3.2 三個(gè)開源Linux操作系統(tǒng)

Linux有非常多的發(fā)行版本，商業(yè)版本以Redhat為代表，開源社區(qū)版本則以Debian為代表。CentOS、Ubuntu、Debian三個(gè)Linux典型版本都是非常優(yōu)秀的系統(tǒng)。

3.2.1 CentOS

社區(qū)企業(yè)操作系統(tǒng)（Community Enterprise Operating System，CentOS）是Linux發(fā)行版之一，它由Red Hat Enterprise Linux依照開放源代碼規(guī)定釋出的源代碼編譯而成。由于出自同樣的源代碼，有些要求高度穩(wěn)定性的服務(wù)器以CentOS替代商業(yè)版的Red Hat Enterprise Linux使用。兩者的不同之處是CentOS完全開源。很多網(wǎng)站站長一般都選擇CentOS系統(tǒng)，CentOS去除了很多與服務(wù)器功能無關(guān)的應(yīng)用，系統(tǒng)簡(jiǎn)單、穩(wěn)定，命令行操作可以方便管理系統(tǒng)和應(yīng)用，并且有幫助文檔和社區(qū)的支持。

CentOS系統(tǒng)安全加固主要涉及以下幾方面。

1）設(shè)置密碼失效時(shí)間，強(qiáng)制定期修改密碼，減少密碼被泄露和猜測(cè)的風(fēng)險(xiǎn)。

在/etc/login.defs中將PASS_MAX_DAYS參數(shù)設(shè)置為60～180。

參數(shù)：PASS_MAX_DAYS 90。

執(zhí)行命令為：root:chage--maxdays 90 root。

2）設(shè)置密碼修改最小間隔時(shí)間，限制過于頻繁更改密碼。

在/etc/login.defs中將PASS_MIN_DAYS參數(shù)設(shè)置為7～14，建議為7。

參數(shù)：PASS_MIN_DAYS 7。

執(zhí)行命令為：root:chage--mindays 7 root。

3）檢查密碼長度和密碼是否使用多種字符類型。

編輯/etc/security/pwquality.conf，把minlen（密碼最小長度）設(shè)置為9～32位，把minclass（至少包含小寫字母、大寫字母、數(shù)字和特殊字符等4類字符中的3類或4類）設(shè)置為3或4。

如：minlen=10 minclass=3。

4）強(qiáng)制用戶不重用最近使用的密碼，降低密碼猜測(cè)攻擊風(fēng)險(xiǎn)。

在/etc/pam.d/password-auth和/etc/pam.d/system-auth中password sufficient pam_unix.so這行的末尾設(shè)置remember參數(shù)為5～24，原來的內(nèi)容不用更改，只在末尾添加remember=5。

5）檢查系統(tǒng)空密碼賬戶。

為用戶設(shè)置一個(gè)非空密碼，或執(zhí)行passwd-l鎖定用戶。

6）禁止SSH空密碼用戶登錄。

編輯文件/etc/ssh/sshd_config，將PermitEmptyPasswords配置為no，即

7）確保密碼到期警告天數(shù)為7或更多。

在/etc/login.defs中將PASS_WARN_AGE參數(shù)設(shè)置為7～14，建議為7，即

同時(shí)執(zhí)行命令使root用戶設(shè)置生效：chage--warndays 7 root。

8）設(shè)置較低的Max AuthTrimes參數(shù)將降低SSH服務(wù)器被暴力攻擊成功的風(fēng)險(xiǎn)。

在/etc/ssh/sshd_config中取消MaxAuthTries注釋符號(hào)#，設(shè)置最大密碼嘗試失敗次數(shù)為3～6，建議為4，即MaxAuthTries 4。

9）確保rsyslog服務(wù)已啟用，記錄日志用于審計(jì)。

運(yùn)行以下命令啟用rsyslog服務(wù)：

當(dāng)然還有其他特定需要的CentOS服務(wù)器安全加固的要求，并且安全加固是不斷變化發(fā)展的。

3.2.2 Ubuntu

Ubuntu Linux是由南非人Mark Shuttleworth創(chuàng)辦的基于Debian Linux的操作系統(tǒng)，并于2004年10月公布Ubuntu的第一個(gè)版本（Ubuntu4.10 Warty Warthog）。Ubuntu適用于筆記本計(jì)算機(jī)、臺(tái)式計(jì)算機(jī)和服務(wù)器，特別是為桌面用戶提供盡善盡美的使用體驗(yàn)。Ubuntu幾乎包含了所有常用的應(yīng)用軟件：文字處理、電子郵件、軟件開發(fā)工具和Web服務(wù)等。用戶下載、使用、分享Ubuntu系統(tǒng)，以及獲得技術(shù)支持與服務(wù)，無需支付任何許可費(fèi)用。

Ubuntu擁有漂亮的用戶界面、強(qiáng)大的軟件源代碼支持、完善的軟件包管理系統(tǒng)、豐富的技術(shù)社區(qū)，與大多數(shù)硬件都有很好的兼容性，包括最新的顯卡等。這些都使得Ubuntu越來越受歡迎。Ubuntu的圖形界面很漂亮，但這也決定了它最佳的應(yīng)用領(lǐng)域是桌面操作系統(tǒng)而非服務(wù)器操作系統(tǒng)。

Ubuntu系統(tǒng)安全加固主要涉及以下幾個(gè)方面。

1）刪除系統(tǒng)不需要的默認(rèn)賬號(hào)。

如果不需要下面這些系統(tǒng)默認(rèn)賬號(hào)，建議刪除。

2）限制超級(jí)管理員遠(yuǎn)程登錄。

參考配置操作SSH：

把PermitRootLogin yes，改為PermitRootLogin no，然后重啟SSHD服務(wù)：

3）修改SSH端口。

修改Port 22，修改成其他端口，迷惑非法試探者。

Linux下SSH默認(rèn)的端口是22，為了安全考慮，現(xiàn)修改SSH的端口為1433，修改方法為：/usr/sbin/sshd-p 1433。

4）設(shè)置關(guān)鍵目錄的權(quán)限。

參考配置操作：通過chmod命令對(duì)目錄的權(quán)限進(jìn)行實(shí)際設(shè)置。如：

當(dāng)然還有其他特定需要的Ubuntu服務(wù)器安全加固的要求，并且安全加固是不斷變化發(fā)展的。

3.2.3 Debian

Debian作為適合于服務(wù)器的操作系統(tǒng)，比Ubuntu要穩(wěn)定得多。Debian整個(gè)系統(tǒng)只要應(yīng)用層面不出現(xiàn)邏輯缺陷，基本上固若金湯，是常年不需要重啟的系統(tǒng)。Debian整個(gè)系統(tǒng)的基礎(chǔ)核心穩(wěn)定，占用硬盤空間小，占用內(nèi)存小。128M的虛擬專用服務(wù)器（Virtual Private Server，VPS）即可以流暢地運(yùn)行Debian，而運(yùn)行CentOS則會(huì)略顯吃力。但是由于Debian的發(fā)展路線與CentOS不同，技術(shù)資料也少一些。

Debian系統(tǒng)安全加固主要涉及以下幾個(gè)方面。

1）防止任何人都可以使用su命令成為root。

在/etc/pam.d/su中添加如下兩行：

然后把想要執(zhí)行su命令成為root的用戶放入wheel組：

2）采用最少服務(wù)原則。凡是不需要的服務(wù)一律注釋掉。在/etc/inetd.conf中不需要的服務(wù)前加“#”。

3）日志策略主要是創(chuàng)建對(duì)入侵相關(guān)的重要日志的硬拷貝，不至于應(yīng)急響應(yīng)時(shí)連最后的黑匣子都沒有?？梢园阉鼈冎囟ㄏ虻酱蛴C(jī)、管理員郵件、獨(dú)立的日志服務(wù)器及其熱備份。

4）其他安全建議如下。

● 做好系統(tǒng)加固工作。

● 留心安全公告，及時(shí)修正漏洞。

● 不要使用root權(quán)限進(jìn)行日常操作。

● 不要隨便安裝來歷不明的各種設(shè)備驅(qū)動(dòng)程序。

● 不要在重要的服務(wù)器上運(yùn)行一些來歷不明的可執(zhí)行程序或腳本。

● 盡量安裝防毒軟件，并定期升級(jí)病毒代碼庫。