V10 桌面版、服务器版系统加固
一、 文档说明
本文档中涉及的加固方法主要包括:密码策略配置、防火墙规 则配置、禁用高风险服务等。
二、 V10 桌面版系统加固
2.1 密码策略配置
密码策略包括密码老化控制策略和密码复杂度策略。密码老化 控制策略需要配置/etc/login.defs 文件;密码复杂度策略需要配 置/etc/pam.d/common-password 文件,在 V10 系统中还可以通过修 改/etc/security/pwquality.conf 文件对密码复杂度进行限制。
/etc/login.defs 是设置用户帐号限制的文件,文件中的配置 对 root 用户无效,该文件用于设定在用户新创建的时候对应的目 录、日志等创建的位置、权限等。如果/etc/shadow 文件里有相同 的选项,则以/etc/shadow 里的设置为准,/etc/shadow 的配置优先 级高于/etc/login.defs。
/etc/pam.d/common-password 的优先级高于 pwquality.conf
文件,在/etc/pam.d/common-password 中没有限制的参数才会再到
pwquality.conf 文件中进行匹配。
/etc/pam.d/common-password 文件可用于所有已经存在的及未 来创建的帐号的密码复杂度限制,在该文件中用到 pam_pwquality
模块,在 V4-SP4 和 V10 版本中开始使用 pam_pwquality 模块取代
pam_cracklib 模块,V4-SP1、V4-SP2、V4-SP3 系统中支持使用
pam_cracklib 模块,但是需要安装相关软件包。
密码老化控制策略配置:
过滤掉注释和空行后/etc/login.defs 内容如下图:
/etc/login.defs 文件可以对新创建的用户的邮件目录、日志 启停、终端权限、系统掩码、密码老化控制、UID 和 GID 的最值等 模块进行限制,本文中只关注密码老化控制部分,在密码老化控制 部分有 3 个常用参数可以进行配置,分别是:
PASS_MAX_DAYS #密码最长使用天数
PASS_MIN_DAYS #密码最小使用天数
PASS_WARN_AGE #密码过期时提前告警天数
这些参数在 V10 桌面系统版中是默认参数值如下:
加固现场如果需要修改相关参数直接将参数值进行修改即可, 参数值是 0 时表示不限制。例如要求"最长使用天数 30 天,最小使 用天数 15 天,过期前 7 天进行提示"可以将参数修改为:
密码复杂度策略配置:
过滤掉注释和空行后/etc/pam.d/common-password 文件内容默 认如下:
/etc/pam.d/common-password 文件中只设置了 retry=3 这个参 数,意思是输入密码时可以尝试 3 次,超过 3 次将中止此次密码输 入,其他参数将全部从 pwquality.conf 文件中读取。
pwquality.conf 文件中所有内容默认注释,注释的参数值是默 认值;在/etc/pam.d/common-password 文件中未进行相关参数的设 置时,pwquality.conf 文件中以键值对方式存在的参数默认生效。 下面看一下 pwquality.conf 文件中都有哪些参数:
对上图中的参数进行说明:
difok = 0 #新密码与旧密码至少多少个字符数不同,此参 数生效需要安装 libpam-cracklib 软件包,并且对使用 root 权限修 改密码时无效。
minlen = 6 #密码最小长度,默认值最少 6 位,参数值小于 6 时使用默认值
dcredit = 0 #数字字符个数,默认不校验,至少 1 个数字字 符参数用"-1"表示
ucredit = 0 #大写字母个数,默认不校验,至少一个大写字 符参数用"-1"表示
lcredit = 0 #小写字母个数,默认不校验,至少一个小写字 符参数用"-1"表示
ocredit = 0 #特殊字符个数,默认不校验,至少一个特殊字 符参数用"-1"表示
minclass = 2 #在数字、大写字母、小写字母、特殊字符中至 少 2 种进行组合
maxrepeat = 0 #最多重复字符个数
maxclassrepeat = 0 #新密码中同一类允许的最大连续字符数 个数
gecoscheck = 0 #是否检查用户的 passwd 条目 GECOS 字符串 中的单词
dictcheck = 0 #密码校验,开启后新密码不能在 cracklib 字 典中出现
usercheck = 0 #是否校验密码中以某种形式包含用户名
enforcing = 1 #由 PAM 模块和其他模块强制执行校验
dictpath = #cracklib 字典存储路径,默认没有指定
retry = 1 #密码输入时尝试次数 除了上述以键值对方式存在的参数还要一些其他参数: # enforce_for_root #对 root 用户密码强制检查
local_users_only #跳过校验/etc/passwd 中不存在的用户的 密码
palindrome #检查新密码是否为回文
no_similar_check #是否检查新密码与旧密码相同,对使用
root 权限修改密码无效 上面的 4 个参数在安全加固时一般不用,而以键值对方式存在的参 数不仅可以在 pwquality.conf 文件中直接更改参数值还可以将对应 参数写到/etc/pam.d/common-password 文件中 pam_pwquality.so
模块的后面,多个参数使用空格分开即可。pwquality.conf 文件中 参数值是 0 时代表不开启或不限制。 以加固现场要求密码长度最少 8 位、最少 3 种字符自由组合、 不允许密码中包含用户名、最多尝试输入 3 次密码为例子修改
/etc/pam.d/common-password 文件:
修改完参数后修改密码验证参数是否生效:
在修改密码时对不满足复杂度要求的密码成功进行限制。 也可以将"minlen=8 minclass=3 usercheck=1 retry=3"四个 参数在 pwquality.conf 文件中进行修改以满足例子中的需求:
修改完参数后修改密码验证参数是否生效:
在修改密码时对不满足复杂度要求的密码成功进行限制。
提示: 在现场对密码复杂度加固后,在允许的情况下建议修改一次root 密码,以防止后续密码不满足复杂度导致无法正常使用的情 况。
2.2 防火墙规则配置
防火墙配置主要是根据现场要求配置防火墙规则对源 IP、源端 口、目的 IP、目的端口、协议五元组中的信息进行限制,在 V10 桌 面系统中默认开启 ufw 防火墙服务,并且可以使用 ufw 命令进行防 火墙规则配置。具体的 ufw 命令配置防火墙的方法可以参考文档
《Kylin_UFW 防火墙操作文档-M20210823.pdf》。
2.3 禁用高风险服务
禁用高风险服务是指停止系统中存在风险的服务并且关闭相关 服务开机自启达到禁止高风险服务对外提供服务的目的。例如禁用
SSH 服务、禁用 SAMBA 服务、禁用 DNS 服务等,具体要禁用什么服 务可以根据用户要求决定。以禁用 SSH 服务为例:
查看 SSH 服务状态:systemctl status ssh
停止 SSH 服务:systemctl stop ssh
关闭 SSH 服务开机自启:systemctl disable ssh
禁用服务的方法是通用的,只需要确定好禁用服务的名称按照 上边的三个步骤进行禁用即可。
三、 V10 服务器版系统加固
3.1 密码策略配置
V10 服务器版密码策略配置也分为密码老化控制策略和密码复 杂度策略,密码老化控制策略修改/etc/login.defs,密码复杂度策 略修改/etc/pam.d/system-auth 或者 pwquality.conf 文件,文件 所在路径是/etc/security/下。
V10 桌面版与 V10 服务器版修改密码策略的方法区别不大,主 要就是文件名称和文件默认内容存在差异,但是修改方法基本一 致,所以 V10 服务器版中具体修改方法不再赘述,只将 V10 服务器 版系统有差异的地方进行说明。
V10 服务器版的/etc/login.defs 文件中与密码老化相关的参数 默认设置了四个:
默认参数比 V10 桌面系统多了一个 PASS_MIN_LEN, 代表密码最小长 度(V10 桌面系统中也可以加限制密码长度的参数)而在 V10 服务 器版的 pwquality.conf 中也限制了密码的最小长度,在login.defs 和 pwquality.conf 文件同时限制了密码最小长度时是 以 pwquality.conf 文件中的为准,也就是 pwquality.conf 的优先 级高于 login.defs 的优先级。在 V10 桌面和 V10 服务器系统中密码 复杂度的优先级顺序是:/etc/pam.d/目录下的配置文件 >
pwquality.conf 文件 > login.defs 文件。 综上可知 login.defs 文件中的 PASS_MIN_LEN 参数并不会生 效,有些漏扫软件会根据配置文件中某些参数值是否存在来判断是 否符合安全标准,所以如果遇到漏扫软件误报没有 PASS_MIN_LEN 等 参数时可以手动将参数添加到配置文件中。
V10 服务器中 pwquality.conf 文件中的参数与 V10 桌面系统中 的参数含义同,/etc/pam.d/system-auth 文件与 V10 桌面系统/etc/pam.d/common-password 文件配置参数的方法相同,可以参考上文在 V10 桌面系统中的配置方法,此处不再赘述。还是以要求 "密码最少 8 位、可重试 3 次、最少 3 种字符组合、不允许包含用 户名"为例修改配置文件。先看一下 pam_pwquality.so 默认配置的 参数:
按照例子中的要求进行修改:
验证配置是否生效:
可以成功拦截不满足密码复杂度的密码说明配置生效。
提示: 在现场对密码复杂度加固后,在允许的情况下建议修改一次root 密码,以防止后续密码不满足复杂度导致无法正常使用的情 况。
3.2 防火墙规则配置
在 V10 服务器版系统中系统默认启动 firewalld 防火墙服务, 如果没有特殊要求可以直接iptables 命令进行防火墙规则的配 置,iptables 命令的使用方法可以参考文档《Kylin_Iptables 防火 墙配置方法-M20210820.pdf》。
3.3 禁用高风险服务
禁用服务方法参考 V10 桌面版或参考附录 1 中的服务启停命 令。
四、 其他
安全加固时除了上文说的密码策略加固、防火墙加固、禁用高 风险服务加固还有一些普通的配置加固,可以参考下面的命令进行 加固:
SSH 服务不允许 root 用户远程登陆:(桌面、服务器通用)
sed -i.bak 's/^PermitRootLogin yes$/PermitRootLogin no/' /etc/ssh/sshd_config
SSH 服务黑、白名单:(V10 桌面版):
SSH 服务黑、白名单:(V10 服务器版)
在/etc/ssh/sshd_config 文件中加入下图红框中的信息,代表 禁止来自 192.168.253.218 地址 root 用户登陆,修改配置后需要重 启 SSH 服务。用户名和 IP 地址可以用*代表所有,但是格式一定要 符合:用户名@IP 地址,限制多个使用空格分隔。
白名单使用 AllowUsers 参数,黑名单使用 DenyUsers 参数。AllowUsers 优先级高于 DenyUsers。
关键目录权限需要设置到最小可用:(桌面、服务器通用)
上面的命令只是示例,具体权限要求根据现场要求设定。
系统默认掩码值配置:
echo "umask 077" >> /etc/bash.bashrc (仅桌面系统可用)
echo "umask 077" >> /etc/profile (桌面、服务器系统通用)
具体掩码值根据现场要求设定即可。
系统默认掩码值配置:(桌面、服务器通用)
echo "export TMOUT=600" >> /etc/profile
禁用 ipv4 转发功能:
方法 1: sysctl -w net.ipv4.ip_forward="0"
方法 2: echo 0 > /proc/sys/net/ipv4/ip_forward
如果需要开机默认设置该参数可以将命令写到/etc/rc.local文件中。
由于每个加固点位的要求不尽相同,本文档不再一一例举,可 以参考附录 2 中的 V10 加固脚本进行加固验证。
附录 1: 服务启停相关命令
1.服务状态查看:systemctl status 服务名
2.停止服务:systemctl stop 服务名
3.启动服务:systemctl start 服务名
4.重启服务:systemctl restart 服务名
5.查看服务是否开机启动:systemctl is-enabled 服务名
6.关闭服务开机启动:systemctl disable 服务名
7.启用服务开机启动:systemctl enable 服务名