linux系统安全加固手册09

1、Linux系统安全加固手册1.安装最新安全补丁：项目：注释：1安装操作系统提供商发布的最新的安全补丁各常见的Linux发布安全信息的we删址：RedHatLinux:http:/ .网络和系统服务:inetd/xinetd网络服务:设置项注释：1确保只有确实需要的服务在运行：先把所有通过ineted/xineted运行的网络服务关闭确实需要的服务,再打开绝大多数通过inetd/xinetd运行的网络服务都可以被禁止，比如echo,exec,login,shell,who,finger等.对于telnet,r系歹U服务，ftp等，强烈建议使用SSHM弋替.2设置xinetd访问控制在/etc/x

2、inetd.conf文件的default块中加入如下行：only_from=/每个/（比如/24）对表示允许的源地址启动服务：设置项注释：1关闭NFS艮务器进程：运行chkconfignfsoffNFSS常存在漏洞会导致未授权的文件和系统访问.2关闭NF潞户端进程：运行chkconfignfslockoffchkconfigautofsoff3关闭NIS客户端进程：NIS系统在设计时就存在安全隐患chkconfigypbindoff4关闭NIS服务器进程：运行chkconfigypservoffchkconfigyppasswdoff5关闭其它基于RPC勺服务：基于RPC

3、勺服务通常非常脆弱或者缺少安全运行chkconfigportmapoff的认证，但是还可能共享敏感信息.除非确实必需，否则应该完全禁止基于RPC勺服务.6关闭SM服务除非确实需要和Window源统共享文件，否运行chkconfigsmboff则应该禁止该服务.7禁止Netfs脚本如果不需要文件共享可禁止该脚本chkconfignetfsoff8关闭打印机守护进程如果用户从来不通过该机器打印文件则应chkconfiglpdoff该禁止该服务.Unix的打印服务有糟糕的安全记录.9关闭启动时运行的XServer对于专门的服务器没有理由要运行XServer,比如专门的Web艮务器/etc/initt

4、ab.newmv/etc/inittab.new/etc/inittabchownroot:root/etc/inittabchmod0600/etc/inittab10关闭MailServer多数Unix/Linux系统运行Sendmail作为邮chkconfigpostfixoff件服务器，而该软件历史上出现过较多安全漏洞，如无必要，禁止该服务11关闭WebServer可能的话，禁止该服务.chkconfighttpdoff12关闭SNMP如果必需运行SNMP话，应该更改缺省的chkconfigsnmpdoffcommunitystring13关闭DNSServer可能的话，禁止该服务ch

5、kconfignamedoff14关闭DatabaseServerLinux下常见的数据库服务器有Mysql,chkconfigpostgresqloffPostgre,Oracle等，没有必要的话,应该禁止这些服务15关闭路由守护进程组织里仅有极少数的机器才需要作为路由chkconfigroutedoff器来运行.大多数机器都使用简单的“静态chkconfiggatedoff路由，并且它不需要运行特殊的守护进程16关闭Webmir程管理工具Webmin一个远程管理工具，它有糟糕的认chkconfigwebminoff证和会话管理历史，所以应该谨慎使用17关闭SquidWebCache如果必需

6、使用，应该谨慎配置chkconfigsquidoff18可能的话禁止inetd/xinetd如果没有网络服务通过inetd/xinetd运行chkconfiginetdoff或则可以禁止它们chkconfigxinetdoff19设置守护进程掩码系统缺省的umask值应该设定为022以避免cd/etc/rc.d/init.d守护进程创建所有用户可写的文件ifgrep-lumaskfunctions=;thenechoumask022functionsfi3.核心调整:设置项注释：1禁止coredump:cat/etc/security/limits.conf* softcore0* hardc

7、ore0END_ENTRIES允许coredump会耗费大量的磁盘空间.2限制NF潞户端使用特权端口：nextifps*#/|/AS*$/);($res,hst)=split();foreach$ent(hst)undef(%set);($optlist)=$ent=/(.*?)/;foreach$opt(split(/,/,$optlist)$set$opt=1;)delete($setinsecure);$setsecure=1;$ent=S/(.*?)/;$ent.=(.join(,keys(%set).);$hst0=(secure)unless(hst);可以防止非特权用户发起的NF

8、敢击.automouted/etc/exports3网络参数调整：cat/etc/sysctl.confnet.ipv4.ip_forward=0net.ipv4.conf.all.accept_source_route=0net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1ENDSCRIPTcat/etc/sysctl.confnet.ipv4.conf.all.send_redirects=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept

9、_redirects=0ENDSCRIPTchownroot:root/etc/sysctl.confchmod0600/etc/sysctl.conf4 .日志系统:设置项注释：1捕捉发送给AUTH和AUTHPRIVfacility的消息到日志文件/var/log/secure:ifgrep-cauth./etc/syslog.conf-eq0then.syslog中的AUTH和AUTHPRIVfacility包含了大量安全相关的信息，不是所有Linux发布都记录这些日志信息.应该把这些信息记录到/var/log/secure文件中（该文件仅超级用户可读)/etc/syslog.conffi

10、ifgrep-cauthpriv./etc/syslog.confeq0then/etc/syslog.conffitouch/var/log/securechownroot:root/var/log/securechmod600/var/log/secure详见：http:/ （它以超级用户身份运行）来访问，一个普通用户可以修改crontab文件会导致他可以以超级用户身份执行任意程序6建立恰当的警告banner：echoAuthorizedusesonly.Allmonitoredandreported./etc/motdchownroot：root/etc/motdchmod644/etc

11、/motdcat/etc/rc.d/rc.local改变登录banner可以隐藏操作系统类型和版本号和其它系统信息，这些信息可以会对攻击者有用.echoAuthorizedusesonly.Allmonitoredandreported./etc/issueechoAuthorizedusesonly.Allmonitoredandreported./etc/END7限制root登录到系统控制台：cat/etc/securettytty1tty2tty3tty4tty5tty6END_FILEchownroot:root/etc/securettychmod400/etc/securetty通

12、常应该以普通用户身份访问系统，然后通过其它授权机制 （比如su命令和sudo）来获得更高权限，这样做至少可以对登录事件进行跟踪设置LILO/GRUBq令：在/etc/lilo.conf文件的开头加入如下行restrictedpassword=以root身份执行如下命令：chownroot:root/etc/lilo.confchmod600/etc/lilo.conflilo可以有助于防止基于控制台的物理攻击对于GRUB:力口入本行至I/etc/grub.conf:password以root身份执行如下命令：chownroot:root/etc/grub.confchmod600/etc/gr

13、ub.conf7.用户账号和环境:检查项1清除或锁定系统账号：foruserinuucpoperatordo/usr/sbin/userdel$user注释：Uucp和operator账号通常是不需要的，可以把它们从passwd和shadows件中删除， 其它账号视具体情况而定.要锁定一个账号，可以把该账号的shell改为一个无效的shell,doneforuserinadmaliasapacheaxfrdnsdnscachednslogftpgamesgdmgopherIpmailmailnullnamednewsnobodynscdpostgresqmaildqmaillqmailpqma

14、ilqrpcrpcusersquidsympasynctinydnsxfsdo/usr/sbin/usermod-L-s/dev/null$userdoneq验证没有遗留下来的+条目存在于passwd,shadow,group文件中：grepA+:/etc/passwd/etc/shadow/etc/group这些条目可能会给攻击者提供一个途径来取得系统的访问权限，如果存在的化应该删除2验证是否有账号存在空口令的情况：awk-F:($2=)print$1/etc/shadow所有账号应该有一个强口令或者使用类似“NF或*LOCKED*的口令字串来锁定账号3检查除了root以外是否还有其它账号的

15、UID为0:awk-F:($3=0)print$1/etc/passwd任彳UID为0的账号在系统上都具有超级用户权限.4检查root用户的$PAT呻是否有.或者所有用户/组用户可写的目录超级用户的$PAT般置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马5删除属于root用户的具有潜在危险的文件：rm-f/.rshosts/.netrc/root/.rshosts/root/.netrc/.rhost,/.netrc或/root/.rhost,/root/.netrc文件都具有潜在的危险6用户的home!录许可权限是否为755或更严格的限制：用户home!录的许可权限限制不严可能会

16、导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限比如/dev/nullawk-F:($3=500)print$6/etc/passwddochmodgo-w$dirdone7是否有用户的点文件是所有用户可读的awk-F:($3=500)print$6/etc/passwddoUnix/Linux下通常以.开头的文件是用户的配置文件，如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限forfilein$dir/.A-Za-z0-9*doif-f$file;thenchmodo-w$filefidonedone8删除用户的.netrc文件：fordirincut-f6-d:/etc/passwddorm-f$dir/rc文件中可能会包含未加密的口令9为用户设置合适的缺省umask1:cd/etcforfileinprofilecsh.logincsh.cshrcbashrcdoifgrep-cumask$file-eq0;then