日志审计策略。(1)检查用syslog日志审计。Linux操作系统的日志主要起到审计、分析、检测和记录的作用。当操作系统和服务器出现异常时,可以通过分析日志来跟踪异常的原因。Linux操作系统内核有很多分支,但是不同分支的系统会向用户报告Syslog日志。syslog的安全配置可以通过检查和配置/etc/syslog.conf来完成。(2)检查日志文件是否非全局可写。为了避免其他组用户和同组其他用户写入,保证日志文件的安全,日志文件的配置可以非全局写入。
协议安全策略。检查是否禁止匿名用户登录FTP。匿名FTP登录服务可能会暴露服务器的敏感信息,因此业务服务器必须禁止FTP匿名登录功能。Linux操作系统有两种主流FTP:VSFTP和WU-FTP,其中VSFTP需要通过修改配置文件完成匿名登录,WU-FTP需要在/etc/passwd配置文件中删除FTP用户。(2)检查是否禁止root用户登录FTP。FTP传输方式主要采用明文传输,通过wireshare、TQPdump等抓包工具轻松获取密码,使系统安全性很低。因此,有必要在etc/ftpusers配置文件中写入root,以禁止vsftp和wu-ftp的登录。
系统安全策略。查看是否将用户su限制为root。在系统安全操作中,一般禁止远程登录。如果需要使用root权限,操作人员需要通过命令切换到root用户。为了避免root用户的操作失误,可以通过设置wheel组的group权限来控制其他用户切换到root。检查是否删除了潜在的危险文件。危险文件是指.rhosts、.netrc、hosts.equiv等文件。其中,.netrc是用户的个人脚本文件;.hosts和hosts.equiv都涉及到主机之间的信任关系,换句话说,这两个文件允许对端人员在没有密码的情况下登录本地系统的所有非root账号。出于安全考虑,这些设置不允许存在。
由于各公司的业务系统和Linux主机数量多,不同主机对加固的要求和限制不同,不同主机的加固检测项目和配置执行项目也不同。对于不同的检测项目,通过实现bash脚本程序来实现检测目标,bash脚本程序的检测目标。运维人员可根据基线不同业务系统的具体需要设置检测策略。
因为每个公司有大量的业务系统和Linux主机,不同的主机对加固的要求和限制也不同,因此实施Linux系统基线安全加固方案之前,可以针对不同的主机要求和检测漏洞进行配置。为方便操作人员快速加固Linux服务器,系统具有一键补强、一键补强、一键恢复等功能。系统向不同的加固对象显示不同的加固项,加固操作完成后自动生成加固报告。
设计了一种基于基线安全的便携式Linux系统基线安全加固工具。该工具通过U盘挂载加固程序,无需在操作系统上安装任何程序,即可安全加固Linux系统。安全加固系统通过加固程序和配置数据库的分离设计,使加固策略更新更加灵活,实现了相应的账户密码、认证授权、日志审计、协议安全、系统安全加固检测和执行策略,有效提高了服务器集团Linux系统的安全加固效率,降低了安全加固效率。降低了人工加固操作系统停机的风险。