3, Bản vá và nâng cấp hệ thống.. Cài đặt tự động cập nhật APT: +unattended-upgrades #sudo apt-get install unattended-upgrades #sudo dpkg-reconfigure -plow unattended-upgrades #nano /etc/
Trang 1Bảo Mật MailServer
1, Chức năngserver.
2, Đĩa cứu hộ.
3, Bản vá và nâng cấp hệ thống.
Cài đặt tự động cập nhật
APT:
+unattended-upgrades
#sudo apt-get install unattended-upgrades
#sudo dpkg-reconfigure -plow unattended-upgrades
#nano /etc/apt/apt.conf.d/50unattended-upgrades
Thêm vào blacklisted để không tự động update những gói liên quan
Unattended-Upgrade::Package-Blacklist {
"linux-headers-server"
"linux-image-server"
"linux-server"
"linux-firmware"
"linux-libc-dev"
};
Log của update lưu tại /var/log/unattended-upgrades
Báo cáo cấu hình tại Unattended-Upgrade::Mail
+cron and aptitude
#nano /etc/cron.weekly/apt-security-updates
Lưu đoạn văn bản sau:
echo "**************" >> /var/log/apt-security-updates
date >> /var/log/apt-security-updates
aptitude update >> /var/log/apt-security-updates
aptitude safe-upgrade -o Aptitude::Delete-Unused=false assume-yes target-release `lsb_release
-cs`-security >> /var/log/apt cs`-security-updates
echo "Security updates (if any) installed"
#sudo chmod +x /etc/cron.weekly/apt-security-update
log: #nano /etc/logrotate.d/apt-security-update
/var/log/apt-security-updates {
rotate 2
weekly
size 250k
compress
notifempty
}
YUM:
+yum-updatesd
#yum install yum-updatesd
#nano /etc/yum/yum-updatesd.conf
Thay đổi dòng:
do_update = no
thành
do_update=yes
save
#/etc/init.d/yum-updatesd restart
+cron and yum:
Trang 2/etc/cron.daily/yumupdate.sh or /etc/cron.weekly/yumupdate.sh
#!/bin/bash
YUM=/usr/bin/yum
$YUM -y -R 120 -d 0 -e 0 update yum
$YUM -y -R 10 -e 0 -d 0 update
#chmod +x /etc/cron.daily/yumupdate.sh
Cài đặt bản vá và nâng cấp hệ thống
APT:
apt-get dist-upgrade
YUM:
plugin
#yum install yum-security
Hiển thị các gói update
#yum list-security
Kiểm tra
#yum security check-update
Các gói fixed
#yum list-security bugzillas
Upgrade security
#yum update security
4, Tắt dịch vụ không cần thiết.
Stop service:
#service stop <service name>
#/etc/init.d/<service name> stop
Stop service at startup:
#chkconfig -levels 2345 <service name> off
#mv /etc/rc.d/rc5.d/<service name> /tmp/<service name>
Các dịch vụ mặc định;
5, Kiểm tra tập tin quan trọng
•/etc/fstab - root.root - 0644
•/etc/passwd - root - 644
•/etc/group - root - 644
/etc/shadow -root- 400
6, Chính sách mật khẩu
/etc/login.defs
PASS_MAX_DAYS 90 PASS_MIN_DAYS 6 PASS_MIN_LEN 14 PASS_WARN_AGE 7
7, Giới hạn truy cập root sử dụng sudo
#cat /etc/sudoers
Trang 38, Chỉ cho phép root truy cập CRON
cd /etc/
/bin/rm -f cron.deny at.deny
echo root >cron.allow
echo root >at.allow/bin/chown
root:root cron.allow at.allow
/bin/chmod 400 cron.allow at.allow
9, Banners cảnh báo
cat /etc/motd ; cat /etc/issue ; cat /etc/issue.net
10, SHH
Protocol 2
PermitRootLogin no
PermitEmptyPasswords no
Banner /etc/issue
IgnoreRhosts yes
RhostsAuthentication no
RhostsRSAAuthentication no
HostbasedAuthentication no
LoginGraceTime 1m (or less – default is 2 minutes) SyslogFacility AUTH (provides logging under syslog AUTH)
AllowUser [list of users allowed access]
DenyUser [list of system accounts and others not allowed]
MaxStartups 10 (or less – use 1/3 the total number of remote users)
Change defaulr port SSH
11, Host-base firewall - Iptables
Thiết lập Iptables allow:
IN: icmp; tcp - 25 - 110 - 143 - 443 - 465 - 587 - 993 -885
OUT: tcp-25 - 465 -587;udp-53
12, Xinetd và inetd.conf
Trang 4Tắt các dịch vụ không cần thiết:
#telnet stream tcp nowait root /usr/sbin/telnetd telnetd -a
12, Tcpwrappers
Trong inetd.conf gọi file tcpd
#telnet stream tcp nowait root /usr/sbin/tcpd telnetd -a
service telnet
{
flags = REUSE NAMEINARGS
protocol = tcp
socket_type = stream
wait = no
user = telnetd
server = /usr/sbin/tcpd
server_args = /usr/sbin/in.telnetd }
12, System Logging