基線說明

系統(tǒng)中不應存在任何人都有寫權限的文件。

2、操作指南

（1）參考配置操作

用下面的命令查找系統(tǒng)中任何人都有寫權限的文件，執(zhí)行：

for PART in `grep -v ^# /etc/fstab | awk '($6 == "0") {print $2}'`;dofind $PART -xdev -type f \\\\( -perm -0002 -a ! -perm -1000 \\\\) -printdone

若存在則刪除文件或給該文件授權。

（2）補充操作說明

無

3、檢查辦法

（1）判定條件

不存在任何人都有寫權限的文件。

（六）刪除沒有屬主的文件

1、安全基線說明

檢查沒有屬主的文件，若存在應刪除。

2、操作指南

（1）參考配置操作

用下面的命令查找系統(tǒng)中都有寫權限的文件，執(zhí)行：

for PART in `grep -v ^# /etc/fstab | awk '($6 != "0") {print $2}'`;dofind $PART -nouser -o -nogroup -printdone

若存在沒有屬主的文件，應刪除該文件。

（2）補充操作說明

發(fā)現(xiàn)沒有屬主的文件往往就意味著有黑客入侵的可能。不能允許沒有屬主的文件存在。如果在系統(tǒng)中發(fā)現(xiàn)了沒有屬主的文件或目錄，先查看它的完整性，如果一切正常，給它一個屬主。有時候卸載程序可能會出現(xiàn)一些沒有屬主的文件或目錄，在這種情況下可以把這些文件和目錄刪除掉。

3、檢查辦法

（1）判定條件

不存在沒有屬主的文件。

（七）檢查異常隱含文件

1、安全基線說明

不應存在異常隱含文件。

2、操作指南

（1）參考配置操作

用“find”程序可以查找到這些隱含文件。例如：

# find / -name ".. *" -print

# find / -name "...*" -print | cat -v

同時也要注意象“.xx”和“.mail”這樣的文件名的。(這些文件名看起來都很象正常的文件名）

若存在則刪除異常隱含文件。

（2）補充操作說明

在系統(tǒng)的每個地方都要查看一下有沒有異常隱含文件(點號是起始字符的，用“l(fā)s”命令看不到的文件），因為這些文件可能是隱藏的黑客工具或者其它一些信息(口令破解程序、其它系統(tǒng)的口令文件，等等）。在UNIX下，一個常用的技術就是用一些特殊的名，如：“…”、“.. ”(點點空格）或“..^G”(點點control-G），來隱含文件或目錄。

3、檢查辦法

（1）判定條件

檢查結果中不存在類似文件。

（八）系統(tǒng)補丁

1、安全基線說明

在保證業(yè)務網(wǎng)絡穩(wěn)定運行的前提下，安裝最新的OS 補丁（補丁在安裝前需要測試確定）。

2、操作指南

（1）參考配置操作

執(zhí)行下列命令，查看版本及大補丁號。

#uname –a

在保證業(yè)務網(wǎng)絡穩(wěn)定運行的前提下，安裝最新的OS 補丁（補丁在安裝前需要測試確定）

（2）補充操作說明

在系統(tǒng)安裝時建議只安裝基本的 OS 部份，其余的軟件包則以必要為原則，非必需的包就不裝。

3、檢查辦法

（1）判定條件

系統(tǒng)補丁的版本應為最新版本。

（九）/etc/passwd、/etc/shadow文件安全性（可選）

1、安全基線說明

Passwd、shadow、group文件中不應存在“+”，有”+”條目的文件允許通過NIS Map中系統(tǒng)配置的某些點插入數(shù)據(jù)，passwd shadow group文件中如包含此條目，可能會使入侵者通過網(wǎng)絡添加用戶。

2、操作指南

（1）參考配置操作

執(zhí)行：grep ^+: /etc/passwd /etc/shadow /etc/group，查看文件中是否包含”+”。

更改文件權限，執(zhí)行chmod o-w /etc/passwd /etc/shadow /etc/group刪除文件中的”+”條目

（2）補充操作說明

無

3、檢查辦法

（1）判定條件

執(zhí)行：grep ^+: /etc/passwd /etc/shadow /etc/group，查看文件中是否包含”+”。返回值應為空。

七、網(wǎng)絡與服務

（一）關閉不必要的系統(tǒng)服務

1、安全基線說明

關閉不必要的服務。

2、操作指南

（1）參考配置操作

#ps –ef

#chkconfig --list

#ls /etc/xinetd.d

在xinetd.d中關閉不用的服務,用vi編輯器編輯xinetd.d目錄下對于服務的文件，把disable配置成yes，則為禁止改服務，重啟xinetd服務，即可。

還可使用如下方式禁用不必要的服務：

#service <服務名> stop

#chkconfig --level 35 off

（2）補充操作說明

在/etc/xinetd.d文件夾中禁止不必要的基本網(wǎng)絡服務。

注意：改變了“/etc/xinetd.d”目錄下的服務文件之后，需要重新啟動xinetd。

根據(jù)每臺機器的不同角色，關閉不需要的系統(tǒng)服務。操作指南中的服務項提供參考，根據(jù)服務器的角色和應用情況對啟動項進行修改。如無特殊需要，應關閉Sendmail、Telnet、Bind 等服務Linux/Unix 系統(tǒng)服務中，部分服務存在較高安全風險，應當禁用，包括：

“l(fā)pd”，此服務為行式打印機后臺程序，用于假脫機打印工作的UNIX 后臺程序，此服務通常情況下不用，建議禁用；

“telnet”，此服務采用明文傳輸數(shù)據(jù)，登錄信息容易被竊取，建議用ssh 代替；

“routed”，此服務為路由守候進程，使用動態(tài)RIP 路由選擇協(xié)議建議禁用；

“sendmail”，此服務為郵件服務守護進程，非郵件服務器應將其關閉；

“Bluetooth”，此服務為藍牙服務，如果不需要藍牙服務時應關閉；

“identd”，此服務為AUTH 服務，在提供用戶信息方面與finger類似，一般情況下該服務不是必須的，建議關閉；

“xfs”，此服務為Linux 中X Window 的字體服務，關于該服務歷史上出現(xiàn)過信息泄露和拒絕服務等漏洞，應以減少系統(tǒng)風險；

R 服務(“rlogin”、“rwho”、“rsh”、“rexec”），R 服務設計上存在嚴重的安全缺陷，僅適用于封閉環(huán)境中信任主機之間便捷訪問，其它場合下均必須禁用；

基于inetd/xinetd 的服務(daytime、chargen、echo 等），此類服務建議禁用。

3、檢查辦法

（1）判定條件

#ps –ef

#chkconfig --list

#ls /etc/xinetd.d

所需的服務都列出來；沒有不必要的服務；

通過本文的日志審計策略、系統(tǒng)文件權限管控和服務優(yōu)化配置，相信大家已經(jīng)掌握了 Linux 安全的高階技能。建議定期執(zhí)行檢查命令，確保配置持續(xù)生效。

藍隊云官網(wǎng)上擁有完善的技術支持庫可供參考，大家可自行查閱，更多技術問題，也可以直接咨詢。同時，藍隊云整理了運維必備的工具包免費分享給大家使用，需要的朋友可以直接咨詢。更多技術知識，藍隊云期待與你一起探索，助力你在 Linux 運維之路上穩(wěn)步前行。