LINUX安全配置手冊(cè)

LINUX安全配置手冊(cè)綜述本文檔以典型安裝的RedHatLinux為對(duì)象撰寫而成，其他版本均差不多類似，按照具體情形進(jìn)行適當(dāng)修改即可。

文檔中的操作需要以root用戶登錄至操縱臺(tái)進(jìn)行，不舉薦使用網(wǎng)絡(luò)遠(yuǎn)程的方式進(jìn)行補(bǔ)丁及配置修改等加固操作。部分操作需要重新啟動(dòng)服務(wù)器才會(huì)生效，注意某些數(shù)據(jù)庫(kù)等應(yīng)用需要先停止應(yīng)用，然后才能夠重新啟動(dòng)。加固之前第一應(yīng)對(duì)系統(tǒng)中的重要文件及可能修改的文件進(jìn)行備份，可參照使用以下腳本：forfilein/etc/inetd.conf/etc/hosts.equiv\/etc/ftpusers/etc/passwd/etc/shadow/etc/hosts.allow\/etc/hosts.deny/etc/proftpd.conf\/etc/rc.d/init.d/functions/etc/inittab\/etc/ssh/sshd_config/etc/ssh/ssh_/etc/sysconfig/sendmail/etc/security/limits.conf\/etc/exports/etc/sysctl.conf/etc/syslog.conf\/etc/fstab/etc/security.console.perms/root/.rhosts\/root/.shosts/etc/shosts.equiv/etc/X11/xdm/Xservers\/etc/X11/xinit/xserverrc/etc/X11/gdm/gdm.conf\/etc/cron.allow/etc/cron.deny/etc/at.allow\/etc/at.deny/etc/crontab/etc/motd/etc/issue\/usr/share/config/kdm/kdmrc/etc/X11/gdm/gdm.conf\/etc/securetty/etc/security/access.conf/etc/lilo.conf\/etc/grub.conf/etc/login.defs/etc/group/etc/profile\/etc/csh.login/etc/csh.cshrc/etc/bashrc\config\/etc/ssh/sshd_config/etc/ssh/ssh_/etc/cups/cupsd.conf/etc/{,vsftpd/}vsftpd.conf\/etc/logrotate.conf/root/.bashrc/root/.bash_profile\/root/.cshrc/root/.tcshrc/etc/vsftpd.ftpusers;do[-f$file]&&/bin/cp$file$file-preCISdonefordirin/etc/xinetd.d/etc/rc[0123456].d\/var/spool/cron/etc/cron.*/etc/logrotate.d/var/log\/etc/pam.d/etc/skel;do[-d$dir]&&/bin/cp-r$dir$dir-preCISdone補(bǔ)丁系統(tǒng)補(bǔ)丁系統(tǒng)內(nèi)核版本使用uname-a查看。軟件版本和補(bǔ)丁使用rpm-qa查看。其他應(yīng)用補(bǔ)丁除RedHat官方提供的系統(tǒng)補(bǔ)丁之外，系統(tǒng)也應(yīng)對(duì)按照開放的服務(wù)和應(yīng)用進(jìn)行補(bǔ)丁，如APACHE、PHP、OPENSSL、MYSQL等應(yīng)用進(jìn)行補(bǔ)丁。具體升級(jí)方法：第一確認(rèn)機(jī)器上安裝了gcc及必要的庫(kù)文件。然后去應(yīng)用的官方網(wǎng)站下載對(duì)應(yīng)的源代碼包，如*.tar.gz再解壓tarzxfv*.tar.gz再按照使用情形對(duì)編譯配置進(jìn)行修改，或直截了當(dāng)采納默認(rèn)配置cd*./configure再進(jìn)行編譯和安裝makemakeinstall最小化xinetd網(wǎng)絡(luò)服務(wù)停止默認(rèn)服務(wù)講明：Xinetd是舊的inetd服務(wù)的替代，他提供了一些網(wǎng)絡(luò)有關(guān)服務(wù)的啟動(dòng)調(diào)用方式。Xinetd應(yīng)禁止以下默認(rèn)服務(wù)的開放：操作：停止一個(gè)服務(wù)chkconfig服務(wù)名off打開一個(gè)服務(wù)chkconfig服務(wù)名on也能夠使用ntsysv命令進(jìn)行服務(wù)開關(guān)調(diào)整其他講明：關(guān)于xinet必須開放的服務(wù)，應(yīng)該注意服務(wù)軟件的升級(jí)和安全配置，并舉薦使用SSH和SSL對(duì)原明文的服務(wù)進(jìn)行替換。如果條件承諾，能夠使用系統(tǒng)自帶的iptables或tcp-wrapper功能對(duì)訪咨詢IP地址進(jìn)行限制。操作：Xinetd、SSH和SSL、防火墻配置參見(jiàn)對(duì)應(yīng)系統(tǒng)的用戶手冊(cè)，此不詳述。最小化啟動(dòng)服務(wù)設(shè)置daemon權(quán)限unmask講明：默認(rèn)系統(tǒng)umask至少為022，以防止daemon被其他低權(quán)限用戶修改。操作：vi修改/etc/rc.d/init.d文件，umask值為022。同時(shí)檢查/etc/rc.d/init.d中其他啟動(dòng)腳本權(quán)限是否為755。關(guān)閉xinetd服務(wù)講明：如果前面第二章關(guān)閉xinetd服務(wù)中所列的服務(wù)，都不需要開放，則能夠直截了當(dāng)關(guān)閉xinetd服務(wù)。操作：chkconfig--level12345xinetdoff關(guān)閉郵件服務(wù)講明：如果系統(tǒng)不需要作為郵件服務(wù)器，并不需要向別處發(fā)郵件，能夠直截了當(dāng)關(guān)閉郵件服務(wù)。如果不需要作為郵件服務(wù)器，然而承諾用戶發(fā)送郵件，能夠設(shè)置Sendmail不運(yùn)行在daemon模式。操作：chkconfig--level12345sendmailoff編輯/etc/sysconfig/senmail文件增加以下行DAEMON=noQUEUE=1h設(shè)置cd/etc/sysconfig/bin/chownroot:rootsendmail/bin/chmod644sendmail關(guān)閉圖形登錄服務(wù)講明：一樣來(lái)講，大部分軟件的安裝和運(yùn)行都不需要圖形環(huán)境。如果不需要圖形環(huán)境進(jìn)行登錄和操作，能夠關(guān)閉XWindows的運(yùn)行。操作：cp/etc/inittab/etc/inittab.bak編輯/etc/inittab文件修改id:5:initdefault:行為id:3:initdefault:chownroot:root/etc/inittabchmod0600/etc/inittab如需要XWindows的時(shí)候，可運(yùn)行startx命令啟動(dòng)圖形界面。關(guān)閉X字體服務(wù)器講明：如果關(guān)閉了XWindows服務(wù)，則Xfont服務(wù)器服務(wù)也應(yīng)該進(jìn)行關(guān)閉。操作：chkconfigxfsoff關(guān)閉其他默認(rèn)啟動(dòng)服務(wù)講明：系統(tǒng)啟動(dòng)時(shí)會(huì)啟動(dòng)專門多不必要的服務(wù)，這些不必要的服務(wù)均存在一定的安全隱患。一樣可能存在以下不必要的服務(wù)：apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotatelvsmars-nweoki4daemonprivoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqldwebminkudzusquidcups加固時(shí)，應(yīng)按照機(jī)器具體配置使用和應(yīng)用情形對(duì)開放的服務(wù)進(jìn)行調(diào)整關(guān)閉不需要的服務(wù)。服務(wù)運(yùn)行腳本一樣都放在/etc/rc.d/rc*.d進(jìn)行啟動(dòng)，能夠使用chkconfig工具直截了當(dāng)進(jìn)行治理。關(guān)于必須通過(guò)/etc/rc.d/rc*.d開放的服務(wù)，應(yīng)確保都已打上過(guò)最新的補(bǔ)丁。操作：chkconfig--level12345服務(wù)名off如果關(guān)閉了特定的服務(wù)，也應(yīng)該同時(shí)對(duì)這些服務(wù)在系統(tǒng)中的用戶加以鎖定或刪除可能包括以下用戶rpcrpcuserlpapachehttphttpdnameddnsmysqlpostgressquidusermod-L要鎖定的用戶調(diào)整SMB服務(wù)講明：Samba服務(wù)器一樣用來(lái)提供與Windows類似的文件和打印共享服務(wù)。除非十分必要，否則應(yīng)關(guān)閉SMB（Windows文件共享）服務(wù)?？刹杉{以下方式開放SMB服務(wù)。操作：chkconfigsmbon調(diào)整NFS服務(wù)器服務(wù)講明：NFS漏洞較多，經(jīng)常被利用來(lái)取得未授權(quán)的文件或系統(tǒng)權(quán)限。除非十分必要，否則應(yīng)關(guān)閉NFS服務(wù)?？刹杉{以下方式開放SMB服務(wù)，并應(yīng)該限制export文件系統(tǒng)的中的IP地址范疇，以及增加只讀權(quán)限。操作：chkconfig--level345nfson調(diào)整NFS客戶端服務(wù)講明：NFS客戶端服務(wù)一樣用來(lái)訪咨詢其他NFS服務(wù)器。除非十分必要，否則應(yīng)關(guān)閉此服務(wù)?？刹杉{以下方式開放此服務(wù)。操作：chkconfig--level345nfslockonchkconfig--level345autofson調(diào)整NIS服務(wù)器服務(wù)講明：NIS用來(lái)提供基于UNIX的域治理和認(rèn)證手段。除非十分必要，否則應(yīng)關(guān)閉此服務(wù)?？刹杉{以下方式開放此服務(wù)。操作：chkconfigypservonchkconfigyppasswddon調(diào)整NIS客戶端服務(wù)講明：NIS客戶端用來(lái)訪咨詢其他NIS服務(wù)器。除非十分必要，否則應(yīng)關(guān)閉此服務(wù)。可采納以下方式開放此服務(wù)。操作：chkconfigypbindon調(diào)整RPC端口映射服務(wù)講明：RPC協(xié)議一樣通過(guò)比較簡(jiǎn)單的或不經(jīng)認(rèn)證就能夠得到一些專門敏銳的信息。同時(shí)RPC系列服務(wù)都存在一些緩沖區(qū)溢出咨詢題。在以下情形下能夠考慮關(guān)閉RPC端口映射服務(wù)：服務(wù)器不是NFS服務(wù)器或客戶端；服務(wù)器不是NIS服務(wù)器或客戶端；服務(wù)器沒(méi)有運(yùn)行其它依靠于RPC服務(wù)的第三方軟件；服務(wù)器不運(yùn)行圖形界面(x-windows)。操作：chkconfig--level345portmapon調(diào)整netfs服務(wù)講明：此服務(wù)會(huì)作為客戶端掛接網(wǎng)絡(luò)中的磁盤。如果沒(méi)有網(wǎng)絡(luò)文件共享協(xié)議如NFS，NovellNetware或Windows文件共享使用，則能夠關(guān)閉此服務(wù)。操作：chkconfig--level345netfson調(diào)整打印機(jī)服務(wù)講明：UNIX打印服務(wù)存在較多的安全漏洞。如果系統(tǒng)不作為網(wǎng)絡(luò)中的打印機(jī)服務(wù)器，則能夠關(guān)閉此服務(wù)。如果必須使用此服務(wù)，第一應(yīng)保證軟件都通過(guò)最新的補(bǔ)丁，然和設(shè)置cupsd進(jìn)程運(yùn)行在非root用戶和組。操作：if[-e/etc/init.d/cups];thenchkconfigcupsonsed's/A\#Userlp/Userlp/'/etc/cups/cupsd.conf\>/etc/cups/cupsd.conf.newsed's/A\#Groupsys/Groupsys/'\/etc/cups/cupsd.conf.new>/etc/cups/cupsd.confrm-f/etc/cups/cupsd.conf.new/bin/chownlp:sys/etc/cups/cupsd.conf/bin/chmod600/etc/cups/cupsd.conffichkconfighpojonchkconfiglpdon調(diào)整Web服務(wù)器服務(wù)講明：如果服務(wù)器必須開放Web，則需要作如下設(shè)置。應(yīng)注意web名目權(quán)限設(shè)置，不要承諾名目list。操作：chkconfigapahceon或chkconfighttpdon調(diào)整SNMP服務(wù)講明：簡(jiǎn)單網(wǎng)絡(luò)治理協(xié)議SNMP—樣用來(lái)監(jiān)控網(wǎng)絡(luò)上主機(jī)或設(shè)備的運(yùn)行情形。如果必須打開，則必須更換默認(rèn)通訊字。操作：chkconfigsnmpdon編輯/etc/snmp/snmpd.confcom2secnotConfigUserdefaultpublic修改public為其他一個(gè)足夠復(fù)雜的密碼。調(diào)整DNS服務(wù)器服務(wù)講明：DNS服務(wù)器服務(wù)用來(lái)為其他機(jī)器提供DNS解析，一樣來(lái)講都能夠關(guān)掉。如果必須進(jìn)行開放，則必須升級(jí)至最新版本，并舉薦設(shè)置chroot環(huán)境，還需要注意限制DNS配置文件中的區(qū)域傳輸?shù)仍O(shè)置（加密碼或加IP地址限制）。操作：chkconfignamedon調(diào)整SSHD服務(wù)器服務(wù)講明：SSHD服務(wù)器服務(wù)用來(lái)提供SSHServer的服務(wù)。如果必須進(jìn)行開放，則必須升級(jí)至最新版本，并舉薦設(shè)置chroot環(huán)境，還需要注意限制SSH配置文件中的區(qū)域傳輸?shù)仍O(shè)置，需要在SSHD配置文件中禁用sshl方式連接,因ssh1方式連接是非完全加密。操作：如使用Openssh，則檢查/etc/ssh/sshd_configgrepProtocol/etc/ssh/sshd_configgrepProtocol/etc/ssh2/sshd2_config調(diào)整SQL服務(wù)器服務(wù)講明：如果不需要數(shù)據(jù)庫(kù)服務(wù)，則能夠關(guān)閉此服務(wù)。如果必須進(jìn)行開放，則注意修改數(shù)據(jù)庫(kù)用戶的密碼，并增加數(shù)據(jù)庫(kù)用戶IP訪咨詢限制。操作：chkconfigpostgresqlonchkconfigmysqldon調(diào)整Webmin服務(wù)講明：Webmin是一個(gè)通過(guò)HTTP協(xié)議操縱linux的工具，一樣舉薦使用SSH進(jìn)行系統(tǒng)治理而不要使用此工具。操作：chkconfigwebminon調(diào)整Squid服務(wù)講明：Squid服務(wù)是客戶端與服務(wù)器之間的代理服務(wù)。Squid服務(wù)已顯現(xiàn)過(guò)專門多安全漏洞，同時(shí)如果設(shè)置不當(dāng)?shù)脑?，可能?dǎo)致被利用來(lái)作為內(nèi)外網(wǎng)之間的跳板。如果不需要，則能夠關(guān)閉此服務(wù)。如果必須打開，則需要設(shè)置承諾訪咨詢的地址列表及認(rèn)證。操作：chkconfigsquidon調(diào)整kudzu硬件探測(cè)服務(wù)講明：Kudzu服務(wù)是linux的硬件探測(cè)程序，一樣設(shè)置為啟動(dòng)系統(tǒng)的時(shí)候運(yùn)行他會(huì)檢測(cè)系統(tǒng)中的硬件的改變，同時(shí)會(huì)提示進(jìn)行配置等。未經(jīng)授權(quán)的新設(shè)備存在的一定的安全風(fēng)險(xiǎn)，系統(tǒng)啟動(dòng)時(shí)操縱臺(tái)就能夠配置任何新增加的設(shè)備。如果不需要經(jīng)常的改動(dòng)硬件，則需要進(jìn)行關(guān)閉。能夠在增加新設(shè)備時(shí)手工運(yùn)行/etc/rc.d/init.d/kudzu啟動(dòng)此服務(wù)。操作：chkconfig--level345kudzuon內(nèi)核參數(shù)網(wǎng)絡(luò)參數(shù)調(diào)整講明：Linux支持的對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行調(diào)整。具體參數(shù)詳細(xì)講明，可參見(jiàn)http://lxr.linux.no/source/Documentation/networking/ip-sysctl.txt。操作：編輯/etc/sysctl.conf增加net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1net.ipv4.conf.all.accept_source_route=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.all.secure_redirects=0net.ipv4.conf.default.rp_filter=1net.ipv4.conf.default.accept_source_route=net.ipv4.conf.default.accept_redirects=0net.ipv4.conf.default.secure_redirects=0/bin/chownroot:root/etc/sysctl.conf/bin/chmod0600/etc/sysctl.conf更多的網(wǎng)絡(luò)參數(shù)調(diào)整講明：如果系統(tǒng)不作為在不同網(wǎng)絡(luò)之間的防火墻或網(wǎng)關(guān)時(shí)，可進(jìn)行如下設(shè)置具體參數(shù)詳細(xì)講明，可參見(jiàn)http://lxr.linux.no/source/Documentation/networking/ip-sysctl.txt操作：編輯/etc/sysctl.conf增加net.ipv4.ip_forward=0net.ipv4.conf.all.send_redirects=0net.ipv4.conf.default.send_redirects=0/bin/chownroot:root/etc/sysctl.conf/bin/chmod0600/etc/sysctl.conf日志系統(tǒng)認(rèn)證日志配置講明：不是所有版本的linux都會(huì)在日之中記錄登陸信息。一樣需要對(duì)這些重要的安全有關(guān)的信息進(jìn)行儲(chǔ)存，（如成功或失敗su,失敗的登陸，root登陸等）。這些將會(huì)被記錄在/var/log/secure文件里。操作：編輯/etc/syslog.conf確認(rèn)有如下行authpriv.*/var/log/securetouch/var/log/secure/bin/chownroot:root/var/log/secure/bin/chmod600/var/log/secureFTP進(jìn)程日志配置講明：系統(tǒng)默認(rèn)會(huì)記錄wu-ftpd和vsftpd所有的連接和文件傳輸。以下將會(huì)確認(rèn)所有法發(fā)送到服務(wù)期的命令將會(huì)被記錄。wu-ftpd將會(huì)把安全有關(guān)的或是策略邊界的行為經(jīng)歷文件傳輸記錄到syslog里，默認(rèn)位于/var/log/xferlog。操作：編輯/etc/xinetd.d/wu-ftpd文件確認(rèn)有如下行server_args=-l-a-d/bin/chownroot:rootwu-ftpd/bin/chmod644wu-ftpd編輯/etc/vsftpd.conf或/etc/vsftpd/vsftpd.conf文件確認(rèn)有如下行xferlog_std_format=NOlog_ftp_protocol=YESlog_ftp_protocol=YES/bin/chmod0600vsftpd.conf/bin/chownroot:rootvsftpd.conf確認(rèn)系統(tǒng)日志權(quán)限講明：愛(ài)護(hù)系統(tǒng)日志文件可不能被非授權(quán)的用戶所修改。操作：cd/var/log/bin/chmodo-wboot.log*cron*dmesgksyms*httpd/*\maillog*messages*news/*pgsqlrpmpkgs*samba/*\scrollkeeper.logsecure*spooler*squid/*vbox/*wtmp/bin/chmodo-rxboot.log*cron*maillog*messages*pgsql\secure*spooler*squid/*/bin/chmodg-wboot.log*cron*dmesghttpd/*ksyms*\maillog*messages*pgsqlrpmpkgs*samba/*\scrollkeeper.logsecure*spooler*/bin/chmodg-rxboot.log*cron*maillog*messages*pgsql\secure*spooler*/bin/chmodo-wgdm/httpd/news/samba/squid/vbox//bin/chmodo-rxhttpd/samba/squid//bin/chmodg-wgdm/httpd/news/samba/squid/vbox//bin/chmodg-rxhttpd/samba//bin/chown-Rroot:root./bin/chgrputmpwtmp/bin/chown-Rnews:newsnews/bin/chownpostgres:postgrespgsql/bin/chown-Rsquid:squidsquid文件/名目權(quán)限/etc/fstab中適當(dāng)分區(qū)增加“nodev”選項(xiàng)講明：在我們已知不包含設(shè)備的分區(qū)增加nodev參數(shù)，防止用戶掛接分區(qū)中未授權(quán)設(shè)備。此項(xiàng)加固要比較慎重。操作：編輯/etc/fstab文件在非/的ext2和ext3分區(qū)后增加nodev參數(shù)/bin/chownroot:root/etc/fstab/bin/chmod0644/etc/fstab/etc/fstab中移動(dòng)設(shè)備增加“nosuid”“nodev”選項(xiàng)講明：可移動(dòng)的媒體可能導(dǎo)致惡意的程序進(jìn)入系統(tǒng)。能夠?qū)⑦@些文件系統(tǒng)設(shè)置nosuid選項(xiàng)，此選項(xiàng)能夠防止用戶使用CD-ROM或軟盤將設(shè)置了SUID的程序帶到系統(tǒng)里。參照上節(jié)，這些文件系統(tǒng)也應(yīng)當(dāng)設(shè)置nodev選項(xiàng)。操作：編輯/etc/fstab文件在floppy和cdrom分區(qū)后增加nosuid,nodev參數(shù)/bin/chownroot:root/etc/fstab/bin/chmod0644/etc/fstab禁止用戶掛接可移動(dòng)文件系統(tǒng)講明：PAM模塊中的pamconsole參數(shù)給操縱臺(tái)的用戶臨時(shí)的額外特權(quán)。其配置位于/etc/security/console.perms文件。默認(rèn)設(shè)置承諾操縱臺(tái)用戶操縱能夠與其他主機(jī)共享的軟盤和CD-ROM設(shè)備。這些可移動(dòng)媒體存在著一定的安全風(fēng)險(xiǎn)。以下禁止這些設(shè)備的額外特權(quán)。操作：編輯/etc/security/console.perms文件修改其中的console行，刪除以下設(shè)備之外的行/sound|fb|kbd|joystick|v4l|mainboard|gpm|scanner/bin/chownroot:rootconsole.perms/bin/chmod0600console.perms檢查passwd，shadow和group文件權(quán)限講明：檢查以下文件的默認(rèn)權(quán)限。操作：cd/etc/bin/chownroot:rootpasswdshadowgroup/bin/chmod644passwdgroup/bin/chmod400shadow全局可寫名目應(yīng)當(dāng)設(shè)置粘滯位講明：當(dāng)一個(gè)名目設(shè)置了粘滯位之后，只有文件的屬主能夠刪除此名目中的文件。設(shè)置粘滯位能夠防止用戶覆蓋其他用戶的文件。女如tmp名目。操作：find/-xdev-typed-perm-0002-a!-perm-1000-print找出未授權(quán)的全局可寫名目講明：全局可寫文件能夠被任意用戶修改。全局可寫文件可能造成一些腳本或程序被惡意修改后造成更大的危害，一樣應(yīng)拒絕其他組的用戶的寫權(quán)限操作：find/-perm-0002-typef-xdev-printchmodo-w<filename>找出未授權(quán)的SUID/SGID文件講明：治理員應(yīng)當(dāng)檢查沒(méi)有其他非授權(quán)的SUID/SGID在系統(tǒng)內(nèi)。操作：find/-perm-04000-o-perm-02000-typef-xdev-print找出專門和隱藏的文件講明：入侵者容易將惡意文件放在這名目中或命名如此的文件名。關(guān)于檢查出來(lái)的數(shù)據(jù)需要核對(duì)與否系統(tǒng)自身的文件。操作：find/-name".."-execls-ldb{}\;find/-name".*"-execls-ldb{}\;系統(tǒng)訪咨詢，授權(quán)和認(rèn)證刪除.rhosts文件講明：R系列服務(wù)（rlogin,rsh,rep）使用.rhosts文件，它使用基于網(wǎng)絡(luò)地址或主機(jī)名的遠(yuǎn)端機(jī)算計(jì)弱認(rèn)證（專門容易被偽造）。如果必須使用R系列服務(wù)，則必須保證.rhosts文件中沒(méi)有“+”同時(shí)同時(shí)指定對(duì)方系統(tǒng)和用戶名。如果有防火墻，則應(yīng)該在過(guò)濾外部網(wǎng)段至內(nèi)部的全部R系列服務(wù)訪咨詢。同時(shí)需要保證.rhosts文件僅能夠被所有者讀?。?00）。操作：forfilein/ete/pam.d/*;dogrep-vrhosts_auth$file>${file}.new/bin/mv${file}.new$file/bin/ehownroot:root$file/bin/ehmod644$filedone創(chuàng)建危險(xiǎn)文件的鏈接講明：防止創(chuàng)建危險(xiǎn)的/root/.rhosts，/root/.shosts，/etc/hosts.equiv和/ete/shosts.equiv文件。操作：/bin/rm/root/.rhostsln-s/dev/null/root/.rhosts/bin/rm/root/.shostsln-s/dev/null/root/.shosts/bin/rm/etc/hosts.equivln-s/dev/null/etc/hosts.equiv/bin/rm/etc/shosts.equivln-s/dev/null/etc/shosts.equiv創(chuàng)建ftpuser文件講明：/etc/ftpusers和/etc/vsftp.ftpusers文件里的用戶列表里的用戶將拒絕通過(guò)WU-FTPD和vsftpd訪咨詢系統(tǒng)。通常情形下，應(yīng)當(dāng)不承諾一些系統(tǒng)用戶訪咨詢FTP,同時(shí)任何時(shí)候都不應(yīng)當(dāng)使用root用戶訪咨詢FTP。/etc/vsftpd.user類似上述功能。操作：fornamein'cut-d:-f1/etc/passwd'doif['id-u$name'-lt500]thenecho$name>>/etc/ftpusersfidone/bin/chownroot:root/etc/ftpusers/bin/chmod600/etc/ftpusersif[-e/etc/vsftpd.conf]||\[-e/etc/vsftpd/vsftpd.conf];then/bin/rm-f/etc/vsftpd.ftpusers/bin/cp/etc/ftpusers/etc/vsftpd.ftpusersfi關(guān)閉X-Windows的開放端口講明：X服務(wù)器在6000/tcp監(jiān)聽(tīng)遠(yuǎn)端客戶端的連接。X-Windows使用相對(duì)不安全的認(rèn)證方式，取得X認(rèn)證的用戶專門容易就能夠操縱整臺(tái)服務(wù)器。刪除選項(xiàng)中的“-nolistentcp”能夠使X服務(wù)器不再監(jiān)聽(tīng)6000/tcp端口。操作：if[-e/etc/X11/xdm/Xservers];thencd/etc/X11/xdmawk'($1!~Q#/&&$3=="/usr/XllR6/bin/X")\{$3=$3"-nolistentcp"};{print}'Xservers>Xservers.new/bin/mvXservers.newXservers/bin/chownroot:rootXservers/bin/chmod444Xserversfiif[-e/etc/X11/gdm/gdm.conf];thencd/etc/X11/gdmawk-F='($2~/\/X$/)\{printf("%s-nolistentcp\n",$0);next};{print}'gdm.conf>gdm.conf.new/bin/mvgdm.conf.newgdm.conf/bin/chownroot:rootgdm.conf/bin/chmod644gdm.conffiif[-d/etc/X11/xinit];thencd/etc/X11/xinitif[-exserverrc];thenawk'/X/&&"#/\{print$0":0-nolistentcp\$@";next};\{print}'xserverrc>xserverrc.new/bin/mvxserverrc.newxserverrcelsecat<<END>xserverrc#!/bin/bashexecX:0-nolistentcp\$@ENDfi/bin/chownroot:rootxserverrc/bin/chmod755xserverrcfi限制只有授權(quán)用戶能夠訪咨詢at/cron講明：cron.allow和at.allow能夠指定承諾運(yùn)行crontab和at命令的用戶列表一樣直應(yīng)該承諾治理員有權(quán)益運(yùn)行打算任務(wù)。操作：cd/etc//bin/rm-fcron.denyat.denyechoroot>cron.allowechoroot>at.allow/bin/chownroot:rootcron.allowat.allow/bin/chmod400cron.allowat.allow限制crontab文件的權(quán)限講明：系統(tǒng)的crontab文件應(yīng)該只能被crondaemon（以超級(jí)用戶權(quán)限運(yùn)行）和crontab命令（SUID）。操作：/bin/chownroot:root/etc/crontab/bin/chmod400/etc/crontab/bin/chown-Rroot:root/var/spool/cron/bin/chmod-Rgo-rwx/var/spool/cron/bin/chown-Rroot:root/etc/cron.*/bin/chmod-Rgo-rwx/etc/cron.*創(chuàng)建警示BANNER講明：創(chuàng)建警示BANNER能夠?qū)阂夤粽呋驀L試者起到警示作用。操作：創(chuàng)建操縱臺(tái)和X模式BANNERif["'egrep-lAuthorized/etc/motd'"==""];thenecho"Authorizedusesonly.Allactivitymaybe\monitoredandreported.">>/etc/motdfiif["'egrep-lAuthorized/etc/issue'"==""];thenecho"Authorizedusesonly.Allactivitymaybe\monitoredandreported.">>/etc/issuefiif["'egrep-lAuthorized/etc/'"==""];thenecho"Authorizedusesonly.Allactivitymaybe\monitoredandreported.">>HYPERLINK/etc/fi/bin/chownroot:root/etc/motd/etc/issueHYPERLINK/etc//bin/chmod644/etc/motd/etc/issueHYPERLINK/etc/if[-e/etc/X11/xdm/kdmrc];thencd/etc/X11/xdmawk'/GreetString=/\{print"GreetString=Authorizedusesonly!";next};{print}'kdmrc>kdmrc.new/bin/mvkdmrc.newkdmrc/bin/chownroot:rootkdmrc/bin/chmod644kdmrcfiif[-e/etc/X11/gdm/gdm.conf];thencd/etc/X11/gdmawk"Greeter=/&&/gdmgreeter/\{printf("#%s\n",$0);next};/A#Greeter=/&&/gdmlogin/\{$1="Greeter=/usr/bin/gdmlogin"};/Welcome=/\{print"Welcome=Authorizedusesonly!";next};{print}'gdm.conf>gdm.conf.new/bin/mvgdm.conf.newgdm.conf/bin/chownroot:rootgdm.conf/bin/chmod644gdm.conffi習(xí)慣TCPWrappers創(chuàng)建“authorizedonly”的網(wǎng)絡(luò)服務(wù)BANNER。mkdir/etc/banners;cd/etc/bannersif[-e/usr/doc/tcp_wrappers-7.6/Banners.Makefile];thenfile=/usr/doc/tcp_wrappers-7.6/Banners.Makefileelsefile=/usr/share/doc/tcp_wrappers-7.6/Banners.Makefileficp$fileMakefileecho"Authorizedusesonly.Allactivitymaybe\monitoredandreported.">prototypemakecd/etc/xinetd.dif[-f$file];thenawk'($1=="}")\{print}'$file>$file.new/bin/mv$file.new$filefidoneforfileinwu-ftpdgssftp;doif[-f$file];thenawk'($1=="}")\{print"banner=/etc/banners/in.ftpd"};{print}'$file>$file.new/bin/mv$file.new$filefidoneforfileinrshkshell;doif[-f$file];thenawk'($1=="}")\{print"banner=/etc/banners/in.rshd"};{print}'$file>$file.new/bin/mv$file.new$filefidoneforfileinrloginklogineklogin;doif[-f$file];thenawk'($1=="}")\{print"banner=/etc/banners/in.rlogind"};{print}'$file>$file.new/bin/mv$file.new$filefi;donekshellrloginkloginekloginrloginklogineklogin創(chuàng)建vsftpd的“authorizedonly”BANNERcd/etcif[-dvsftpd];thencdvsftpdfiif[-evsftpd.conf];thenecho"ftpd_banner=Authorizedusesonly.Allactivity\maybemonitoredandreported.">>vsftpd.conffi配置xinetd訪咨詢操縱講明：配制xinetd使用簡(jiǎn)單的訪咨詢操縱和日志。操作：在/etc/xinetd.conf