Bảo mật cho máy chủ Sever Linux (CentOS) - Tổng Quang

http://www.quantrimang.com.vn/photos/Image/112010/19/Linux-Logo.jpg
ảnh: internet
Tổng quan bảo mật server Linux (CentOS)


1. BIOS

Bạn hãy luôn thiết đặt Password cho BIOS và không cho phép các thiết bị như floppy disk hay CD-ROM boot khi hệ thống khởi động.


2. PASSWORD

Bạn hãy chọn một password phức tạp cho tài khoản của mình, password bao gồm ký tự hoa, thường, số và ký tự đặc biệt như . , * – …
Ngoài ra bạn hãy Edit file: /etc/login.defs

PASS_MIN_LEN 8

Yêu cầu nhập password có chiều dài ngắn nhất là 8.


3. ACCOUNT TIME OUT

Xác định thời gian time out của account
Edit file: /etc/profile

HITSFILESIZE=on
TMOUT=7200


4. DISABLE CONSOLE PROGRAM ACCESS

Disable tất cả các lệnh khi thực hiện qua console-equivalent

[[email protected]] /#rm -f /etc/security/console.apps/

Khuyến cáo bạn nên loại bỏ các lệnh sau:

[[email protected]] /# rm -f /etc/security/console.apps/halt
[[email protected]] /# rm -f /etc/security/console.apps/poweroff
[[email protected]] /# rm -f /etc/security/console.apps/reboot
[[email protected]] /# rm -f /etc/security/console.apps/shutdown

5. Xóa bỏ bit SUID & SGID không cần thiết

[[email protected]] /# chmod a-s /usr/bin/chage
[[email protected]] /# chmod a-s /usr/bin/gpasswd
[[email protected]] /# chmod a-s /usr/bin/wall
[[email protected]] /# chmod a-s /usr/bin/chfn
[[email protected]] /# chmod a-s /usr/bin/chsh
[[email protected]] /# chmod a-s /usr/bin/newgrp
[[email protected]] /# chmod a-s /usr/bin/write
[[email protected]] /# chmod a-s /usr/sbin/usernetctl
[[email protected]] /# chmod a-s /usr/sbin/traceroute
[[email protected]] /# chmod a-s /bin/mount
[[email protected]] /# chmod a-s /bin/umount
[[email protected]] /# chmod a-s /bin/ping
[[email protected]] /# chmod a-s /sbin/netreport
[[email protected]] /# chmod a-s /etc/passwd

6. /etc/host.conf

Edit file /etc/hosts.conf như sau:


# Order lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# Machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on

7. /etc/services

Đảm bảo rằng quyền owner trên file /etc/services là của root

[[email protected]] /# stat /etc/services

Chống thay đổi file

[[email protected]] /# chattr +i /etc/services

8. /etc/securetty
Thay đổi thành

tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8

Mục đích của việc thay đổi này là chỉ đồng ý cho root login trên một tty.


9. Special accounts

Xóa những account & group không cần thiết ra khỏi hệ thống.
Xóa Users:


[[email protected]] /# userdel adm
[[email protected]] /# userdel lp
[[email protected]] /# userdel sync
[[email protected]] /# userdel shutdown
[[email protected]] /# userdel halt
[[email protected]] /# userdel news
[[email protected]] /# userdel uucp
[[email protected]] /# userdel operator
[[email protected]] /# userdel games
[[email protected]] /# userdel gopher

Xóa Groups:

[[email protected]] /# groupdel adm
[[email protected]] /# groupdel lp
[[email protected]] /# groupdel news
[[email protected]] /# groupdel uucp
[[email protected]] /# groupdel games
[[email protected]] /# groupdel dip
[[email protected]] /# groupdel pppusers
[[email protected]] /# groupdel popusers (Nếu có)
[[email protected]] /# groupdel slipus

Nếu hệ thống không cần thêm user & group bạn có thế chống thay đổi files

[[email protected]] /# chattr +i /etc/passwd
[[email protected]] /# chattr +i /etc/shadow
[[email protected]] /# chattr +i /etc/group
[[email protected]] /# chattr +i /etc/gshadow


10. Chống su lên root

Edit file /etc/pam.d/su thêm hai dòng sau:

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

Có nghĩa rằng chỉ những user thuộc group wheel (GID=10) có quyền su lên root.

Tiếp theo để thêm một tài khoản có quyền su lên root ví dụ: admin


[[email protected]] /# usermod -g 10 admin

1. Mounting a file system

Đầu tiên bạn cần tìm hiểu một số option sau:
defaults: Allow everything quota, read-write, and suid on this partition.
noquota: Do not set users quotas on this partition.
nosuid: Do not set SUID/SGID access on this partition.
nodev: Do not set character or special devices access on this partition.
noexec: Do not set execution of any binaries on this partition.
quota: Allow users quotas on this partition.

ro: Allow read-only on this partition.

rw: Allow read-write on this partition.

suid: Allow SUID/SGID access on this partition.

Sau đó bạn edit file /etc/fstab

/dev/ /tmp ext2 defaults 1 2
/dev/ /home ext2 defaults 1 2

Thành

/dev/ /tmp ext2 defaults,rw,nosuid,nodev,noexec 1 2
/dev/ /home ext2 defaults,rw,nosuid,nodev 1 2

Sau đó bạn remote lại:

[[email protected]] /#mount -oremount /home/
[[email protected]] /#mount -oremount /tmp/

12. Disable dùng Ctrl-Alt-Delete để shutdown

Edit file /etc/inittab

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

Áp đặt thay đổi

[[email protected]] /#/sbin/init q


13. /etc/rc.d/


Chỉ cho phép root sử dụng script trong /etc/rc.d/

[[email protected]] /# chmod -R 700 /etc/rc.d/init.d/*

Leave a Reply