[CentOS,LISTEN,运行级别,NFS,Debian]强化Linux安全的10个技能

　　1.找出不必要的服务

　　很明显，服务器上跑的服务，并不是每个都有用的。强烈建议检查并关掉不需要的服务，从而减少风险（多跑一个服务，就可能多几个漏洞）。

　　查询运行在runlevel 3的服务列表：

　　[afei@afei ~]# /sbin/chkconfig --list |grep '3:on'

　　关闭指定的服务：

　　[afei@afei ~]# chkconfig ip6tables off

　　疑问：为什么查询runlevel 3的服务？

　　Linux系统有7个运行级别(runlevel)，分别如下：

　　runlevel 0：系统停机状态，系统默认运行级别不能设为0，否则不能正常启动；

　　runlevel 1：单用户工作状态，root权限，用于系统维护，禁止远程登陆；

　　runlevel 2：多用户状态(没有NFS)；

　　runlevel 3：完全的多用户状态(有NFS)，登陆后进入控制台命令行模式。这个运行级别的服务会启动httpd，系统提供web server服务，所以主要查看这个运行级别的服务；

　　runlevel 4：系统未使用，保留；

　　runlevel 5：X11控制台，登陆后进入图形GUI模式；

　　runlevel 6：系统正常关闭并重启，默认运行级别不能设为6，否则不能正常启动；

　　2.检查监听的网络端口

　　通过netstat命名能够看到所有已经打开的端口，并且可以看到是哪些程序打开的。如果发现某些是必须要的，建议关掉：

　　[afei@afei~]# netstat -tulpn

　　Active Internet connections (only servers)

　　Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name

　　tcp 0 0 0.0.0.0:2181 0.0.0.0:* LISTEN 48983/java

　　tcp 0 0 0.0.0.0:2182 0.0.0.0:* LISTEN 49051/java

　　3.优化CRON任务

　　linux的cron可以执行一些定时任务。并且还可以通过/etc/cron.allow 和 /etc/cron.deny 控制哪些用户可以运行JOB，哪位用户禁止运行JOB。例如:

　　允许用户afei允许JOB，执行如下命令：

　　echo afei >> /etc/cron.allow

　　禁止所有用户访问JOB，执行如下命令：

　　echo ALL >>/etc/cron.deny

　　4.限制用户使用旧密码

　　linux用户的旧密码保存在文件/etc/security/opasswd中：

　　[root@LAPP-V1159 ~]# cat /etc/security/opasswd

　　afei:504:4:$1$MVAi/EpJ$iXXkV5r3Hjc8AaK2b5KyQ/,$1$AbpFPYaD$ZKj12lK6qaYUqgQnEdocd0,$1$POabjmzY$F4Cp6aTwN6RRk1KjZWm8A/,$1$LoHe5GHY$QjkLGqABANpLmlQsRB4WE.

　　检查是否有开启限制使用旧密码，在RHEL / CentOS / Fedora系统中，查看文件：/etc/pam.d/system-auth。在Ubuntu/Debian/Linux Mint系统中，查看文件：/etc/pam.d/common-password，需要下面两行关键内容，其中remember=4，表示不能使用最后4次密码，否则买二手域名平台会报错：Password has been already used. Choose another.：

　　auth sufficient pam_unix.so nullok try_first_pass

　　password sufficient pam_unix.so sha512 shadow nullok try_first_pass use_authtok remember=4

　　5.检查密码过期

　　密码的过期属性可以通过如下命令查看：

　　[root@root ~]# chage -l afei

　　Last password change : Sep 14, 2021

　　Password expires : Nov 13, 2021

　　Password inactive : never

　　Account expires : never

　　Minimum number of days between password change : 0

　　Maximum number of days between password change : 60

　　Number of days of warning before password expires : 7

　　修改密码的过期属性可以执行如下命令：

　　chage -M 60 -W 7 afei

　　说明：

　　-M 60表示密码最大有效期是60天。

　　-W 7 表示密码还有7天过期时给出告警提醒。

　　6.检查密码为空的用户

　　密码为空意味着只要知道用户名就能访问，这非常危险。因为用户与密码信息保存在文件/etc/shadow中，且格式如下：

　　admin:$6$YTSkre3DLd4SAZ$Jy9piv/gPezhLrLzMMeUleV8F5DNjP:17765:0:99:5:::

　　afei:$6$.vMcyE9ss96$YNk2Q5qiS/SAeGCcyEFsmspkC5dr3OXfnN:17788:0:60:7:::

　　后面的几个数字是密码过期等属性信息，上面已经提及。

　　所以，检查密码为空的用户，只需要执行如下命令即可，如果发现有这样的用户，通过root用户执行passwd username强行修改它的密码：

　　cat /etc/shadow | awk -F: '($2==""){print $1}'

　　7.锁定&解锁用户

　　和删除用户账户不一样，这个只是限制用户登录。只需要执行如下密码即可锁定&解锁用户：

　　[root@root ~]# passwd -l afei

　　Locking password for user afei.

　　passwd: Success

　　[root@root ~]# passwd -u afei

　　Unlocking password for user afei.

　　passwd: Success

　　说明：

　　参数l表示lock，即锁定用户密码；

　　参数u表示unlock，即解锁用户密码；

　　8.关闭IPv6

　　现在IPv6基本上没有实际使用，所以我们可以关掉它，在文件/etc/sysconfig/network中增加如下两行内容即可：

　　NETWORKING_IPV6=no

　　IPV6INIT=no

　　9.复查日志

　　Linux服务器上很多的行为都会有记录相应的日志，简单列举一些如下，如果有一些非法操作，就能从这些日志中造成蛛丝马迹，例如非法登陆，非法定时任务等：

　　/var/log/message – Where whole system logs or current activity logs are available.

　　/var/log/auth.log – Authentication logs.

　　/var/log/kern.log – Kernel logs.

　　/var/log/cron.log – Crond logs (cron job).

　　/var/log/maillog – Mail server logs.

　　/var/log/boot.log – System boot log.

　　/var/log/mysqld.log – MySQL database server log file.

　　/var/log/secure – Authentication log.

　　/var/log/utmp or /var/log/wtmp : Login records file.

　　/var/log/yum.log: Yum log files.

　　10.保持系统更新

　　总是让系统更新最新发行的补丁包，因为这些补丁包会修复一些BUG：

　　sudo apt-get upgrade

　　yum check-update

　　yum upgrade