Linux系統(tǒng)安全加固手冊_第1頁
Linux系統(tǒng)安全加固手冊_第2頁
Linux系統(tǒng)安全加固手冊_第3頁
Linux系統(tǒng)安全加固手冊_第4頁
Linux系統(tǒng)安全加固手冊_第5頁
已閱讀5頁,還剩9頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、密 級:商業(yè)秘密LINUX評估加固手冊安氏領(lǐng)信科技發(fā)展有限公司二二二二二二年二月目 錄1、系統(tǒng)補丁的安裝32、帳戶、口令策略的加固321、刪除或禁用系統(tǒng)無用的用戶322、口令策略的設(shè)置423、系統(tǒng)是否允許root遠(yuǎn)程登錄424、root的環(huán)境變量設(shè)置53、網(wǎng)絡(luò)與服務(wù)加固531、rc?.d中的服務(wù)的設(shè)置532、/etc/inetd.conf中服務(wù)的設(shè)置633、NFS的配置834、SNMP的配置835、Sendmail的配置936、DNS(Bind)的配置937、網(wǎng)絡(luò)連接訪問控制的設(shè)置94、信任主機的設(shè)置105、日志審核的設(shè)置116、物理安全加固117、系統(tǒng)內(nèi)核參數(shù)的配置128、選裝安全工具131

2、、系統(tǒng)補丁的安裝RedHat使用RPM包實現(xiàn)系統(tǒng)安裝的管理,系統(tǒng)沒有單獨補丁包(Patch)。如果出現(xiàn)新的漏洞,則發(fā)布一個新的RPM包,版本號(Version)不變,Release做相應(yīng)的調(diào)整。因此檢查RH Linux的補丁安裝情況只能列出所有安裝的軟件,和RH網(wǎng)站上發(fā)布的升級軟件對照,檢查其中的變化。通過訪問官方站點下載最新系統(tǒng)補丁,RedHat公司補丁地址如下:rpm -qa 查看系統(tǒng)當(dāng)前安裝的rpm包rpm -ivh package1 安裝RPM包rpm -Uvh package1 升級RPM包rpm -Fvh package1 升級RPM包(如果原先沒有安裝,則不安裝)2、帳戶、口令策

3、略的加固21、刪除或禁用系統(tǒng)無用的用戶詢問系統(tǒng)管理員,確認(rèn)其需要使用的帳戶如果下面的用戶及其所在的組經(jīng)過確認(rèn)不需要,可以刪除。lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系統(tǒng)帳號的shell變量,例如uucp,ftp和news等,還有一些僅僅需要FTP功能的帳號,檢查并取消/bin/bash或者/bin/sh等Shell變量??梢栽?etc/passwd中將它們的shell變量設(shè)為/bin/false或者/dev/null等。也可以通過passwd groupdel 來鎖定用戶、刪除組。passwd -l

4、user1鎖定user1用戶passwd -u user1 解鎖user1用戶groupdel lp 刪除lp組。22、口令策略的設(shè)置RedHat Linux總體口令策略的設(shè)定分兩處進(jìn)行,第一部分是在/etc/login.defs文件中定義,其中有四項相關(guān)內(nèi)容:PASS_MAX_DAYS 密碼最長時效(天)PASS_MIN_DAYS 密碼最短時效(天)PASS_MIN_LEN 最短密碼長度PASS_WARN_AGE 密碼過期前PASS_WARN_AGE天警告用戶編輯/etc/login.defs文件,設(shè)定:PASS_MAX_DAYS=90PASS_MIN_DAYS=0PASS_MIN_LEN=

5、8PASS_WARN_AGE=30另外可以在/etc/pam.d/system-auth文件中的cracklib項中定義口令強度:difokminlendcreditucreditlcreditocredit使用vi編輯/etc/pam.d/system-auth文件,設(shè)置cracklib的屬性#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required /lib/security/pam_env.soauth suffi

6、cient /lib/security/pam_unix.so likeauth nullokauth required /lib/security/pam_deny.soaccount required /lib/security/pam_access.soaccount required /lib/security/pam_unix.sopassword required /lib/security/pam_cracklib.so retry=3 type= difok=4 minlen=12 dcredit=1 ucredit=2 lcredit=2 ocredit=1password

7、sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadowpassword required /lib/security/pam_deny.sosession required /lib/security/pam_limits.sosession required /lib/security/pam_unix.so23、系統(tǒng)是否允許root遠(yuǎn)程登錄RedHat在文件/etc/securetty中定義root用戶可以登錄的端口;默認(rèn)其中只包含vc/1-11和tty1-11,即root用戶只能從本地登錄。24、root的環(huán)境

8、變量設(shè)置系統(tǒng)的環(huán)境變量在下列文件中設(shè)置:Bash:/etc/profile/.bash_profile/.bash_login/.profile/.bashrc/etc/bashrcTcsh/Csh:/etc/csh.cshrc/etc/csh.login/.tcshrc或/.cshrc/.history/.login/.cshdirsprintenv 查看用戶的環(huán)境變量檢查環(huán)境變量PATH,確保其中不包含本地目錄(.)。3、網(wǎng)絡(luò)與服務(wù)加固31、rc?.d中的服務(wù)的設(shè)置RedHat的服務(wù)主要由/etc/inittab和/etc/rc?.d/S*文件啟動,事實上,/etc/inittab的主要任

9、務(wù)是為每一個runlevel指定啟動文件,從而啟動/etc/rc?.d/S*文件。例如,在默認(rèn)的運行級別3中系統(tǒng)將運行/etc/rc3.d/目錄中所有S打頭的文件。runlevel 檢查當(dāng)前運行級別(第一項是pre-runlevel,第二項是當(dāng)前的runlevel)chkconfig list 檢查所有級別中啟動的服務(wù)情況chkconfig list |grep 3:on 檢查某一級別(例如級別3)中啟動的服務(wù)chkconfig sendmail off 將sendmail從啟動目錄中除去檢查以下服務(wù),如果不需要,關(guān)閉之在(/etc/inittab中注釋掉);否則,參照3.3 3.4 3.5

10、3.6進(jìn)行配置:portmap(啟動rpcbind/portmap服務(wù))nfslock (啟動rpc.lockd和rpc.statd)httpd (啟動apache)named (啟動bind)sendmail (啟動sendmail)smb (啟動samba服務(wù))snmpd (啟動snmp服務(wù))snmptrapd (啟動snmp trap服務(wù))nfs (啟動nfs服務(wù))32、/etc/inetd.conf中服務(wù)的設(shè)置由INETD啟動的服務(wù)在文件/etc/inetd.conf定義。建議關(guān)閉由inetd啟動的所有服務(wù);如果有管理上的需要,可以打開telnetd、ftpd、rlogind、rshd

11、等服務(wù)??蓮?etc/inetd.conf中刪除的服務(wù)(在/etc/inetd.conf中注釋掉):shellkshellloginkloginexeccomsatuucpbootpsfingersystatnetstattftptalkntalkrpc.rquotadrpc.rexdrpc.rusersdrpc.ttdbserverrpc.spraydrpc.cmsdrpc.rwalldrpc.pcnfsdrpc.rstatdrpc.ssalldechodiscardchargendaytimetimecomsatwebsminstsrvimap2pop3kfclixmqueryRedHat

12、 Linux 7.3以后使用了新版本的xinetd取代了老版本的inetd,在配置方面最大的不同在于使用了/etc/xinetd.d/配置目錄取代了/etc/inetd.conf配置文件。每一項服務(wù)/etc/xinetd.d/中都有一個相應(yīng)的配置文件,例如telnetd的配置文件是/etc/xinetd.d/telnet。查看每一個配置文件disable屬性的定義(yes/no)就可以確定該服務(wù)是否啟動(默認(rèn)是yes)。使用vi編輯/etc/xinetd.d/中的配置文件,在不需要啟動的服務(wù)配置文件中添加disable=yes。建議關(guān)閉所有服務(wù),如果管理需要,則可以打開telnetd和ftpd

13、服務(wù)。使用vi編輯/etc/xinetd.d/rlogin文件,控制rlogin服務(wù)的啟動狀態(tài)# default: on# description: rlogind is the server for the rlogin(1) program. The server # provides a remote login facility with authentication based on # privileged port numbers from trusted hosts.service login disable = yes socket_type = stream wait =

14、no user = root log_on_success += USERID log_on_failure += USERID server = /usr/sbin/in.rlogind33、NFS的配置NFS系統(tǒng)的組成情況:nfsd NFS服務(wù)進(jìn)程,運行在服務(wù)器端,處理客戶的讀寫請求mountd 加載文件系統(tǒng)服務(wù)進(jìn)程,運行在服務(wù)器端,處理客戶加載nfs文件系統(tǒng)的請求/etc/exports 定義服務(wù)器對外輸出的NFS文件系統(tǒng)/etc/fstab 定義客戶端加載的NFS文件系統(tǒng)如果系統(tǒng)不需要NFS服務(wù),可以使用chkconfig關(guān)閉NFS服務(wù);如果不能關(guān)閉,使用showmount -e或直接

15、查看/etc/exports文件檢查輸出的文件系統(tǒng)是否必要,以及屬性是否妥當(dāng)(readonly等)。chkconfig -list nfs 顯示NFS服務(wù)是否在系統(tǒng)啟動時啟動/etc/init.d/nfs start|stop 啟動|停止nfs服務(wù)showmount -e 顯示本機輸出的NFS文件系統(tǒng)mount 顯示本機加載的文件系統(tǒng)(包括NFS文件系統(tǒng))34、SNMP的配置如果系統(tǒng)不需要SNMP服務(wù),可以關(guān)閉該服務(wù)(使用chkconfig命令);如果不能關(guān)閉,需要在/etc/snmpd.conf中指定不同的community name。chkconfig -list snmpd顯示snmpd

16、服務(wù)是否在系統(tǒng)啟動時啟動chkconfig snmpd off 將snmpd服務(wù)從啟動目錄中去掉/etc/init.d/snmpd start|stop 啟動|停止snmpd服務(wù)35、Sendmail的配置如果系統(tǒng)不需要Sendmail服務(wù),可以關(guān)閉該服務(wù)(使用chkconfig命令);如果不能關(guān)閉,將sendmail服務(wù)升級到最新,并在其配置文件/etc/sendmail.cf中指定不同banner(參見示例)。chkconfig -list sendmail顯示sendmail服務(wù)是否在系統(tǒng)啟動時啟動chkconfig sendmail off 將sendmail服務(wù)從啟動目錄中去掉/et

17、c/init.d/sendmail start|stop 啟動|停止sendmail服務(wù)36、DNS(Bind)的配置如果系統(tǒng)不需要DNS服務(wù),可以關(guān)閉該服務(wù)(使用chkconfig命令);如果不能關(guān)閉,將DNS服務(wù)升級到最新,并在其配置文件修改版本號(參見示例)。chkconfig -list named顯示named服務(wù)是否在系統(tǒng)啟動時啟動chkconfig named off 將named服務(wù)從啟動目錄中去掉/etc/init.d/named start|stop 啟動|停止named服務(wù)37、網(wǎng)絡(luò)連接訪問控制的設(shè)置RedHat 7.3以后版本中存在以下集中方式可以對網(wǎng)絡(luò)連接設(shè)置訪問控制

18、:1、 使用iptable或ipchains進(jìn)行網(wǎng)絡(luò)訪問控制;參見iptables和ipchains的manual。2、 使用xinetd本身的訪問控制機制對xinetd啟動的服務(wù)進(jìn)行網(wǎng)絡(luò)訪問控制;xinetd可以在其配置文件中使用only_from和no_access指令限制可以訪問該服務(wù)的主機,tcpd的配置文件是/etc/hosts.allow和/etc/hosts.deny;具體配置方法參見manual。使用xinetd自帶的訪問控制機制控制對telnet服務(wù)的訪問# default: on# description: The telnet server serves telnet s

19、essions; it uses # unencrypted username/password pairs for authentication.service telnet disable = no flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID # deny access from host freebsd if uncomment the following line# no_access = freebsd3、

20、 使用pam系統(tǒng)中的pam_access模塊提供的訪問控制機制;配置文件是/etc/security/access.conf,該文件中提供了該文件的語法。使用pam_access進(jìn)行網(wǎng)絡(luò)訪問控制在pam文件中添加pam_access模塊(以system-auth文件為例)#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required /lib/security/pam_env.soauth sufficient /lib/s

21、ecurity/pam_unix.so likeauth nullokauth required /lib/security/pam_deny.soaccount required /lib/security/pam_access.soaccount required /lib/security/pam_unix.sopassword required /lib/security/pam_cracklib.so retry=3 type= difok=4 minlen=12 dcredit=1 ucredit=2 lcredit=2 ocredit=1password sufficient /

22、lib/security/pam_unix.so nullok use_authtok md5 shadowpassword required /lib/security/pam_deny.sosession required /lib/security/pam_limits.sosession required /lib/security/pam_unix.so4、信任主機的設(shè)置參照3.2(/etc/inetd.conf中服務(wù)的啟動情況)檢查rlogin、rsh、rexec服務(wù)是否啟動。如果啟動,查看配置文件/etc/hosts.equiv(全局配置文件)和/.rhosts(單獨用戶的配置文

23、件)文件,檢查文件是否配置妥當(dāng)。建議關(guān)閉R系列服務(wù)(rlogin、rsh、rexec);如果不能關(guān)閉,則需要檢查配置文件,確保沒有失當(dāng)?shù)呐渲茫ú荒艽嬖凇?”或”+ +”,如果存在,咨詢系統(tǒng)管理員是為何這樣配置)。5、日志審核的設(shè)置對ssh、su登錄日志進(jìn)行記錄編輯syslogd配置文件# vi /etc/syslog.conf 加入以下信息,使和登陸驗證有關(guān)的日志信息記錄到secure文件中# The authpriv file has restricted access.authpriv.* /var/log/secure重新啟動syslogd:# /etc/rc.d/init.d/sysl

24、og restart 6、物理安全加固啟動LILO時需要密碼第一步:編輯lilo.conf文件(vi /etc/lilo.conf),加入或改變這三個參數(shù)(加#的部分): boot=/dev/hdaprompttimeout=00 # 把該行改為00,系統(tǒng)啟動時將不再等待,而直接啟動LINUXmessage=/boot/messagelinear default=linux restricted # 加入該行 password= is-0ne # 加入該行并設(shè)置自己的密碼(明文) image=/boot/vmlinuz- label=linux root=/dev/hda6 read-only

25、 第二步:因為“/etc/lilo.conf”文件中包含明文密碼,所以要把它設(shè)置為root權(quán)限讀取。 # chmod 0600 /etc/lilo.conf 第三步:更新系統(tǒng),以便對“/etc/lilo.conf”文件做的修改起作用。 # /sbin/lilo -v 第四步:使用“chattr”命令使“/etc/lilo.conf”文件不可改變。 # chattr +i /etc/lilo.conf 這樣可以在一定程度上防止對“/etc/lilo.conf”任何改變(意外或其他原因)最后將/etc/lilo.conf文件權(quán)限改為600# chmod 600 /etc/lilo.confpass

26、word用于系統(tǒng)啟動時應(yīng)當(dāng)輸入密碼;restricted用于命令行啟動系統(tǒng)時(如:進(jìn)入單用戶模式)需要輸入密碼。7、系統(tǒng)內(nèi)核參數(shù)的配置RedHat Linux使用sysctl命令控制內(nèi)核參數(shù),并可以在/etc/sysctl.conf中設(shè)置啟動的內(nèi)核參數(shù)。比較重要的網(wǎng)絡(luò)安全參數(shù)有:=0 不接收源路由ip包=0 不發(fā)送重定向ip包=0 不接收重定向ip包=1 忽略icmp廣播包net.ipv4.ip_forward=0 禁止ip轉(zhuǎn)發(fā)sysctl -a 查看所有的內(nèi)核參數(shù)sysctl -w net.ipv4.ip_forward=0 禁止ip轉(zhuǎn)發(fā)使用vi編輯/etc/sysctl.conf文件,添加網(wǎng)絡(luò)安全參數(shù)# For bina

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論