Linux服務(wù)器平臺(tái)的安全保護(hù)
互聯(lián)網(wǎng)上有許多企業(yè)公司和組織采用Linux作為服務(wù)器平臺(tái)。當(dāng)這些服務(wù)器與互聯(lián)網(wǎng)連接以提供應(yīng)用服務(wù)時(shí),不可避免地會(huì)成為攻擊目標(biāo)。本文討論Linux系統(tǒng)安全配置的一些基本知識(shí),以幫助你保護(hù)Linux系統(tǒng)。
雖然在這里以Red Hat 6.0為例子,但也應(yīng)該適用于其它Linux發(fā)行版本。
1、安裝
配置系統(tǒng)安全的頭一步最好是在系統(tǒng)的開始--操作系統(tǒng)的安全。因?yàn)榕渲玫氖欠阑饓Γ阅憬^對不能信任任何以前的系統(tǒng)安裝和配置,而應(yīng)該從全新安裝開始,才能真正保證系統(tǒng)安全的完整性。
使你的系統(tǒng)處于單獨(dú)(或隔離)的網(wǎng)絡(luò)中。決不要讓未受保護(hù)的系統(tǒng)連接到其它網(wǎng)絡(luò)或互聯(lián)網(wǎng)中受到可能的攻擊。按我個(gè)人的經(jīng)驗(yàn),一個(gè)連接到互聯(lián)網(wǎng)的新安裝系統(tǒng)可以在15分鐘內(nèi)被掃描和入侵取得完全控制權(quán)。你可能需要另一臺(tái)機(jī)器從互聯(lián)網(wǎng)獲取重要工具和安全補(bǔ)丁等等,然后再從這些機(jī)器將其傳送到單獨(dú)的"配置網(wǎng)絡(luò)"中。
當(dāng)把將要作為未來防火墻的機(jī)器放置于隔離的網(wǎng)絡(luò)中時(shí),就可以開始下一步了。
第一步是選擇操作系統(tǒng)將要安裝的軟件包。對于Red Hat 6.0,提供了三種安裝選擇:Workstation(工作站)、Server(服務(wù)器)、Custom(定制,缺省選項(xiàng))。我個(gè)人強(qiáng)烈推薦"定制",因?yàn)檫@允許你選擇添加哪些服務(wù)和硬盤如何分區(qū)。安裝策略是在維持最大化效率時(shí)進(jìn)行"最小化"安裝。系統(tǒng)中的軟件越少,潛在的安全漏洞就會(huì)越少。例如,如果你不需要News或Real Audio Server,就不要安裝它。Linux系統(tǒng)有一個(gè)好處就是如果你后來改變了想法,也是很容易添加所需軟件包的。不管選擇了哪種安裝方式,手冊頁和HOWTO文檔都應(yīng)該是必不可缺的。雖然可能會(huì)使系統(tǒng)增加一點(diǎn)點(diǎn)風(fēng)險(xiǎn),但它們有時(shí)確實(shí)特別有用。
如果選擇了"定制"安裝,會(huì)被提示進(jìn)行硬盤分區(qū)。我個(gè)人通常喜歡使根分區(qū)盡可能地大,并且把所有東西都放在那里。然后,我們確實(shí)需要?jiǎng)?chuàng)建幾個(gè)分區(qū)以保護(hù)根分區(qū)。因?yàn)槿绻謪^(qū)被例如系統(tǒng)日志或電子郵件等數(shù)據(jù)塞滿的話,就會(huì)出現(xiàn)拒絕服務(wù),甚至有可能使系統(tǒng)崩潰。
因此,我總是推薦為/var設(shè)置一個(gè)單獨(dú)的分區(qū)。/var是用于存放系統(tǒng)所有日志和電子郵件的地方,將/var分區(qū)獨(dú)立出來,就能夠有效地保護(hù)根分區(qū)被這些數(shù)據(jù)塞滿。對于許多網(wǎng)絡(luò)環(huán)境,為/var分區(qū)設(shè)置不少于400MB基本上就足夠了。另外可以考慮為某些特定的服務(wù)或應(yīng)用創(chuàng)建或保留單獨(dú)的分區(qū),特別是敏感的日志記錄。如果系統(tǒng)中存在不可完全信任的用戶,也許應(yīng)該為/home創(chuàng)建單獨(dú)的分區(qū),這樣可以避免惡意用戶輕易攻擊/根分區(qū)。對于一臺(tái)獨(dú)立服務(wù)器以下是一個(gè)分區(qū)實(shí)例:
/ - everything else
/var - 400 MB
swap - (I normally go with 256 MB)
當(dāng)系統(tǒng)安裝完成并重啟后,務(wù)必要安裝必需的安全補(bǔ)丁。對于Red Hat,可以到http://www.redhat.com/apps/support/updates.html找到它的所有安全補(bǔ)丁程序。安全補(bǔ)丁對于維持一個(gè)安全的防火墻是至關(guān)重要的,應(yīng)該經(jīng)常保持更新。
bugtraq@securityfocus.com或redhat-watch-list-request@redhat.com是獲取最新安全漏洞信息的最佳資源。如果不安裝這些補(bǔ)丁,你的系統(tǒng)可能會(huì)輕易入侵。記住,從上面提及的另一臺(tái)機(jī)器獲取這些補(bǔ)丁,防火墻機(jī)器應(yīng)該仍處于隔離網(wǎng)絡(luò)中。對于Red Hat系統(tǒng),下載RPM包會(huì)使系統(tǒng)更新變得更簡單。例如是對wu-ftpd進(jìn)行安全升級的實(shí)例:
rpm -Uvh wu-ftpd-2.6.0-14.6x.i386.rpm
如果系統(tǒng)早已處于互聯(lián)網(wǎng)上,可以直接從互聯(lián)網(wǎng)上安裝:
rpm -Uvh ftp://updates.redhat.com/6.1/i386/wu-ftpd-2.6.0-14.6x.i386.rpm
推薦使用autorpm工具保持對RPM軟件包的補(bǔ)丁更新。這個(gè)命令行工具分析確定哪些.rpm包需要升級,并會(huì)自動(dòng)(如果你愿意的話)從Red Hat的網(wǎng)站上下載并安裝升級文件。這個(gè)工具的使用非常靈活簡單,可以讓其在cron中運(yùn)行,這樣你的系統(tǒng)就會(huì)定期自動(dòng)檢查升級更新,并可以向管理員發(fā)送提醒系統(tǒng)需要升級的電子郵件。
2、關(guān)閉服務(wù)
一旦安裝完系統(tǒng)的安裝包、補(bǔ)丁,重啟后,我們現(xiàn)在就可以開始對操作系統(tǒng)進(jìn)行安全增強(qiáng)配置了。安全增強(qiáng)配置主要包括關(guān)閉服務(wù)、增加日志、調(diào)整幾個(gè)文件和配置TCP Wrappers。首先從關(guān)閉服務(wù)開始。
缺省情況下,Solaris是一個(gè)提供許多有用服務(wù)的高性能操作系統(tǒng)。然而,對于防火墻來說,其中的大多數(shù)服務(wù)是不需要,且可能是安全風(fēng)險(xiǎn)。首先需要修改/etc/inetd.conf文件。這個(gè)文件定義了由/usr/sbin/inetd超級守護(hù)進(jìn)程需要監(jiān)聽的服務(wù)。缺省情況下,/etc/inetd.conf會(huì)啟動(dòng)35個(gè)服務(wù),然而最多僅需要兩項(xiàng):ftp和telnet。其余服務(wù)都不是必需的,可以將它們注釋(關(guān)閉)。這是很重要的,因?yàn)閕netd監(jiān)聽的許多服務(wù)存在嚴(yán)重的安全威脅,例如popd、imapd和rsh。以下命令列出inetd守護(hù)進(jìn)程會(huì)監(jiān)聽的服務(wù),請確認(rèn)將其中不必要的服務(wù)的所在行注釋(行首加"#"號(hào)):
grep -v "^#" /etc/inetd.conf
下一步要修改的是/etc/rc2.d和/etc/rc3.d目錄下的文件。在這里你能夠找到被init進(jìn)程執(zhí)行的啟動(dòng)腳本。其中也有許多是不需要的。要取消在啟動(dòng)過程中執(zhí)行一個(gè)腳本,只需將對應(yīng)文件名的起始大寫S改為小寫s即可。此外,Red Hat系統(tǒng)中帶有一個(gè)好工具用以關(guān)閉服務(wù)。只要在命令行輸入"/usr/sbin/setup",然后選擇"System Services",接著再選擇在系統(tǒng)啟動(dòng)時(shí)需要執(zhí)行的腳本。另外還有一種方法就是在大多數(shù)發(fā)行版本中都帶有的chkconfig工具。以下啟動(dòng)腳本是系統(tǒng)缺省安裝,但通常卻不是必需的。如果確定不需要它們,應(yīng)該將禁止其啟動(dòng)。
注意其中的數(shù)字用于決定執(zhí)行的順序,在不同的發(fā)行版本中可能會(huì)有所變化。以大寫K開始的腳本用于kill已經(jīng)在運(yùn)行中的服務(wù)。
S05apmd (僅有筆記本電腦才需要)
S10xntpd (網(wǎng)絡(luò)時(shí)間協(xié)議)
S11portmap (如果運(yùn)行RPC服務(wù)則必需打開)
S15sound (保存聲卡設(shè)置)
S15netfs (NFS客戶端,用于從NFS服務(wù)器安裝文件系統(tǒng))
S20rstatd (向遠(yuǎn)程用戶泄露過多信息)
S20rusersd
S20rwhod
S20rwalld
S20bootparamd (用于無盤客戶端,通常都不需要)
S25squid (代理服務(wù)器)
S34yppasswdd (如果系統(tǒng)運(yùn)行NIS服務(wù)器,則必需此服務(wù))
S35ypserv (如果系統(tǒng)運(yùn)行NIS服務(wù)器,則必需此服務(wù))
S35dhcpd (啟動(dòng)DHCP服務(wù)器守護(hù)進(jìn)程)
S40atd (at服務(wù),類似cron服務(wù),但系統(tǒng)通常不需要)
S45pcmcia (僅有筆記本電腦才需要)
S50snmpd (SNMP守護(hù)進(jìn)程,向遠(yuǎn)程用戶泄露過多信息)
S55named (DNS服務(wù)器。如果需要運(yùn)行DNS,請升級到最新版本)
S55routed (RIP,僅在必需時(shí)才應(yīng)該啟動(dòng))
S60lpd (打印服務(wù))
S60mars-nwe (Netware文件和打印服務(wù)器)
S60nfs (用于NFS服務(wù)器。除非必須,此服務(wù)不應(yīng)運(yùn)行)
S72amd (AutoMount守護(hù)進(jìn)程,用于自動(dòng)安裝遠(yuǎn)程文件系統(tǒng))
S75gated (用于運(yùn)行其它路由協(xié)議,例如OSPF)
S80sendmail (如果不需要接收或轉(zhuǎn)發(fā)電子郵件應(yīng)關(guān)閉。此時(shí)仍可發(fā)送電子郵件)
S85httpd (Apache服務(wù)器,建議升級到最新版本)
S87ypbind (僅有NIS客戶端才需要)
S90xfs (X Windows系統(tǒng)字體服務(wù)器
S95innd (News服務(wù)器)
S99linuxconf (通過瀏覽器遠(yuǎn)程配置Linux系統(tǒng))
要想在修改啟動(dòng)腳本前了解有多少服務(wù)正在運(yùn)行,輸入:
ps aux | wc -l
然后修改啟動(dòng)腳本后,重啟系統(tǒng),再次輸入上面的命令,就可計(jì)算出減少了多少項(xiàng)服務(wù)。越少服務(wù)在運(yùn)行,安全性就越好。另外運(yùn)行以下命令可以了解還有多少服務(wù)在運(yùn)行:
netstat -na --ip
3、日志和系統(tǒng)調(diào)整
在盡可能多地取消服務(wù)后,下一步就是配置系統(tǒng)日志了。所有的系統(tǒng)日志存放在/var/log目錄下。缺省時(shí),Linux有不錯(cuò)的日志設(shè)置,除了ftp。有兩種方法記錄ftp的日志,配置/etc/ftpaccess文件或編輯/etc/inetd.conf。建議采用相對簡單的編輯/etc/inetd.conf文件的方法。通過編輯/etc/inetd.conf文件如下,可以記錄所有FTP會(huì)話的所有日志。
ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -L -i -o
--- 以下選自ftp手冊頁 ---
如果指定-l參數(shù),syslog會(huì)記錄每一個(gè)ftp會(huì)話。
如果指定-L參數(shù),缺省時(shí)一旦ftp服務(wù)器被調(diào)用,命令日志就會(huì)激活。這將使服務(wù)器記錄下所有的USER命令。注意,此時(shí)如果一個(gè)用戶偶然性地在用戶名輸入時(shí)輸入了口令,該口令會(huì)被syslog記錄下來!
如果指定-i參數(shù),ftpd服務(wù)器接收到的文件都會(huì)被記錄到xferlog。
如果指定-o參數(shù),ftpd服務(wù)器發(fā)送的文件都會(huì)被記錄到xferlog。
--- snip snip ---
下一步配置是系統(tǒng)調(diào)整。這包括了多個(gè)文件的管理。第一件事情是確保/etc/passwd文件的安全。首先要確認(rèn)系統(tǒng)使用了/etc/shadow文件,此保存了所有用戶口令密文的文件僅允許root根用戶訪問,這可以阻止用戶口令輕易地被訪問和破解。Red Hat 6.0缺省時(shí)使用了shadow口令系統(tǒng),但務(wù)必要檢查確定。只要運(yùn)行以下命令,就會(huì)將口令系統(tǒng)自動(dòng)轉(zhuǎn)換到/etc/shadow口令系統(tǒng):
pwconv
第二步是刪除/etc/passwd文件中許多缺省的系統(tǒng)帳號(hào)。Linux提供這些帳號(hào)主要是用于許多其實(shí)極少需要的系統(tǒng)操作。如果不需要這些帳號(hào),刪除它們。帳號(hào)越多,系統(tǒng)被入侵的可能性就越大。例如"news"帳號(hào),如果不運(yùn)行nntp新聞組服務(wù)器,就不需要該帳號(hào)(注意要更新/etc/cron.hourly文件,因?yàn)槟_本中涉及到了"news"用戶)。另外,一定要?jiǎng)h除"ftp"帳號(hào),因?yàn)樵搸ぬ?hào)僅用于匿名FTP訪問。
我們還要修改/etc/ftpusers文件。任何被列入該文件的帳號(hào)將不能ftp到本系統(tǒng)。通常用于限制系統(tǒng)帳號(hào),例如root和bin等,禁止這些帳號(hào)的FTP會(huì)話。缺省時(shí)Linux已創(chuàng)建了該文件。一定要確保root根用戶被包含在該文件中,以禁止root與系統(tǒng)的ftp會(huì)話。檢查并確認(rèn)需要FTP到該防火墻的所有帳號(hào)**不**在/etc/ftpusers文件中。
另外,確保根用戶root不能telnet到系統(tǒng)。這強(qiáng)迫用戶用其普通帳號(hào)登錄到系統(tǒng),然后再su成為root。/etc/securetty文件列出了root所能連接的tty終端。
將tty1、tty2等列入該文件中,使root用戶只能從本地登錄到系統(tǒng)中。ttyp1、ttyp2等是pseudo(虛擬)終端,它們允許root遠(yuǎn)程telnet到系統(tǒng)中。
最后,創(chuàng)建/etc/issue文件。該ASCII文本文件用于在所有telnet登錄時(shí)顯示的信息。當(dāng)試圖登錄到系統(tǒng)中時(shí),該文件中的警告信息將被顯示。在Linux系統(tǒng)中要修改/etc/rc.d/init.d/S99local腳本文件,以生成固定的/etc/issue文件。
因?yàn)槿笔r(shí)Linux在每次啟動(dòng)時(shí)都生成新的/etc/issue文件。
4、連接到防火墻
通過安全可控的途徑連接到防火墻也是非常重要的。通常,我們需要遠(yuǎn)程訪問防火墻以進(jìn)行管理或上載文件。這些通訊需要考慮安全性。在這里我們主要討論兩種方式:ssh和TCP Wrappers。
我個(gè)人推薦ssh,因?yàn)樗乖谖覀兒头阑饓χg的通訊都是經(jīng)過加密的。TCP Wrappers不能保證網(wǎng)絡(luò)通訊不被竊聽,使用戶仍然有可能捕獲通過網(wǎng)絡(luò)傳送的明文口令。如果你擔(dān)心被其它用戶竊聽你和防火墻之間的通訊,推薦用ssh替代telnet/ftp。ssh會(huì)話對其所有網(wǎng)絡(luò)通訊進(jìn)行加密,使在防火墻上的管理和文件上載變得更安全。ssh和TCP Wrappers的相似之處是有自己的日志文件功能,并能限制哪些系統(tǒng)可以創(chuàng)建網(wǎng)絡(luò)連接。建議使用1.2.x版本的ssh,因?yàn)?.x版本有版權(quán)限制。對于Windows 95/NT用戶,推薦用SecureCRT作為ssh客戶端。
TCP Wrappers,雖然不支持加密,但它提供日志功能和控制何人能訪問系統(tǒng)。它通常用于為inetd中的服務(wù),例如telnet或ftp,添加一層限制。當(dāng)使用TCP Wrappers時(shí),系統(tǒng)通過它來監(jiān)視inetd進(jìn)程創(chuàng)建的連接,記錄所有連接請求,然后對照一個(gè)訪問控制列表(ACL)檢驗(yàn)該請求。如果該連接是允許的,TCP Wrappers將此連接請求傳遞給相應(yīng)的真正守護(hù)進(jìn)程,例如telnet。如果該連接是禁止的,則TCP Wrappers會(huì)丟棄此連接請求。對于Linux系統(tǒng),TCP Wrappers缺省時(shí)就被安裝到系統(tǒng)中,我們只需編輯/etc/hosts.allow和/etc/hosts.deny文件即可。這些文件用于確定什么人能和不能訪問系統(tǒng)。TCP Wrappers的語法比較簡單,將被允許網(wǎng)絡(luò)連接的IP地址或網(wǎng)絡(luò)添加到/etc/hosts.allow文件,將被禁止網(wǎng)絡(luò)連接的IP地址或網(wǎng)絡(luò)添加到/etc/hosts.deny文件。缺省時(shí),Linux允許所有連接,所以需要對這兩個(gè)文件進(jìn)行修改。對于TCP Wrappers有以下兩點(diǎn)建議:
使用IP地址而不是系統(tǒng)名字或域名。
設(shè)置/etc/hosts.deny文件禁止所有連接(ALL),然后在/etc/hosts.allow文件中指定僅允許特定主機(jī)和網(wǎng)絡(luò)。
5、更嚴(yán)格的安全配置
以上討論的內(nèi)容包括了所有的要點(diǎn)。通過執(zhí)行以上操作,你就可以顯著增強(qiáng)系統(tǒng)的安全性。然后不幸的是,你的系統(tǒng)并不是100%安全,而且永遠(yuǎn)也不會(huì)是。因此,這里提供幾個(gè)更嚴(yán)格的安全配置方法和步驟。
首先是創(chuàng)建whell用戶組。wheel用戶組包含了允許執(zhí)行一些功能強(qiáng)大命令(例如/usr/bin/su)的用戶帳號(hào)列表。通過限制有權(quán)限訪問這些命令的用戶帳號(hào),就能夠增強(qiáng)系統(tǒng)的安全性。要?jiǎng)?chuàng)建wheel組,用vi編輯文件/etc/group,創(chuàng)建wheel組并為其增加系統(tǒng)管理員帳號(hào)。然后確定重要的系統(tǒng)程序,例如/usr/bin/su。
把這些程序文件的組用戶設(shè)置為wheel,并只允許程序的屬主和組用戶執(zhí)行(注意要保留必需的suid或guid位)。例如對于/usr/bin/su,使用如下命令:
/usr/bin/chgrp wheel /usr/bin/su
/usr/bin/chmod 4750 /usr/bin/su
然后,我們需要限制.rhosts、.netrc和/etc/hosts.equiv文件的使用。r系列命令使用這些文件來訪問系統(tǒng)。要為這些文件加鎖,先創(chuàng)建它們,然后修改其屬性為零即可。這樣除了root用戶就沒有其它用戶能創(chuàng)建或修改它們了。
例如:
/usr/bin/touch /.rhosts /.netrc /etc/hosts.equiv
/usr/bin/chmod 0 /.rhosts /.netrc /etc/hosts.equiv
第三,配置/etc/shadow使用MD5哈希函數(shù)而不用crypt函數(shù)作為加密算法。這可以使被加密的口令文件更難以破解。這可以通過修改PAM模塊配置完成。PAM(Pluggable Authentication Modules)是一個(gè)共享庫套件,可用于選擇應(yīng)用程序如何對用戶進(jìn)行認(rèn)證等。
在以前的舊版本中,必須手工修改PAM模塊以使用MD5哈希函數(shù)。然而在Red Hat 6.0及更高版本中,可用setup工具選擇MD5哈希。在命令行輸入"setup"然后選擇"authentication configuration",從那里就能夠選擇使用MD5哈希。然而,MD5哈希在用戶再次輸入其口令前并未真正生效。如果因?yàn)槟承┰虿皇褂胹etup工具,手工修改PAM模塊也是可以的。
作為bash用戶,我不大愿意使用.bash_history文件,因?yàn)椴幌M麆e人(包括root)知道我曾經(jīng)運(yùn)行了哪些命令。所以,在.bash_profile文件里,我添加了一行,這樣命令就不會(huì)被記錄到.bash_history文件:
HISTFILESIZE=0
最后一件事情是保護(hù)系統(tǒng)不被攻擊者物理訪問。一是要為BIOS設(shè)置口令,二是通過在/etc/lilo.conf文件中配置口令保護(hù)(password=xxx)系統(tǒng)的啟動(dòng)過程。然而記住,一旦系統(tǒng)被入侵者能夠完全物理接觸,則沒有任何方法能保證系統(tǒng)的絕對安全了。
6、IPChains
討論Linux安全性,不可能不討論IPChains。IPChains是集成到2.2.x內(nèi)核中的包過濾防火墻軟件。只要運(yùn)行了Red Hat 6.0或更高版本,IPChains已在Linux的安裝包中。IPChains與Cisco Access Control Lists(訪問控制列表)相似,它能夠控制什么數(shù)據(jù)包能夠進(jìn)出Linux系統(tǒng)。作為一個(gè)防火墻軟件,IPChains能夠用于保護(hù)Linux系統(tǒng)。要保護(hù)一臺(tái)獨(dú)立服務(wù)器系統(tǒng),可以配置IPChains僅允許出站的TCP連接。如果外部主機(jī)試圖發(fā)起任何TCP連接,都會(huì)被禁止創(chuàng)建連接。由于IPChains不是基于狀態(tài)過濾的,因此通常允許所有的UDP和ICMP連接。最后,應(yīng)該記錄下所有的被禁止連接,這樣可以發(fā)現(xiàn)可能的攻擊企圖。然而,對于廣播和多播數(shù)據(jù)包,應(yīng)該將其丟棄,因?yàn)檫@些數(shù)據(jù)包可能會(huì)很快地填滿系統(tǒng)日志。以下是一個(gè)IPChains配置例子(保護(hù)獨(dú)立服務(wù)器系統(tǒng)):
bash# ipchains -L
Chain input (policy DENY):
target prot opt source destination ports
DENY all ------ 0.0.0.0 anywhere n/a
DENY all ------ anywhere 255.255.255.255 n/a
DENY all ------ anywhere BASE-ADDRESS.MCAST.NET/8 n/a
ACCEPT tcp !y---- anywhere anywhere any -> any
ACCEPT udp ----l- anywhere anywhere any -> any
ACCEPT icmp ----l- anywhere anywhere any -> any
DENY all ----l- anywhere anywhere n/a
Chain forward (policy ACCEPT):
Chain output (policy ACCEPT):
7、結(jié)論
我們在本文中討論了如何安全配置一臺(tái)Linux系統(tǒng)(Red Hat發(fā)行版本)的一些主要步驟。使一個(gè)系統(tǒng)安全的關(guān)鍵是最小化安裝,使用TCP Wrappers、IPChains等軟件、用shadow口令增加安全防護(hù)。此外還有一些附加步驟,例如tripwire(監(jiān)視系統(tǒng)文件的改動(dòng))和swatch(日志監(jiān)視和報(bào)警工具)。另外向Linux初學(xué)者推薦一個(gè)能夠自動(dòng)對新安裝的Linux系統(tǒng)進(jìn)行安全配置的PERL腳本:Bastille。記住,沒有系統(tǒng)是真正100%安全的。然而,通過以上列出的操作步驟,可以較大幅度地減少安全風(fēng)險(xiǎn)。
