linux系統(tǒng)安全加固手冊(cè)09

1、linux系統(tǒng)安全加固手冊(cè)091 .安裝最新安全補(bǔ)丁 ：項(xiàng)目：1安裝操作系統(tǒng)提供商公布的最新的安全補(bǔ)丁注釋：各常見的Linux公布安全信息的web地址:2 .網(wǎng)絡(luò)和系統(tǒng)服務(wù):inetd/xinetd 網(wǎng)絡(luò)服務(wù):1確保只有確實(shí)需要的服務(wù)在運(yùn)行：先把所有通過(guò)ineted/xineted運(yùn)行的網(wǎng)絡(luò)服務(wù)關(guān)閉，再打開確實(shí)需要的服務(wù)2設(shè)置xinetd訪咨詢操縱在/etc/xinetd.conf 文件的"default "塊中加入如下行：only_from=<net>/<num_bit><net>/<num_bit> 每個(gè) <net&

2、gt;/<num_bit>（例如/24）對(duì)表示承諾的源地址啟動(dòng)服務(wù)：設(shè)置項(xiàng)注釋：1關(guān)閉NFS服務(wù)器進(jìn)程：運(yùn)行 chkconfig nfs offNFS通常存在漏洞會(huì)導(dǎo)致未授權(quán)的文件和 系統(tǒng)訪咨詢.2關(guān)閉NFS客戶端進(jìn)程：運(yùn)行 chkconfig nfslock off chkconfig autofs off3關(guān)閉NIS客戶端進(jìn)程：chkconfig ypbind offNIS系統(tǒng)在設(shè)計(jì)時(shí)就存在安全隱患4關(guān)閉NIS服務(wù)器進(jìn)程：運(yùn)行 chkconfig ypserv off chkconfig yppasswd off5關(guān)閉其它基于RPC的服務(wù)：運(yùn)行 chkco

3、nfig portmap off基于RPC的服務(wù)通常專門脆弱或者缺少安 全的認(rèn)證，然而還可能共享敏銳信息.除非確 實(shí)必需，否則應(yīng)該完全禁止基于 RPC的服務(wù).6關(guān)閉SMB服務(wù)運(yùn)行 chkconfig smb off除非確實(shí)需要和Windows系統(tǒng)共享文件，否 則應(yīng)該禁止該服務(wù).7禁止Netfs腳本chkconfig netfs off如果不需要文件共享可禁止該腳本3.核心調(diào)整：注釋:設(shè)置項(xiàng)8關(guān)閉打印機(jī)守護(hù)進(jìn)程chkconfig lpd off如果用戶從來(lái)不通過(guò)該機(jī)器打印文件則應(yīng) 該禁止該服務(wù).Unix的打印服務(wù)有糟糕的安 全記錄.9關(guān)閉啟動(dòng)時(shí)運(yùn)行的 X Serversed 's/id:

4、5:initdefault:/id:3:initdefault:/' < /etc/inittab > /etc/inittab.newmv /etc/inittab.new /etc/inittab chown root:root /etc/inittab chmod 0600 /etc/inittab關(guān)于專門的服務(wù)器沒有理由要運(yùn)行XServer,例如專門的Web服務(wù)器10關(guān)閉 Mail Serverchkconfig postfix off多數(shù)Unix/Linux系統(tǒng)運(yùn)行Sendmail作為郵件服務(wù)器，而該軟件歷史上顯現(xiàn)過(guò)較多安全漏洞，如無(wú)必要，禁止該服務(wù)11關(guān)閉 We

5、b Serverchkconfig httpd off可能的話，禁止該服務(wù).12關(guān)閉SNMPchkconfig snmpd off如果必需運(yùn)行SNMP的話，應(yīng)該更換缺省的community string13關(guān)閉 DNS Serverchkconfig named off可能的話，禁止該服務(wù)14關(guān)閉 Database Serverchkconfig postgresql offLinux下常見的數(shù)據(jù)庫(kù)服務(wù)器有Mysql, Postgre, Oracle等，沒有必要的話，應(yīng)該禁止 這些服務(wù)15關(guān)閉路由守護(hù)進(jìn)程chkconfig routed offchkconfig gated off組織里僅有極

6、少數(shù)的機(jī)器才需要作為路由 器來(lái)運(yùn)行.大多數(shù)機(jī)器都使用簡(jiǎn)單的靜態(tài)路 由”，同時(shí)它不需要運(yùn)行專門的守護(hù)進(jìn)程16關(guān)閉Webmin遠(yuǎn)程治理工具chkconfig webmin offWebmin是一個(gè)遠(yuǎn)程治理工具，它有糟糕的 認(rèn)證和會(huì)話治理歷史，因此應(yīng)該慎重使用17關(guān)閉 Squid Web Cache chkconfig squid off如果必需使用，應(yīng)該慎重配置18可能的話禁止inetd/xinetdchkconfig inetd off 或chkconfig xinetd off如果沒有網(wǎng)絡(luò)服務(wù)通過(guò)inetd/xinetd運(yùn)行則 能夠禁止它們19設(shè)置守護(hù)進(jìn)程掩碼cd /etc/rc.d/init

7、.dif "'grep -l umask functions'" = "" ; then echo "umask 022" >> functionsfi系統(tǒng)缺省的umask值應(yīng)該設(shè)定為022以幸 免守護(hù)進(jìn)程創(chuàng)建所有用戶可寫的文件禁止 core dump:cat <<END_ENTRIES >>/etc/security/limits.conf承諾core dump會(huì)耗費(fèi)大量的磁盤空間.soft core 0hard core 0END_ENTRIES能夠防止非特權(quán)用戶發(fā)起的 auto

8、moutedNFS攻擊.2 限制NFS客戶端使用特權(quán)端口 ： perl -i.orig -pe 'next if (/as*#/ | /As*$/);($res, hst) = split("");foreach $ent (hst) undef(%set);($optlist) = $ent = /(.*?)/;foreach $opt (split(/,/, $optlist) $set$opt = 1;delete($set"insecure");$set"secure" = 1;$ent = s/(.*?)/;$ent

9、 .= "(" . join("二 keys(%set).")"$hst0 = "(secure)" unless (hst);$_ = "$rest" . join(" ", hst) . "n"' /etc/exports3 網(wǎng)絡(luò)參數(shù)調(diào)整：cat <<END_SCRIPT >> /etc/sysctl.conf net.ipv4.ip_forward = 0 net.ipv4.conf.all.accept_source_rout

10、e = 0 net.ipv4.tcp_max_syn_backlog = 4096 net.ipv4.conf.all.rp_filter = 1 ENDSCRIPT cat <<END_SCRIPT >> /etc/sysctl.conf net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.default.accept_redirects = 0 ENDSCRIPT chown root:root /etc/sysctl.confchmod

11、0600 /etc/sysctl.conf4 .日志系統(tǒng):設(shè)置項(xiàng)注釋：1捕捉發(fā)送給AUTH和AUTHPRIV facility的消息到日志文件.syslog中的AUTH和AUTHPRIV facility包/var/log/secure:含了大量安全有關(guān)的信息，不是所有Linuxif 'grep -c 'auth.' /etc/syslog.conf' -eq 0 公布都記錄這些日志信息.應(yīng)該把這些信息thenecho -e "auth.*tttt/var/log/secure" >>/etc/syslog.conffi記錄到/v

12、ar/log/secure文件中（該文件僅超 級(jí)用戶可讀）if 'grep -c 'authpriv.' /etc/syslog.conf' eq 0 thenecho -e "authpriv.*tttt/var/log/secure" >>/etc/syslog.conffitouch /var/log/securechown root:root /var/log/securechmod 600 /var/log/secure檢查項(xiàng)1X：f7etc/fstab中的可移動(dòng)介質(zhì)增加"nosuid "選項(xiàng):awk

13、 '($2 /A/m.*V(floppy|cdrom)$/ && $3 != "supermount") $4 = sprintf("%s,nosuid", $4) ; print ' /etc/fstab >/etc/fstab.new mv /etc/fstab.new /etc/fstab chown root:root /etc/fstab注釋：能夠移動(dòng)介質(zhì)是引入惡意代碼的一個(gè)重要 途徑.該設(shè)置能夠防止一般用戶通過(guò)CDROM或軟盤引入SUID程序chmod 0644 /etc/fstab2禁止一般用戶來(lái)mou

14、nt可移動(dòng)文件系統(tǒng)：cd /etc/securityegrep -v '(floppy|cdrom)' console.perms > console.perms.newmv console.perms.new console.permsgrep -v supermount /etc/fstab > /etc/fstab.newmv /etc/fstab.new /etc/fstabchown root:root console.perms /etc/fstabchmod 0600 console.permschmod 0644 /etc/fstab3 Xpassw

15、d, shadow,和group文件設(shè)置正確的許可權(quán)限： cd /etcchown root:root passwd shadow groupchmod 644 passwd groupchmod 400 shadow4 對(duì)臨時(shí)名目設(shè)置粘著位：chmod +t /tmpfind /var -type d -perm -0222 -xdev -exec chmod +t ;在基于Linux的公布中一般用戶在操縱臺(tái)上 有更大的權(quán)限，能夠使用CD-ROM和軟盤驅(qū) 動(dòng)器.甚至在一些公布，例如Mandrake Linux 上當(dāng)在機(jī)器上插入軟盤或光碟時(shí)系統(tǒng)會(huì)通 過(guò)supermount 來(lái)自動(dòng) mount這

16、些驅(qū)動(dòng)器 .這些文件的屬主和組應(yīng)該為root, passwd和group文件的許可權(quán)限應(yīng)該為 644,shadow文件的許可權(quán)限應(yīng)該為400臨時(shí)名目不設(shè)置粘著位會(huì)導(dǎo)致一般用戶能 夠任意刪除其它用戶建立的臨時(shí)文件5 .文件/名目訪咨詢?cè)S可權(quán)限：5 查找未認(rèn)證的SUID/SGID可程序: for part in 'awk '($3 = "ext2" | $3 =“ext3”) print $2 ' /etc/fstab'dofind $part ( -perm -04000 -o -perm -02000 ) -type f -xdev -pri

17、ntdone6 .系統(tǒng)訪咨詢，認(rèn)證和授權(quán):檢查項(xiàng)注釋：1在PAM配置文件中刪除.rhosts支持： for file in 'echo/etc/pam.d/*' ; dogrep -v rhosts_auth $file > $file.newmv $file.new $file chown root:root $file chmod 644 $filedone禁止.rhost支持有助于防止用戶搞亂系統(tǒng)正 常的訪咨詢操縱機(jī)制2刪除/etc/hosts.equiv 文件： rm /etc/hosts.equiv/etc/hosts.equiv文件為系統(tǒng)上的所有用戶 設(shè)置全局

18、信任關(guān)系，于.rhost的作用類似.3校驗(yàn)/etc/ftpusers文件的內(nèi)容，確認(rèn)root和系統(tǒng)用戶存在在該 文件中/etc/ftpusers文件列出了所有禁止使用ftp的 用戶的名單，通常root和系統(tǒng)用戶都應(yīng)該禁 止使用ftp4限制at/cron給授權(quán)的用戶：cd /etc/rm -f cron.deny at.denyecho root >cron.allowecho root >at.allowchown root:root cron.allowat.allowchmod 400 cron.allow at.allowCron.allow和at.allow文件列出了承諾承

19、諾 crontab和at命令的用戶名單，在多數(shù)系統(tǒng)上 通常只有系統(tǒng)治理員才需要運(yùn)行這些命令5Crontab文件限制訪咨詢權(quán)限： chown root:root /etc/crontab chmod 400 /etc/crontab chown -R root:root系統(tǒng)的crontab文件應(yīng)該只能被cron守護(hù)進(jìn) 程（它以超級(jí)用戶身份運(yùn)行）來(lái)訪咨詢，一個(gè) 一般用戶能夠修改crontab文件會(huì)導(dǎo)致他能 夠以超級(jí)用戶身份執(zhí)行任意程序/var/spool/cronchmod -R go-rwx /var/spool/cron chown -R root:root /etc/cron.*chmod

20、-R go-rwx /etc/cron.*6 建立恰當(dāng)?shù)木鎎anner:echo "Authorized uses only. All activity may be monitored andreported." >>/etc/motd chown root:root /etc/motd chmod 644 /etc/motdcat <<END >> /etc/rc.d/rc.local echo "Authorized uses only. All activity may be monitored and reporte

21、d." >> /etc/issueecho "Authorized uses only. All activity may be monitored and reported." >> /etc/END改變登錄banner能夠隱藏操作系統(tǒng)類型和 版本號(hào)和其它系統(tǒng)信息，這些信息能夠會(huì)對(duì) 攻擊者有用.7 限制root登錄到系統(tǒng)操縱臺(tái)：cat <<END_FILE >/etc/securettytty1tty2tty3tty4tty5tty6END_FILEchown root:root /etc/securettychmod

22、400 /etc/securetty通常應(yīng)該以一般用戶身份訪咨詢系統(tǒng)，然后 通過(guò)其它授權(quán)機(jī)制（例如su命令和sudo）來(lái) 獲得更高權(quán)限，如此做至少能夠?qū)Φ卿浭录?進(jìn)行跟蹤能夠有助于防止基于操縱臺(tái)的物理攻擊8 設(shè)置 LILO/GRUB 口令：在/etc/lilo.conf文件的開頭加入如下行：restrictedpassword= <password>以root身份執(zhí)行如下命令：chown root:root /etc/lilo.confchmod 600 /etc/lilo.conflilo關(guān)于GRUB:力口入本行至ij /etc/grub.conf:password <pa

23、ssword>以root身份執(zhí)行如下命令：chown root:root /etc/grub.confchmod 600 /etc/grub.conf7.用戶賬號(hào)和環(huán)境:檢查項(xiàng)1清除或鎖定系統(tǒng)賬號(hào)：for user in uucp operatordo/usr/sbin/userdel $user done注釋：Uucp和operator賬號(hào)通常是不需要的，能夠 把它們從passwd和shadow文件中刪除，其 它賬號(hào)視具體情形而定.要鎖定一個(gè)賬號(hào)，能 夠把該賬號(hào)的shell改為一個(gè)無(wú)效的shell,例 如/dev/nullfor user in adm alias apache axf

24、rdns bin daemon dhcpd dnscache dnslog ftp games gdm gopher halt htdig ident lp mail mailnull named news nobody nscd postfix postgres qmaild qmaill qmailp qmailq qmailr qmails rpc rpcuser squid sympa sync tinydns xfs do/usr/sbin/usermod -L -s/dev/null $user done驗(yàn)證沒有遺留下來(lái)的 +'條目存在于passwd,shadow,grou

25、p 文這些條目可能會(huì)給攻擊者提供一個(gè)途徑來(lái)件中：取得系統(tǒng)的訪咨詢權(quán)限，如果存在的化應(yīng)該grep A+: /etc/passwd /etc/shadow刪除/etc/group2 驗(yàn)證是否有賬號(hào)存在空口令的情形：所有賬號(hào)應(yīng)該有一個(gè)強(qiáng)口令或者使用類awk -F: '($2 = "") print似“np"或"*locked* ”的口令字串來(lái)鎖定賬$1 ' /etc/shadow號(hào)3 檢查除了 root以外是否還有其它賬號(hào)的 UID為0:任彳BJUID為0的賬號(hào)在系統(tǒng)上都具有超級(jí)用awk -F: '($3 = 0) print $1 '戶權(quán)限./etc/passwd4檢查root用戶的$PATH中是否有.或者所有用戶/組用戶可寫 的名目超級(jí)用戶的$PATH設(shè)置中如果存在這些名 目可能會(huì)導(dǎo)致超級(jí)用戶誤執(zhí)行一個(gè)特洛伊 木馬5刪除屬于root用戶的具有潛在危險(xiǎn)的文件：rm -f /.rshosts /.netrc/root/.rshosts /root/.netrc/.rhost, /.netrc 或 /root/.rhost , /root/.netrc 文件都具有潛在的危險(xiǎn)6用戶的h