HPUX系統(tǒng)安全加固手冊(cè)

1、 系統(tǒng)安全加固手冊(cè)1 帳戶(hù)安全配置要求1.1 創(chuàng)建/etc/shadow影子口令文件配置項(xiàng)名稱(chēng)設(shè)置影子口令模式檢查方法執(zhí)行：#more /etc/shadow查看是否存在該文件操作步驟1、執(zhí)行備份：#cp p /etc/passwd /etc/passwd_bak2、切換到影子口令模式：#pwconv回退操作執(zhí)行：#pwunconv#cp /etc/passwd_bak /etc/passwd 風(fēng)險(xiǎn)說(shuō)明系統(tǒng)默認(rèn)使用標(biāo)準(zhǔn)口令模式，切換不成功可能導(dǎo)致整個(gè)用戶(hù)管理失效1.2 建立多帳戶(hù)組，將用戶(hù)賬號(hào)分配到相應(yīng)的帳戶(hù)組配置項(xiàng)名稱(chēng)建立多帳戶(hù)組，將用戶(hù)賬號(hào)分配到相應(yīng)的帳戶(hù)組檢查方法1、執(zhí)行：#more /

2、etc/group #more /etc/shadow查看每個(gè)組中的用戶(hù)或每個(gè)用戶(hù)屬于那個(gè)組2、確認(rèn)需要修改用戶(hù)組的用戶(hù)操作步驟1、執(zhí)行備份：#cp p /etc/group /etc/group_bak2、修改用戶(hù)所屬組：# usermod g group username回退操作執(zhí)行：#cp /etc/group_bak /etc/group風(fēng)險(xiǎn)說(shuō)明修改用戶(hù)所屬組可能導(dǎo)致某些應(yīng)用無(wú)法正常運(yùn)行1.3 刪除或鎖定可能無(wú)用的帳戶(hù)配置項(xiàng)名稱(chēng)刪除或鎖定可能無(wú)用的帳戶(hù)檢查方法1、執(zhí)行：#more /etc/passwd查看是否存在以下可能無(wú)用的帳戶(hù)：hpsmh、named、uucp、nuucp、adm

3、、daemon、bin、lp2、與管理員確認(rèn)需要鎖定的帳戶(hù)操作步驟1、執(zhí)行備份：#cp p /etc/passwd /etc/passwd_bak2、鎖定無(wú)用帳戶(hù)：#passwd -l username回退操作執(zhí)行：#cp /etc/passwd_bak /etc/passwd 風(fēng)險(xiǎn)說(shuō)明鎖定某些用戶(hù)可能導(dǎo)致某些應(yīng)用無(wú)法正常運(yùn)行1.4 刪除可能無(wú)用的用戶(hù)組配置項(xiàng)名稱(chēng)刪除可能無(wú)用的用戶(hù)組檢查方法1、執(zhí)行：#more /etc/group查看是否存在以下可能無(wú)用的用戶(hù)組：lp nuucp nogroup2、與管理員確認(rèn)需要?jiǎng)h除的用戶(hù)組操作步驟1、執(zhí)行備份：#cp p /etc/group /etc/

4、group_bak2、刪除無(wú)用的用戶(hù)組：#groupdel groupname回退操作執(zhí)行：#cp /etc/group_bak /etc/group風(fēng)險(xiǎn)說(shuō)明刪除某些組可能導(dǎo)致某些應(yīng)用無(wú)法正常運(yùn)行1.5 檢查是否存在空密碼的帳戶(hù)配置項(xiàng)名稱(chēng)檢查是否存在空密碼的帳戶(hù)檢查方法執(zhí)行下列命令，檢查是否存在空密碼的帳戶(hù)logins p應(yīng)無(wú)回結(jié)果操作步驟1、執(zhí)行備份：#cp p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak2、鎖定空密碼帳戶(hù)或使用passwd命令設(shè)置復(fù)雜密碼#passwd l username回退操作執(zhí)行：#cp

5、p /etc/passwd_bak /etc/passwd#cp -p /etc/shadow_bak /etc/shadow風(fēng)險(xiǎn)說(shuō)明鎖定某些帳戶(hù)可能導(dǎo)致某些應(yīng)用無(wú)法正常運(yùn)行1.6 設(shè)置口令策略滿(mǎn)足復(fù)雜度要求配置項(xiàng)名稱(chēng)設(shè)置口令策略滿(mǎn)足復(fù)雜度要求檢查方法1、執(zhí)行下列命令，檢查是否存在空密碼的帳戶(hù)#logins p應(yīng)無(wú)返回結(jié)果2、執(zhí)行：#more /etc/default/security檢查是否滿(mǎn)足以下各項(xiàng)復(fù)雜度參數(shù)：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASSWOR

6、D_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1操作步驟1、執(zhí)行備份：#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、執(zhí)行下列命令，編輯/etc/default/security#vi /etc/default/security修改以下各項(xiàng)復(fù)雜度參數(shù)：MIN_PASSWORD_LENGTH=6PASSWORD_MIN_UPPER_CASE_CHARS=1PASSWORD_MIN_LOWER_CASE_CHARS=1PASS

7、WORD_MIN_DIGIT_CHARS=1PASSWORD_MIN_SPECIAL_CHARS=1回退操作執(zhí)行：#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd風(fēng)險(xiǎn)說(shuō)明可能導(dǎo)致非root用戶(hù)修改自己的密碼時(shí)多次不成功1.7 設(shè)置帳戶(hù)口令生存周期配置項(xiàng)名稱(chēng)設(shè)置帳戶(hù)口令生存周期檢查方法執(zhí)行：#more /etc/default/security查看是否存在以下各項(xiàng)參數(shù)：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28操作步驟1、執(zhí)行備份：#cp p /

8、etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、執(zhí)行下列命令，編輯/etc/default/security#vi /etc/default/security修改以下各項(xiàng)參數(shù)：PASSWORD_MAXDAYS=90PASSWORD_WARNDAYS=28回退操作執(zhí)行：#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd風(fēng)險(xiǎn)說(shuō)明可能在密碼過(guò)期后影響正常使用及維護(hù)1.8 設(shè)定

9、密碼歷史，不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令配置項(xiàng)名稱(chēng)應(yīng)配置設(shè)備，使用戶(hù)不能重復(fù)使用最近5次（含5次）內(nèi)已使用的口令檢查方法執(zhí)行：#more /etc/default/security查看是否存在以下參數(shù)：PASSWORD_HISTORY_DEPTH=5操作步驟1、執(zhí)行備份：#cp p /etc/default/security /etc/default/security_bak#cp p /etc/passwd /etc/passwd_bak2、執(zhí)行下列命令，編輯/etc/default/security#vi /etc/default/security修改以下參數(shù)：PASSWOR

10、D_HISTORY_DEPTH=5回退操作執(zhí)行：#cp /etc/default/security_bak /etc/default/security#cp /etc/passwd_bak /etc/passwd風(fēng)險(xiǎn)說(shuō)明低風(fēng)險(xiǎn)1.9 限制root用戶(hù)遠(yuǎn)程登錄配置項(xiàng)名稱(chēng)root用戶(hù)遠(yuǎn)程登錄限制檢查方法執(zhí)行：#more /etc/securetty檢查是否有下列行：Console執(zhí)行：#more /opt/ssh/etc/sshd_config檢查是否有PermitRootLogin no操作步驟1、執(zhí)行備份：#cp p /etc/securetty / etc/securetty_bak#cp

11、-p /opt/ssh/etc/sshd_config /opt/ssh/etc/sshd_config_bak2、新建一個(gè)普通用戶(hù)并設(shè)置高強(qiáng)度密碼：#useradd username#passwd username3、禁止root用戶(hù)遠(yuǎn)程登錄系統(tǒng)：#vi /etc/securetty去掉console前面的注釋?zhuān)４嫱顺?vi /opt/ssh/etc/sshd_config將PermitRootLogin后的yes改為no回退操作執(zhí)行：#cp /etc/securetty_bak /etc/securetty#cp -p /opt/ssh/etc/sshd_config_bak /opt/

12、ssh/etc/sshd_config風(fēng)險(xiǎn)說(shuō)明嚴(yán)重改變維護(hù)人員操作習(xí)慣，必須新建一個(gè)能夠執(zhí)行交互式登錄的普通用戶(hù)并能夠通過(guò)su提升權(quán)限，可能帶來(lái)新的威脅1.10 檢查passwd、group文件權(quán)限設(shè)置配置項(xiàng)名稱(chēng)檢查passwd、group文件權(quán)限設(shè)置檢查方法執(zhí)行：#ls l /etc/passwd /etc/group操作步驟1、執(zhí)行備份：#cp p /etc/passwd /etc/passwd_bak#cp p /etc/group /etc/group_bak2、修改文件權(quán)限：#chmod 644 /etc/passwd#chmod 644 /etc/group回 退執(zhí)行：#cp /e

13、tc/passwd_bak /etc/passwd #cp /etc/group_bak /etc/group 風(fēng)險(xiǎn)說(shuō)明權(quán)限設(shè)置不當(dāng)可能導(dǎo)致無(wú)法執(zhí)行用戶(hù)管理，并可能造成某些應(yīng)用運(yùn)行異常1.11 系統(tǒng)umask設(shè)置配置項(xiàng)名稱(chēng)系統(tǒng)umask設(shè)置檢查方法執(zhí)行：#more /etc/profile檢查系統(tǒng)umask值操作步驟1、執(zhí)行備份：#cp -p /etc/profile /etc/profile_bak2、修改umask設(shè)置：#vi /etc/profile將umask值修改為027，保存退出回退操作執(zhí)行：#cp /etc/profile_bak /etc/profile風(fēng)險(xiǎn)說(shuō)明umask設(shè)置不

14、當(dāng)可能導(dǎo)致某些應(yīng)用無(wú)法正確自動(dòng)創(chuàng)建目錄或文件，從而運(yùn)行異常2 訪問(wèn)、認(rèn)證安全配置要求2.1 遠(yuǎn)程登錄取消telnet采用ssh配置項(xiàng)名稱(chēng)遠(yuǎn)程登錄取消telnet采用ssh檢查方法查看SSH、telnet服務(wù)狀態(tài)：#ps elf | grep ssh#ps elf | grep telnetSSH服務(wù)狀態(tài)查看結(jié)果為：online telnet服務(wù)狀態(tài)查看結(jié)果為：disabled操作步驟1、備份#cp p /etc/inetd.conf /etc/inetd.conf_bak2、修改/etc/inetd.conf文件，將telnet行注釋掉#telnet stream tcp nowait roo

15、t /usr/lbin/telnetd telnetd3、安裝ssh軟件包，通過(guò)#/opt/ssh/sbin/sshd start來(lái)啟動(dòng)SSH?；赝瞬僮鲌?zhí)行：#cp p /etc/inetd.conf_bak /etc/inetd.conf啟動(dòng)telnet#/usr/lbin/telnetd start停止SSH#/opt/ssh/sbin/sshd stop風(fēng)險(xiǎn)說(shuō)明影響維護(hù)人員操作習(xí)慣，需要重啟服務(wù)2.2 限制系統(tǒng)帳戶(hù)FTP登錄配置項(xiàng)名稱(chēng)限制root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm等系統(tǒng)帳戶(hù)FTP登錄檢查方法執(zhí)行：#c

16、at /etc/ftpd/ftpusers查看具體的禁止FTP登陸系統(tǒng)的用戶(hù)名單操作步驟1、執(zhí)行備份：#cp -p /etc/ftpd/ftpusers /etc/ftpd/ftpusers_bak2、禁止用戶(hù)FTP登錄系統(tǒng)：#vi /etc/ftpd/ftpusers每一個(gè)帳戶(hù)一行，添加以下帳戶(hù)禁止FTP登錄root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm回退操作執(zhí)行：#cp /etc/ftpd/ftpusers_bak /etc/ftpd/ftpusers風(fēng)險(xiǎn)說(shuō)明禁止某些帳戶(hù)登錄FTP可能導(dǎo)致某些應(yīng)用無(wú)法正常運(yùn)行2.3 配置

17、允許訪問(wèn)inetd服務(wù)的IP范圍或主機(jī)名配置項(xiàng)名稱(chēng)配置允許訪問(wèn)inetd服務(wù)的IP范圍或主機(jī)名檢查方法執(zhí)行：#cat /var/adm/inetd.sec查看有無(wú)類(lèi)似login deny testlan配置操作步驟1、執(zhí)行備份：#cp -p /var/adm/inetd.sec /var/adm/inetd.sec_bak2、添加允許訪問(wèn)inetd服務(wù)的IP范圍或主機(jī)名：#vi /var/adm/inetd.sec按照如下格式添加IP范圍或主機(jī)名service name allow | deny hostaddrs | hostnam

18、es |netaddrs | netnames 回退操作執(zhí)行：#cp /var/adm/inetd.sec_bak /var/adm/inetd.sec風(fēng)險(xiǎn)說(shuō)明需確認(rèn)IP信任范圍，設(shè)置不當(dāng)會(huì)導(dǎo)致網(wǎng)絡(luò)服務(wù)通信異常2.4 禁止除root外帳戶(hù)使用at/cron配置項(xiàng)名稱(chēng)禁止除root外帳戶(hù)使用at/cron檢查方法執(zhí)行：# cd /var/adm/cron#cat cron.allow#cat at.allow查看是否存在root；執(zhí)行：#cat cron.deny#cat at.deny檢查是否存在cron.deny和at.deny文件，若存在，應(yīng)刪除。操作步驟1、 執(zhí)行備份# cd /var/

19、adm/cron#cp -p cron.deny cron.deny_bak#cp -p at.deny at.deny_bak#cp -p cron.allow cron.allow_bak#cp -p at.allow at.allow _bak2、 添加root到cron.allow和at.allow，并刪除cron.deny和at.deny。#cd /var/adm/cron#rm -f cron.deny at.deny#echo root >cron.allow#echo root >at.allow#chown root:sys cron.allow at.allow

20、#chmod 400 cron.allow at.allow回退操作# cd /var/adm/cron#cp -p cron.deny_bak cron.deny#cp -p at.deny_bak at.deny#cp -p cron.allow_bak cron.allow#cp -p at.allow_bak at.allow風(fēng)險(xiǎn)說(shuō)明除root外帳戶(hù)不能使用at/cron，可能影響某些應(yīng)用。2.5 設(shè)定連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次（不含6次）鎖定該賬號(hào)配置項(xiàng)名稱(chēng)配置當(dāng)用戶(hù)連續(xù)認(rèn)證失敗次數(shù)超過(guò)6次（不含6次），鎖定該用戶(hù)使用的賬號(hào)。檢查方法執(zhí)行：#cat /etc/default/secur

21、ity檢查是否存在AUTH_MAXTRIES=6操作步驟1、 執(zhí)行備份#cp -p /etc/default/security /etc/default/security_bak2、 執(zhí)行下列命令，設(shè)置最大登錄認(rèn)證重試次數(shù)鎖定帳戶(hù)為6次echo AUTH_MAXTRIES=6 >> /etc/default/security回退操作#cp -p /etc/default/security_bak /etc/default/security風(fēng)險(xiǎn)說(shuō)明root賬號(hào)也在鎖定的限制范圍內(nèi)，一旦root被鎖定，就需要光盤(pán)引導(dǎo)，因此該配置要慎用。3 文件系統(tǒng)安全配置要求3.1 重要目錄和文件的權(quán)

22、限設(shè)置配置項(xiàng)名稱(chēng)重要目錄和文件的權(quán)限設(shè)置檢查方法執(zhí)行以下命令檢查目錄和文件的權(quán)限設(shè)置情況：#ls l /etc/#ls l /tmp/#ls l /etc/default/#ls -l /etc/rc.config.d/操作步驟1、執(zhí)行備份：使用cp命令備份需要修改權(quán)限的文件或目錄2、權(quán)限修改：使用chmod命令修改文件或目錄權(quán)限回退操作使用cp命令恢復(fù)被修改權(quán)限的文件或目錄或使用chmod命令恢復(fù)權(quán)限風(fēng)險(xiǎn)說(shuō)明修改某些重要的配置文件的權(quán)限可能導(dǎo)致系統(tǒng)功能或應(yīng)用異常3.2 檢查沒(méi)有所有者的文件或目錄配置項(xiàng)名稱(chēng)檢查沒(méi)有所有者的文件或目錄檢查方法執(zhí)行：#find / ( -nouser -o -no

23、group ) -exec ls -al ;咨詢(xún)管理員找到的文件或目錄是否應(yīng)用所需操作步驟1、執(zhí)行備份：使用cp命令備份沒(méi)有所有者的文件或目錄2、使用chmod命令添加屬主或刪除沒(méi)有所有者的文件或目錄：#rm rf filename回退操作使用cp命令恢復(fù)被刪除的沒(méi)有所有者的文件或目錄風(fēng)險(xiǎn)說(shuō)明執(zhí)行檢查會(huì)大量消耗系統(tǒng)資源，需要確認(rèn)無(wú)所有者的文件的具體用途4 網(wǎng)絡(luò)服務(wù)安全配置要求4.1 禁止NIS/NIS+服務(wù)以守護(hù)方式運(yùn)行配置項(xiàng)名稱(chēng)禁止NIS/NIS+服務(wù)以守護(hù)方式運(yùn)行Network Information System檢查方法執(zhí)行：#more 查看該文件中是否存在以下參數(shù)：NIS_MASTER

24、_SERVER=0NIS_SLAVE_SERVER=0NIS_CLIENT=0NISPLUS_SERVER=0NISPLUS_CLIENT=0操作步驟1、執(zhí)行備份：#cp -p _bak2、編輯文件，設(shè)置參數(shù)：#ch_rc -a -p NIS_MASTER_SERVER=0 -p NIS_SLAVE_SERVER=0 -p NIS_CLIENT=0 -p NISPLUS_SERVER=0 回退操作#cp -p _bak 風(fēng)險(xiǎn)說(shuō)明NIS/NIS+服務(wù)無(wú)法自動(dòng)啟動(dòng)4.2 禁用打印服務(wù)以守護(hù)方式運(yùn)行配置項(xiàng)名稱(chēng)禁止打印服務(wù)以守護(hù)方式運(yùn)行檢查方法執(zhí)行：#more 查看該文件中是否存在XPRINTSERV

25、ERS="''"#more 查看該文件中是否存在LP=0#more 查看該文件中是否存在PD_CLIENT=0操作步驟1、執(zhí)行備份：#cp -p _bak#cp -p _bak#cp -p pd pd_bak2、設(shè)置參數(shù)：#回退操作#cp -p _bak 風(fēng)險(xiǎn)說(shuō)明打印服務(wù)無(wú)法自動(dòng)啟動(dòng)4.3 禁用SENDMAIL服務(wù)以守護(hù)方式運(yùn)行配置項(xiàng)名稱(chēng)禁止SENDMAIL服務(wù)以守護(hù)方式運(yùn)行檢查方法執(zhí)行：#more 查看該文件中是否存在SENDMAIL_SERVER=0操作步驟1、執(zhí)行備份：#cp -p _bak#cp -p /var/spool/cron/crontabs

26、/root /var/spool/cron/crontabs/root_bak2、設(shè)置參數(shù)：#cd /var/spool/cron/crontabs #crontab -l >root.tmp #echo '0 * * * * /usr/lib/sendmail -q' >>root.tmp #crontab root.tmp #rm -f root.tmp回退操作#cp -p _bak#cp -p /var/spool/cron/crontabs/root /var/spool/cron/crontabs/root_bak風(fēng)險(xiǎn)說(shuō)明導(dǎo)致無(wú)法收發(fā)郵件，需確認(rèn)服務(wù)

27、器用途4.4 禁用不必要的標(biāo)準(zhǔn)啟動(dòng)服務(wù)配置項(xiàng)名稱(chēng)禁用不必要的標(biāo)準(zhǔn)啟動(dòng)服務(wù)檢查方法檢查SNAplus2服務(wù)，執(zhí)行：#more snaplus2查看該文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0檢查多播路由服務(wù)，執(zhí)行：#more 查看該文件中是否存在MROUTED=0、RWHOD=0、DDFA=0、START_RBOOTD=0檢查DFS分布式文件系統(tǒng)服務(wù)，執(zhí)行：#more dfs查看該文件中是否存在DCE_KRPC=0、DFS_CORE=0、DFS_CLIENT=0 、DFS_SERVER=0、DFS_EPISODE=0、EPIIN

28、IT=0、DFSEXPORT=0、BOSSERVER=0、DFSBIND=0、FXD=0、 MEMCACHE=0、DFSGWD=0、DISKCACHEFORDFS=0檢查逆地址解析服務(wù)，執(zhí)行：#more /netconf查看該文件中是否存在RARPD=0、RDPD=0檢查響應(yīng)PTY（偽終端）請(qǐng)求守護(hù)進(jìn)程，執(zhí)行：#more 查看該文件中是否存在PTYDAEMON_START=0檢查響應(yīng)VT（通過(guò)LAN登錄其他系統(tǒng)）請(qǐng)求守護(hù)進(jìn)程，執(zhí)行：#more vt查看該文件中是否存在VTDAEMON_START=0檢查域名守護(hù)進(jìn)程服務(wù)，執(zhí)行：#more 查看該文件中是否存在NAMED=0檢查SNMP代理進(jìn)程服

29、務(wù)，執(zhí)行：#more peer.snmpd查看該文件中是否存在PEER_SNMPD_START=0檢查授權(quán)管理守護(hù)進(jìn)程服務(wù)，執(zhí)行：#more 查看該文件中是否存在START_I4LMD=0檢查SNAplus2服務(wù)，執(zhí)行：#more snaplus2查看該文件中是否存在START_SNAPLUS=0、START_SNANODE=0、START_SNAINETD=0檢查X字體服務(wù)，執(zhí)行：#more 查看該文件中是否存在RUN_X_FONT_SERVER=0檢查語(yǔ)音服務(wù)，執(zhí)行：#more 查看該文件中是否存在AUDIO_SERVER=0檢查SLSD（Single-Logical-Screen-Dae

30、mon）服務(wù)，執(zhí)行：#more 查看該文件中是否存在SLSD_DAEMON=0檢查SAMBA服務(wù)，執(zhí)行：#more 查看該文件中是否存在RUN_SAMBA=0檢查CIFS客戶(hù)端服務(wù)，執(zhí)行：#more 查看該文件中是否存在RUN_CIFSCLIENT=0檢查NFS啟動(dòng)服務(wù)，執(zhí)行：#more 查看該文件中是否存在NFS_SERVER=0、NFS_CLIENT=0檢查Netscape FastTrack Server服務(wù)，執(zhí)行：#more 查看該文件中是否存在NS_FTRACK=0檢查APACHE服務(wù)，執(zhí)行：#more 查看該文件中是否存在APACHE_START=0檢查基于RPC的服務(wù)，執(zhí)行：#l

31、s /sbin/rc2.d/.NOS400nfs.core查看是否存在該文件操作步驟1、執(zhí)行備份：使用cp命令備份需要修改的文件2、設(shè)置參數(shù)：執(zhí)行下列命令，禁用SNAplus2服務(wù)#ch_rc -a -p START_SNAPLUS=0 -p START_SNANODE=0 執(zhí)行下列命令，禁用多播路由服務(wù)#ch_rc -a -p MROUTED=0 -p RWHOD=0 -p DDFA=0 執(zhí)行下列命令，禁用DFS分布式文件系統(tǒng)服務(wù)#ch_rc -a -p DCE_KRPC=0 -p DFS_CORE=0 -p DFS_CLIENT=0 -p DFS_SERVER=0 -p DFS_EPISO

32、DE=0 -p EPIINIT=0 -p DFSEXPORT=0 -p BOSSERVER=0 -p DFSBIND=0 -p FXD=0 -p MEMCACHE=0 -p DFSGWD=0 執(zhí)行下列命令，禁用逆地址解析服務(wù)#執(zhí)行下列命令，禁用響應(yīng)PTY（偽終端）請(qǐng)求守護(hù)進(jìn)程#執(zhí)行下列命令，禁用響應(yīng)VT（通過(guò)LAN登錄其他系統(tǒng)）請(qǐng)求守護(hù)進(jìn)程#執(zhí)行下列命令，禁用域名守護(hù)進(jìn)程#執(zhí)行下列命令，禁用SNMP代理進(jìn)程#ch_rc -a -p PEER_SNMPD_START=0 執(zhí)行下列命令，禁用授權(quán)管理守護(hù)進(jìn)程#執(zhí)行下列命令，禁用X字體服務(wù)#執(zhí)行下列命令，禁用語(yǔ)音服務(wù)#執(zhí)行下列命令，禁用SLSD（Si

33、ngle-Logical-Screen-Daemon）服務(wù)#執(zhí)行下列命令，禁用SAMBA服務(wù)#執(zhí)行下列命令，禁用CIFS客戶(hù)端服務(wù)#ch_rc -a -p RUN_CIFSCLIENT=0 執(zhí)行下列命令，禁用NFS服務(wù)#ch_rc -a -p NFS_SERVER=0 執(zhí)行下列命令，禁用Netscape FastTrack Server服務(wù)#執(zhí)行下列命令，禁用APACHE服務(wù)#執(zhí)行下列命令，禁用基于RPC的服務(wù)#mv -f /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core回退操作使用cp命令恢復(fù)被修改的文件風(fēng)險(xiǎn)說(shuō)明禁用服務(wù)會(huì)影響某些應(yīng)用運(yùn)

34、行4.5 禁用不必要的inetd服務(wù)配置項(xiàng)名稱(chēng)inetd中基本網(wǎng)絡(luò)服務(wù)配置檢查方法執(zhí)行：#more /etc/inetd.conf檢查基本的網(wǎng)絡(luò)服務(wù)的開(kāi)啟或禁止情況操作步驟1、執(zhí)行備份：#cp p /etc/inetd.conf /etc/inetd.conf_bak2、禁止非必要服務(wù)：#vi /etc/inetd.conf在非必要服務(wù)前面加#注釋3、重新啟動(dòng)inetd：#/sbin/init.d/inetd stop|start回退操作執(zhí)行：#cp /etc/inetd.conf_bak /etc/inetd.conf#/sbin/init.d/inetd stop|start風(fēng)險(xiǎn)說(shuō)明關(guān)閉某

35、些網(wǎng)絡(luò)服務(wù)可能導(dǎo)致應(yīng)用出現(xiàn)問(wèn)題，重啟inetd服務(wù)可能導(dǎo)致業(yè)務(wù)中斷5 IP協(xié)議安全配置要求5.1 關(guān)閉IP轉(zhuǎn)發(fā)配置項(xiàng)名稱(chēng)關(guān)閉IP轉(zhuǎn)發(fā)檢查方法執(zhí)行：#ndd -get /dev/ip ip_forwarding查看是否關(guān)閉IP轉(zhuǎn)發(fā)，返回值應(yīng)為0操作步驟1、 執(zhí)行備份記錄需要修改的可調(diào)參數(shù)值#cp -p /nddconf /nddconf_bak2、 執(zhí)行下列命令，設(shè)置參數(shù)使參數(shù)在當(dāng)前系統(tǒng)狀態(tài)下臨時(shí)生效：#ndd -set /dev/ip ip_forwarding 0建立啟動(dòng)項(xiàng)，使參數(shù)重啟后永久生效：#cat <<EOF >> nddconf# Don't ip

36、forwardingTRANSPORT_NAME0=ipNDD_NAME0= ip_forwardingNDD_VALUE0=0EOF回退操作1、使用ndd -set恢復(fù)修改前的參數(shù)2、執(zhí)行：#cp -p /nddconf_bak /nddconf風(fēng)險(xiǎn)說(shuō)明可能導(dǎo)致路由錯(cuò)誤，無(wú)法通信。5.2 關(guān)閉轉(zhuǎn)發(fā)源路由包配置項(xiàng)名稱(chēng)關(guān)閉轉(zhuǎn)發(fā)源路由包檢查方法執(zhí)行：#ndd -get /dev/ip ip_forward_src_routed查看是否關(guān)閉轉(zhuǎn)發(fā)源路由包，返回值應(yīng)為0操作步驟1、 執(zhí)行備份記錄需要修改的可調(diào)參數(shù)值#cp -p /nddconf /nddconf_bak2、 執(zhí)行下列命令，設(shè)置參數(shù)使參數(shù)

37、在當(dāng)前系統(tǒng)狀態(tài)下臨時(shí)生效：#ndd -set /dev/ip ip_forward_src_routed 0建立啟動(dòng)項(xiàng)，使參數(shù)重啟后永久生效：#cat <<EOF >> nddconf# Drop source-routed packetsTRANSPORT_NAME1=ipNDD_NAME1=ip_forward_src_routedNDD_VALUE1=0EOF回退操作1、使用ndd -set恢復(fù)修改前的參數(shù)2、執(zhí)行：#cp -p /nddconf_bak /nddconf風(fēng)險(xiǎn)說(shuō)明可能導(dǎo)致路由錯(cuò)誤，無(wú)法通信。5.3 增大最大半連接數(shù)防范SYN攻擊配置項(xiàng)名稱(chēng)增大最大半

38、連接數(shù)檢查方法執(zhí)行：# ndd -get /dev/tcp tcp_syn_rcvd_max查看返回值應(yīng)最小為4096操作步驟1、 執(zhí)行備份記錄需要修改的可調(diào)參數(shù)值#cp -p /nddconf /nddconf_bak2、 執(zhí)行下列命令，設(shè)置參數(shù)使參數(shù)在當(dāng)前系統(tǒng)狀態(tài)下臨時(shí)生效：#ndd -set /dev/tcp tcp_syn_rcvd_max 4096建立啟動(dòng)項(xiàng)，使參數(shù)重啟后永久生效：#cat <<EOF >> nddconf# Increase size of half-open connection queue TRANSPORT_NAME2=tcp NDD_

39、NAME2=tcp_syn_rcvd_max NDD_VALUE2=4096EOF回退操作1、使用ndd -set恢復(fù)修改前的參數(shù)2、執(zhí)行：#cp -p /nddconf_bak /nddconf風(fēng)險(xiǎn)說(shuō)明可能影響網(wǎng)絡(luò)應(yīng)用5.4 關(guān)閉ICMP重定向配置項(xiàng)名稱(chēng)關(guān)閉ICMP重定向檢查方法執(zhí)行：#ndd -get /dev/ip ip_send_redirects查看是否關(guān)閉ICMP重定向，返回值應(yīng)為0操作步驟1、 執(zhí)行備份記錄需要修改的可調(diào)參數(shù)值#cp -p /nddconf /nddconf_bak2、 執(zhí)行下列命令，設(shè)置參數(shù)使參數(shù)在當(dāng)前系統(tǒng)狀態(tài)下臨時(shí)生效：#ndd -set /dev/ip ip

40、_send_redirects 0建立啟動(dòng)項(xiàng)，使參數(shù)重啟后永久生效：#cat <<EOF >> nddconf# Don't send ip redirectsTRANSPORT_NAME3=ipNDD_NAME3= ip_send_redirectsNDD_VALUE3=0EOF回退操作1、使用ndd -set恢復(fù)修改前的參數(shù)2、執(zhí)行：#cp -p /nddconf_bak /nddconf風(fēng)險(xiǎn)說(shuō)明可能導(dǎo)致路由錯(cuò)誤，無(wú)法通信。5.5 關(guān)閉響應(yīng)echo廣播配置項(xiàng)名稱(chēng)關(guān)閉響應(yīng)echo廣播檢查方法執(zhí)行：#ndd -get /dev/ip ip_forward_dir

41、ected_broadcasts#ndd -get /dev/ip ip_respond_to_echo_broadcast查看是否關(guān)閉IP轉(zhuǎn)發(fā)，返回值應(yīng)為0操作步驟1、 執(zhí)行備份記錄需要修改的可調(diào)參數(shù)值#cp -p /nddconf /nddconf_bak2、 執(zhí)行下列命令，設(shè)置參數(shù)使參數(shù)在當(dāng)前系統(tǒng)狀態(tài)下臨時(shí)生效：#ndd -set /dev/ip ip_forward_directed_broadcasts 0#ndd -set /dev/ip ip_respond_to_echo_broadcast 0建立啟動(dòng)項(xiàng)，使參數(shù)重啟后永久生效：#cat <<EOF >>

42、 nddconf# Don't forward directed broadcastsTRANSPORT_NAME4=ipNDD_NAME4=ip_forward_directed_broadcastsNDD_VALUE4=0# Dont respond to broadcast echo requestsTRANSPORT_NAME5=ipNDD_NAME5=ip_respond_to_echo_broadcastNDD_VALUE5=0EOF#chown root:sys nddconf#chmod go-w,ug-s nddconf回退操作1、使用ndd -set恢復(fù)修改前的參數(shù)

43、2、執(zhí)行：#cp -p /nddconf_bak /nddconf風(fēng)險(xiǎn)說(shuō)明需確認(rèn)服務(wù)器用途5.6 關(guān)閉響應(yīng)地址掩碼和時(shí)間戳廣播防止探測(cè)配置項(xiàng)名稱(chēng)關(guān)閉響應(yīng)地址掩碼和時(shí)間戳廣播防止探測(cè)檢查方法執(zhí)行：#ndd -get /dev/ip ip_respond_to_address_mask_broadcast#ndd -get /dev/ip ip_respond_to_timestamp_broadcast返回值應(yīng)為0操作步驟1、 執(zhí)行備份記錄需要修改的可調(diào)參數(shù)值#cp -p /nddconf /nddconf_bak2、 執(zhí)行下列命令，設(shè)置參數(shù)使參數(shù)在當(dāng)前系統(tǒng)狀態(tài)下臨時(shí)生效：#ndd -set /

44、dev/ip ip_respond_to_address_mask_broadcast 0#ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0建立啟動(dòng)項(xiàng)，使參數(shù)重啟后永久生效：#cat <<EOF >> nddconf# Don't respond to ICMP address mask requestsTRANSPORT_NAME6=ipNDD_NAME6=ip_respond_to_address_mask_broadcastNDD_VALUE6=0# Don't respond to broa

45、dcast ICMP tstamp reqsTRANSPORT_NAME7=ipNDD_NAME7=ip_respond_to_timestamp_broadcastNDD_VALUE7=0EOF#chown root:sys nddconf#chmod go-w,ug-s nddconf回退操作1、使用ndd -set恢復(fù)修改前的參數(shù)2、執(zhí)行：#cp -p /nddconf_bak /nddconf風(fēng)險(xiǎn)說(shuō)明可能影響網(wǎng)絡(luò)通信6 日志安全配置要求6.1 非日志服務(wù)器禁止接收syslog配置項(xiàng)名稱(chēng)非日志服務(wù)器禁止接收syslog檢查方法執(zhí)行：#cat 檢查是否存在SYSLOGD_OPTS=&quo

46、t;-N"操作步驟1、 執(zhí)行備份#cp -p _bak2、 執(zhí)行下列命令，添加SYSLOGD_OPTS="-N"#3、 重啟syslogd#/sbin/init.d/syslogd stop#/sbin/init.d/syslogd start回退操作#cp -p _bak 風(fēng)險(xiǎn)說(shuō)明低風(fēng)險(xiǎn)6.2 啟用inetd日志記錄配置項(xiàng)名稱(chēng)啟用inetd日志記錄檢查方法執(zhí)行：#cat | grep INETD_ARGS=-l查看該文件是否存在INETD_ARGS=-l操作步驟1、 執(zhí)行備份#cp -p _bak2、 執(zhí)行下列命令，設(shè)置參數(shù)#3、 重新啟動(dòng)inetd服務(wù)#/sbin/init.d/inetd stop|start回退操作#cp -p _bak 風(fēng)險(xiǎn)說(shuō)明大量的日志記錄可能影響系統(tǒng)性能并占用大量磁盤(pán)空間，需要重啟服務(wù)6.3 配置SYSLOG配置項(xiàng)名稱(chēng)syslogd的運(yùn)行和配置安全檢查方法執(zhí)行：#ps -eaf | grep s