服务安全加固

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

禁用非必须服务-特殊用途服务

关闭Avahi服务

Avahi：用于多插DNS/DNS-SD服务发现的系统
。例如当计算机插入网络时，它会自动查找要打印的打印机，要打印的文件，和与之通话的用户。
配置方法：
systemctl stop avahi-daemon.service
systemctl disable avahi-daemon.service
检测方式：
systemctl status avahi-daemon

同理，根据需要设置关闭其他服务
1、CUPS服务:通用Unix打印系统(CUPS)提供了打印到本地和网络打印机的功
能。
2、NFS和RPC服务:网络文件系统(NFS)是UNIX环境中分布最广的文件系统之一。
它使系统具有向其他服务器挂载文件系统的能力。
3、FTP服务: 文件传输协议(FTP) 为联网计算机提供传输文件的能力。
4、DNS服务:域名系统(DNS)是种分层命名系统，它将名称映射到连接到网
络的计算机，服务和其他资源的IP地址。
5、Samba服务: Samba守护进程 允许系统理员配置他们的Linux系统共享文件
系统和目录给Windows系统。

禁止USB探测

当数据泄露发生在外部时可以利用软硬件防火墙来限制外部的探测，但是有时数据泄露也发生在内部。在一些情况下我们可以通过限制用户使用USB来保障数据泄露。
在Linux系统中每个程序执行完毕都会返回一个退出码给调用者，一般情况下0表示成功，其他值代表其他意义。我们可以通过设置/bin/true让被设置的程序什么都不做，直接退出。
配置：
创建/etc/modprobe.d/CIS.conf文件，然后加入：
install usb-storage /bin/true
检测：利用modprobe命令进行验证USB设备被设置为/bin/ture
利用lsmod命令（显示已经载入系统的模块）确认无返回值证明USB设备探测已被禁用

卸载非必要的服务客户端

卸载NIS客户端
原理：
NIS服务本质上是一个不安全的系统，容易受到DOS攻击，缓冲区溢出的
影响，并且查询NIS映射的身份验证很差。NIS通常已被诸如轻量级目录访问协议(LDAP) 之类的协议所取代。建议删除该服务。

NIS：也就是说客户端认证登录的时候可以调用服务器上的文件进行认证，不需要自己再创建一个类似/etc/passwd/这样的文件，去储存认证信息。

配置方法：
yum remove ypbind（NIS的客户端）
检测方法：
rpm -q ypbind
同理，根据需要设卸载非必要客户端
1、talk客户端: talk软件使用户能够通过终端会话在 系统之间发送和接收消息。允
许初始化会话的talk客户机默认安装。
2、rsh客户端: rsh包中包含操作rsh服务 器的客户端命令。这些旧版客户端包含大
量安全风险，已被更安全的SSH软件包取代。
3、telnet客户端: telnet客户端允许用户通过telnet协议启动到其他系统的连接。
telnet协议是不安全且未经加密的。使用未加密的传输媒介可能导致未经授权的用户
窃取凭证。ssh包提供加密会话和更好的安全性，并且ssh包含在大多数Linux发行版
中。

正确配置必要的服务

SSH服务配置

SSH协议比较常见就不接受了，用SSH协议替代站点中明文登录协议，使用SSH防止会话劫持和从网络嗅探敏感数据
配置
SSH配置文件位置：/etc/ssh/sshd_config
使用SSH V2协议
V1协议存在漏洞故用V2。
再配置文件中加上Protocol 2，配置完之后检查一下并重启该服务。

设置禁用SSH X11转发
因为SSH X11 Forwarding提供了通过连接隧道X11来传输流量的功能，以启用远程图形连接。使用SSH X11 Forwarding远程登陆X11服务器的用户可能会收到其他用户的攻击。
配置：
在SSH配置文件中加上 X11Forwarding no，修改完之后重启sshd服务。
验证方式
跟之前一样进行匹配检验就行了利用grep

设置SSH最大认证尝试次数
这个就不用多说了吧，防爆破用的。当登录失败的数量达到一半时，错误消息将被写入说明登录失败的syslog文件中。
配置：
在SSH配置文件中更改MaxAuthTries参数。1-6次基本上。（这个就不演示了）

禁止root用户利用SSH直接登录系统
这样就增加了不可抵赖性的可能，在发生安全事件时提供了清晰的审计思路。意思就是说：假如因为ssh服务漏洞发生了安全事件我们可以直接查到是哪个非root用户利用su/sudo提权到了root账户。
配置：
修改配置文件中的 PermitRootLogin参数 改为no。
检查方式也是利用匹配验证。
禁止空口令账户进行SSH登录
也就是防止用户不需要密码也能直接登录
配置：把配置文件中的 PermitEmptyPasswords参数改为no
设置SSH会话超时时间与次数
ClientAliveInterval和ClientAliveCountMax这两个参数分别控制ssh会话的超时时间和最大超时次数。
意思就是：假如你已经利用ssh协议连上了服务器但是你没有进行操作，此时就会开始计时，达到一次ClientAliveInterval设置的时间就算一次，当达到ClientAliveCountMax设置的次数时，就会断开ssh连接，需要重新认证身份。
ClientAliveInterval :控制会话超时时间（一般300-900即5-15分钟）
ClientAliveCountMax（0-3）：控制最大超时次数
配置：依旧是在ssh配置文件中修改
检测方式：匹配检测
限制SSH会话身份验证时间
这个就是字面意思了，限制必须得在一定的时间内验证成功。如果不限制身份验证的时间会导致未经身份验证的连接越来越多，对应的服务也就会无法访问。
配置：在ssh的配置文件中。设置LoginGraceTime 60 （一般1-60s之间）
检查：匹配检测

其他服务

启动时间同步

原理：时间同步可以确保日志文件的时间一致性，有利于进行日志分析。
配置方法：
在基于主机时间同步不可用的物理系统或虚拟系统上，下载ntp或chrony。
在基于时间同步可用的虚拟系统上，参考虚拟化软件文档并设置基于主机同步。
检测方法：
rpm -q ntp
rpm -q chrony
配置ntp
配置方法:
1.创建或编辑文件/etc/ntp.conf,并加入以下内容:
restrict -4 default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
2.在文件/etc/ntp.conf中添加或编辑服务器配置:
server < remote-server>
3.在文件中/etc/sysconfig/ntpd添加"-u ntp:ntp选项
OPTIONS="-u ntp:ntp"
检测方法：
验证输出匹配
grep “^restrict” /etc/ntp.conf
验证是否正确配置远程服务器
grep “^server” /etc/ntp.conf
运行以下命令，查看/etc/sysconfig/ntpd是否包含"-u ntp:ntp’选项
grep “^OPTIONS” /etc/sysconfig/ntpd
配置chrony
配置方法：
创建或编辑文件/etc/chrony.conf,并加入以下内容:
server <remote -server>
在文件中/etc/sysconfig/chronyd添加"-u chrony’选项:
OPTIONS="-u chrony"
检测方法：
匹配验证：grep “^server” /etc/chrony.conf
grep ^OPTIONS /etc/sysconfig/chronyd
将邮件传输代理配置为仅本地
邮件传输代理：用于侦听传入的邮件并且将其转发到相应的用户或者邮件服务器上。如果本身不作为邮件服务器将,MTA配置为仅处理本地邮件会安全一些。
配置：
编辑文件:/etc/postfix/main.cf,添加或修改下面内容:
inet_ interfaces = localhost
重启postfix
service postfix restart
检测：利用netstat查看是否有监听任何非回环地址的端口。25号端口是SMTP端口（发邮件的）。
netstat -an| grep LIST| grep “:25[[:space:]]”