2023年LINU安全配置手冊(cè)

Linnx安全配置手冊(cè)

綜述

本文檔以典型安裝的RedHatLinux為對(duì)象撰寫而成，其他版本均基本類似，根據(jù)具體情況

進(jìn)行適當(dāng)修改即可。

文檔中的操作需要以root用戶登錄至控制臺(tái)進(jìn)行，不推薦使用網(wǎng)絡(luò)遠(yuǎn)程的方式進(jìn)行補(bǔ)丁及

配置修改等加固操作。

部分操作需要重新啟動(dòng)服務(wù)器才會(huì)生效，注意某些數(shù)據(jù)庫(kù)等應(yīng)用需要先停止應(yīng)用，然后才可

以重新啟動(dòng)。

加固之前首先應(yīng)對(duì)系統(tǒng)中的重要文件及可能修改的文件進(jìn)行備份，可參照使用以下腳本：

forfilein/ctc/inctd.conf/ctc/hosts.cquiv\

/etc/ftpusers/etc/passwd/etc/shadow/etc/hosts.allow\

/etc/hosts.deny/etc/proftpd.conf\

/etc/rc.d/init.d/functions/etc/inittab\

/etc/sysconfig/sendmaiI/etc/security/limits.conf\

Zetc/exports/etc/sysctl.conf/ctc/syslog.conf\

/etc/fstab/etc/security.console.perms/root/.rhosts\

/root/.shosts/etc/shosts.equiv/etc/X11/xdm/Xservers\

/ctc/Xl1/xinit/xscrvcrrc/ctc/Xl1/gdm/gdm.conf\

/etc/cron.allow/etc/cron.deny/elc/at.allow\

/etc/at.deny/etc/crontab/etc/motd/etc/issue\

/usr/share/config/kdm/kdmrc/etc/X11/gdm/gdm.conf\

/elc/securetty/etc/security/access.conf/etc/lilo.conf\

Zetc/grub.conf/etc/login.dcfs/ctc/group/etc/profiie\

/etc/csh.login/etc/csh.cshrc/etc/bashrc\

/etc/ssh/sshd_config/etc/ssh/ssh_config\

/etc/cups/cupsd.conf/ctc/{,vsftpd/}vsftpd.conf\

/elc/logrota(e.conf/root/.bashre/root/.bash_proHle\

/root/.eshre/root/.teshre/ctc/vsftpd.ftpusers;do

[-f$file]&&/bin/cpSfile$file-preCIS

done

fordirin/etc/xinetd.d/etc/rc[0123456].d\

/var/spool/cron/etc/cron.*/3tc/logrotate.d/var/log\

Zctc/pam.d/ctc/skcl;do

[-d$dir1&&/bin/cp-r$dir$dir-preCIS

done

補(bǔ)丁

系統(tǒng)補(bǔ)丁

系統(tǒng)內(nèi)核版本使用unamc-a查看。

軟件版本和補(bǔ)丁使用rpm-qa查看。

使用up2date命令自動(dòng)升級(jí)或去使用下載對(duì)應(yīng)版本補(bǔ)丁手工單獨(dú)安裝。

其他應(yīng)用補(bǔ)丁

除RedHat官方提供的系統(tǒng)補(bǔ)丁之外，系統(tǒng)也應(yīng)對(duì)根據(jù)開放的服務(wù)和應(yīng)用進(jìn)行補(bǔ)丁，如

APACHE、PHP、OPENSSL、MYSQL等應(yīng)用進(jìn)行補(bǔ)丁。

具體升級(jí)方法：

首先確認(rèn)機(jī)器上安裝了gcc及必要的庫(kù)文件。

然后去應(yīng)用的官方網(wǎng)站下載對(duì)應(yīng)的源代碼包，如*.tar.gz

再解壓

tarzxfv*.tar.gz

再根據(jù)使用情況對(duì)編譯配置進(jìn)行修改，或直接采用默認(rèn)配置

cd*

./configure

再進(jìn)行編譯和安裝

make

makeinstall

最小化xinetd網(wǎng)絡(luò)服務(wù)

停止默認(rèn)服務(wù)

說明：

Xinetd是舊的inetd服務(wù)的替代，他提供了一些網(wǎng)絡(luò)相關(guān)服務(wù)的啟動(dòng)調(diào)用方式。Xinetd應(yīng)禁

止以下默認(rèn)服務(wù)的開放：

chargenchargen-udpcups-lpddaytimedaytinie-udpechoecho-udpekloginfingergssftpimap

關(guān)閉郵件服務(wù)

說明：

1）如果系統(tǒng)不需要作為郵件服務(wù)器，并不需要向外面發(fā)郵件，可以直接關(guān)閉郵件服務(wù)。

2）如果不需要作為郵件服務(wù)器，但是允許用戶發(fā)送郵件，可以設(shè)置Sendmail不運(yùn)行在

daemon模式。

操作：

1）chkconfig—level12345sendmailoff

2）編輯/etc/sysconfig/senmail文件

增添以下行

DAEMON=no

QUEUE=lh

設(shè)置

cd/etc/sysconfig

/bin/chownroot:rootsendmail

/bin/chniod644sendmail

關(guān)閉圖形登錄服務(wù)

說明：

一般來說，大部分軟件的安裝和運(yùn)彳丁都不需要圖形環(huán)境。如果不需要圖形環(huán)境進(jìn)行登錄和操

作，可以關(guān)閉XWindows的運(yùn)行。

操作：

cp/etc/iniitab/etc/inittab.bak

編輯/etc/inittab文件

修改id:5:ini【defaull:行為id:3:initdefault:

chownroot:root/etc/inittab

chmod0600/etc/inittab

如需要XWindows的時(shí)候，可運(yùn)行startx命令啟動(dòng)圖形界面。

關(guān)閉X字體服務(wù)器

說明：

如果關(guān)閉了XWindows服務(wù)，則Xfont服務(wù)器服務(wù)也應(yīng)該進(jìn)行關(guān)閉。

操作：

chkconfigxfsoff

關(guān)閉其他默認(rèn)啟動(dòng)服務(wù)

說明：

系統(tǒng)啟動(dòng)時(shí)會(huì)啟動(dòng)很多不必要的服務(wù)，這些不必要的服務(wù)均存在一定的安全隱患。一般可能

存在以下不必要的服務(wù)：

apmdcannaFreeWnngpmhpqjinndirdaisdnkdcrotateIvsmars-nweoki4daemonprivoxyrstatd

rusersdrwalldrvvhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmap

smbnetfsIpdapachehttpdluxsnmpdnamedpostgresqlmysqldwebminkudzusquidcups

加固時(shí)，應(yīng)根據(jù)機(jī)器具體配置使用和應(yīng)用情況對(duì)開放的服務(wù)進(jìn)行調(diào)整，關(guān)閉不需要的服務(wù)。

服務(wù)運(yùn)行腳本一般都放在;etc/rc.d/rc*.d進(jìn)行啟動(dòng)，可以使用chkconfig工具在接進(jìn)行管理。

對(duì)于必須通過/etc/rc.d/rc*.d開放的服務(wù)，應(yīng)確保都已打上過最新的補(bǔ)丁.

操作：

chkconfig—level12345服務(wù)名off

如果關(guān)閉了特定的服務(wù)，也應(yīng)該同時(shí)對(duì)這些服務(wù)在系統(tǒng)中的用戶加以鎖定或刪除

可能包括以下用戶rpcrpcuserIpapachehttphttpdnameddnsmysqlpostgressquid

usermod-L要鎖定的用戶

調(diào)整SMB服務(wù)

說明：

Samba服務(wù)器一般用來提供與Windows類似的文件和打印共享服務(wù)。除非十分必要，否則

應(yīng)關(guān)閉SMB（Windows文件共享）服務(wù)?？刹捎靡韵路绞介_放SMB服務(wù)。

操作：

chkconfigsmbon

調(diào)整NFS服務(wù)器服務(wù)

說明：

NFS漏洞較多，經(jīng)常被利用來取得未授權(quán)的文件或系統(tǒng)權(quán)限。除非十分必要，否則應(yīng)關(guān)閉

NFS服務(wù)?？刹捎靡韵路绞介_放SMB服務(wù)，并應(yīng)該限制export文件系統(tǒng)的中的IP地址范

圍，以及增添只讀權(quán)限。

操作：

chkconfio-level345nfson

調(diào)整NFS客戶端服務(wù)

說明：

NFS客戶端服務(wù)一般用來訪問其他NFS服務(wù)器。除非十分必要，否則應(yīng)關(guān)閉此服務(wù)?？刹?/p>

用以下方式開放此服務(wù)。

操作：

chkconfig—level345nfslockon

chkconfig-level345autofson

調(diào)整NIS服務(wù)器服務(wù)

說明：

NIS用來提供基「UNIX的域管理和認(rèn)證手段。除非十分必要，否則應(yīng)關(guān)閉此服務(wù)?？刹捎?/p>

以下方式開放此服務(wù)。

操作：

chkconfigypservon

chkconfigyppasswddon

調(diào)整NIS客戶端服務(wù)

說明：

NIS客戶端用來訪問其他NIS服務(wù)器。除非十分必要，否則應(yīng)關(guān)閉此服務(wù)?？刹捎靡韵路绞?/p>

開放此服務(wù)。

操作：

chkconfigypbindon

調(diào)整RPC端口映射服務(wù)

說明：

RPC協(xié)議一般經(jīng)過比較簡(jiǎn)單的或不經(jīng)認(rèn)證就可以得到一些非常敏感的信息。并且RPC系列

服務(wù)都存在一些緩沖區(qū)溢出問題。

在以下情況下可以考慮關(guān)閉RPC端口映射服務(wù)：

服務(wù)器不是NFS服務(wù)器或客戶端；

服務(wù)器不是NIS服務(wù)器或客戶端：

服務(wù)器沒有運(yùn)行其它依賴于RPC服務(wù)的第三方軟件；

服務(wù)器不運(yùn)行圖形界面(K-windows)o

操作：

chkconfig—level345portmapon

調(diào)整netfs服務(wù)

說明：

此服務(wù)會(huì)作為客戶端掛接網(wǎng)絡(luò)中的磁盤。如果沒有網(wǎng)絡(luò)文件共享協(xié)議如NFS,NovellNetware

或Windows文件共享使用，則可以關(guān)閉此服務(wù)。

操作：

chkconfig-level345netfson

調(diào)整打印機(jī)服務(wù)

說明：

UNIX打印服務(wù)存在較多的安全漏洞。如果系統(tǒng)不作為網(wǎng)絡(luò)中的打印機(jī)服務(wù)器，則可以關(guān)閉

此服務(wù)。如果必須使用此服務(wù)，首先應(yīng)保證軟件都經(jīng)過最新的補(bǔ)丁，然和設(shè)置cupsd進(jìn)程運(yùn)

行在非rool用戶和組。

操作：

if[-e/etc/init.d/cups];then

chkconfigcupson

sed's/A\#UserIp/UserIp/'/etc/cups/cupsd.conf\

>/etc/cups/cupsd.conf.new

scd's/A\#Groupsys/Groupsys/'\

/etc/cups/cupsd.conf.new>/etc/cups/cupsd.conf

rm-fZctc/cups/cupsd.conf.ncw

/bin/chownlp:sys/etc/cups/cupsd.conf

/bin/chmod600/etc/cups/cupsd.conf

fi

chkconfighpojon

chkconfigIpdon

調(diào)整Web服務(wù)器服務(wù)

說明：

如果服務(wù)器必須開放Web,則需要作如下設(shè)置。應(yīng)注意web目錄權(quán)限設(shè)置，不要允許目錄

listo

操作：

chkcontigapahceon

或

chkconfighttpdon

調(diào)整SNMP服務(wù)

說明：

詢單網(wǎng)絡(luò)管理協(xié)議SNMP一般用來監(jiān)控網(wǎng)絡(luò)上主機(jī)或設(shè)備的運(yùn)行情況。如果必須打開，則

必須更改默認(rèn)通訊字。

操作：

chkconfigsnmpdon

編輯/elc/snmp/snmpd.conf

com2secnotConfigUserdefaultpublic

修改public為其他一個(gè)足夠復(fù)雜的密碼。

調(diào)整DNS服務(wù)器服務(wù)

說明：

DNS服務(wù)器服務(wù)用來為其他機(jī)器提供DNS解析，一般來說都可以關(guān)掉。如果必須進(jìn)行開放，

則必須升級(jí)至最新版本，并推薦設(shè)置chroot環(huán)境，還需要注意限制DNS配置文件中的區(qū)域

傳輸?shù)仍O(shè)置（加密碼或加IP地址限制）。

操作：

chkconfignamedon

調(diào)整SSHD服務(wù)器服務(wù)

說明：

SSHD服務(wù)器服務(wù)用來提供SSHServer的服務(wù)。如果必績(jī)進(jìn)行開放，則必須升級(jí)至最新版本，

并推薦設(shè)置chroot環(huán)境，還需要注意限制SSH配置文件中的區(qū)域傳輸?shù)仍O(shè)置，需要在SSHD

配置文件中禁用sshl方式連接，因sshl方式連接是非完全加密。

操作：

>如使用Openssh,貝ij檢查/etc/ssh/sshd_config

grepProtocol/ctc/ssh/sshd_config

>如使用SSH.com的SSHD,需要檢杳/elc/ssh2/sshd2_config

grepProtocol/etc/ssh2/sshd2_config

調(diào)整SQL服務(wù)器服務(wù)

說明：

如果不需要數(shù)據(jù)庫(kù)服務(wù)，則可以關(guān)閉此服務(wù)。如果必須進(jìn)行開放，則注意修改數(shù)據(jù)庫(kù)用戶的

密碼，并增加數(shù)據(jù)庫(kù)用戶IP訪問限制。

操作：

chkconfigpostgrcsqlon

chkconfigmysqldon

調(diào)整Webmin服務(wù)

說明：

Wehmin是一個(gè)通過HTTP協(xié)議捽制linux的丁具,一般推薦使用SSH進(jìn)行系統(tǒng)管理而不要

使用此工具。

操作：

chkconfigwebminon

調(diào)整Squid服務(wù)

說明：

Squid服務(wù)是客戶端與服務(wù)器之間的代理服務(wù)。Squid服務(wù)已出現(xiàn)過很多安全漏洞，并且如

果設(shè)置不當(dāng)?shù)脑?，可能?dǎo)致被利用來作為內(nèi)外網(wǎng)之間的跳板。如果不需要，則可以關(guān)閉此服

務(wù)。如果必須打開，則需要設(shè)置允許訪問的地址列表及認(rèn)證。

操作：

chkconfigsquidon

調(diào)整kudzu硬件探測(cè)服務(wù)

說明：

Kudzu服務(wù)是linux的硬件探測(cè)程序，一般設(shè)置為啟動(dòng)系統(tǒng)的時(shí)候運(yùn)行。他會(huì)檢測(cè)系統(tǒng)中的

硬件的改變，并且會(huì)提示進(jìn)行配置等。未經(jīng)授權(quán)的新設(shè)備存在的一定的安全風(fēng)險(xiǎn)，系統(tǒng)啟動(dòng)

時(shí)控制臺(tái)就可以配置任何新增添的設(shè)備。

如果不需要經(jīng)常的改匆硬件，則需要進(jìn)行關(guān)閉?？梢栽谠鎏硇略O(shè)備時(shí)手工運(yùn)行

/etc/rc.d/init.d/kudzu啟動(dòng)此服務(wù)。

操作：

chkconfig—level345kudzuon

內(nèi)核參數(shù)

網(wǎng)絡(luò)參數(shù)調(diào)整

說明：

Linux支持的對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行調(diào)整。

具體參數(shù)詳細(xì)說明，可參見

http:〃lxr.linux.no/source/Documcnlation/nelworking/iD-syscU.txl。

操作：

編輯/elc/sysell.conf

增加

net.ipv4.tcp_max_syn_backlog=4096

net.ipv4.conf.all.rp_filter=I

nct.ipv4.conf.all.acccpt_source_routc=0

net.ipv4.conf.all.accept_redirects=0

net.ipv4.conf.all.secure_redirects=0

net.ipv4.conf.default.rp_filter=1

net.ipv4.conf.defaul(.accept_source_route=

nct.ipv4.conf.dcfault.acccpt_rcdirccts=0

net.ipv4.conf.default.secure_redirects=0

/bin/chownroot:root/etc/sysctl.conf

/bin/chmod0600/ctc/sysell.conf

更多的網(wǎng)絡(luò)參數(shù)調(diào)整

說明：

如果系統(tǒng)不作為在不同網(wǎng)絡(luò)之間的防火墻或網(wǎng)關(guān)時(shí)，可進(jìn)行如下設(shè)置。

具體參數(shù)詳細(xì)說明，可參見

http://lxr.linux.no/sourcc/Documcntation/nctworking/ip-sysctl.txt

操作：

編輯/etc/sysctLconf

增加

net.ipv4.ip_forward=0

nct.ipv4.conf.all.send_rcdirccts=0

net.ipv4.conf.default.send_redirects=0

/bin/chownroot:root/etc/sysctl.conf

/bin/chmod0600/e（c/sysell.conf

日志

系統(tǒng)認(rèn)證日志配置

說明：

不是所有版本的linux都會(huì)在日之中記錄登陸信息。一般需要對(duì)這些重要的安全相關(guān)的信息

進(jìn)行保存，（如成功或失敗su,失敗的登陸，root登陸等）。這些將會(huì)被記錄在/var/log/secure

文件里。

操作：

編輯/elc/syslog.conf

確認(rèn)有如下行

authpriv.*/var/log/secure

touch/var/log/sccurc

/bin/chownroot:root/var/log/secure

/bin/chmod6(X)/var/log/secure

FTP進(jìn)程日志配置

說明：

系統(tǒng)默認(rèn)會(huì)記錄wu-ftpd和vsftpd所有的連接和文件傳輸。以下將會(huì)確認(rèn)所有法發(fā)送到服務(wù)

期的命令將會(huì)被記錄。wu-ftpd將會(huì)把安全相關(guān)的或是策略邊界的行為記憶文件傳輸記錄到

syslog里,默認(rèn)位于/var/log/xferlog。

操作：

編輯/etc/xinctd.d/wu-ftpd叉件

確認(rèn)有如下行

server_args=-I-a-d

/bin/chownroot:rootwu-ftpd

/bin/chmod644wu-ftpd

^iW/etc/vsftpd.conf或/etc/vsftpd/vsflpd.conf文件

確認(rèn)有如下行

xferlog_std_format=NO

log_ftp_protocol=YES

log_ftp_protocol=YES

/bin/chmod0600vsftpd.conf

/bin/chownroot:rootvsftpd.conf

確認(rèn)系統(tǒng)日志權(quán)限

說明：

保護(hù)系統(tǒng)日志文件不會(huì)被非授權(quán)的用戶所修改。

操作：

cd/var/log

/bin/chmodo-wboot.log*cron*dmesgksyms*httpd/*\

maillog*messages*news/*pgsqlrpmpkgs*samba/*\

scrollkeeper.logsecure*spooler*squid/*vbox/*wtmp

/bin/chmodo-rxboot.log*cron*maillog*messages*pgsql'

secure*spooler*squid/*

/bin/chmodg-wboot.log*cron*dincsghttpd/*ksyms*\

maillog*messages*pgsqlrpmpkgs*samba/*\

scrollkeeper.logsecure*spooler*

/bin/chmodg-rxboot.log*cron*maillog*messages*pgsql'

secure*spooler*

/bin/chmodo-wgdm/httpd/news/samba/squid/vbox/

/bin/chmodorxhttpd/samba/squid/

/bin/chmodg-wgdm/httpd/'news/samba/squid/vbox/

/bin/chmodg-rxhttpd/samba/

/bin/chown-Rroot:root.

/bin/chgrputrnpwtmp

/bin/chown-Rnews:newsnews

/bin/chownpostgres:postgrespgsql

/bin/chown-Rsquidisquidsquid

文件/目錄權(quán)限

/etc/fstab中適當(dāng)分區(qū)增加“nodev”選項(xiàng)

說明：

在我們已知不包含設(shè)備的分區(qū)增添nodev參數(shù)，防止用戶掛接分區(qū)中未授權(quán)設(shè)備。

此項(xiàng)加固要比較慎重。

操作：

編輯/elc/fsiab文件

在非/的ext2和ext3分區(qū)后增添nodev參數(shù)

/bin/chownroot:root/etc/fstab

/bin/chmod0644/etc/fstab

/etc/fstab中移動(dòng)設(shè)備增加"nosuid”“nodev”選項(xiàng)

說明：

可移動(dòng)的媒體可能導(dǎo)致惡意的程序進(jìn)入系統(tǒng)?？梢詫⑦@些文件系統(tǒng)設(shè)置nosuid選項(xiàng)，此選

項(xiàng)可以防止用戶使用CD-ROM或軟盤將設(shè)置了SUID的程序帶到系統(tǒng)里。

參照上節(jié)，這些文件系統(tǒng)也應(yīng)當(dāng)設(shè)置nodev選項(xiàng)。

操作：

編輯/elc/fsiab文件

在floppy和cdrom分區(qū)后增添nosuid,nodcv參數(shù)

/bin/chownroot:root/ctc/fstab

/bin/chmod0644/etc/fstab

禁止用戶掛接可移動(dòng)文件系統(tǒng)

說明：

PAM模塊中的pamconsole參數(shù)給控制臺(tái)的用戶臨時(shí)的額外特權(quán)。其配置位于

/etc/sccurity/console.pcrms文件。默認(rèn)設(shè)置允許控制臺(tái)用戶控制可以與其他主機(jī)共享的軟盤

和CD-ROM設(shè)備。這些可移動(dòng)媒體存在著一定的安全風(fēng)險(xiǎn)。以下禁止這些設(shè)備的額外特權(quán)。

操作：

編輯/etc/security/console.perms文件

修改其中的console行，刪除以下設(shè)備之外的行

/sound|fb|kbd|joystick|v41|mainboard|gpm|scanner

/bin/chownroot:rootconsole.perms

/bin/chmod0600console.perms

檢查passwd,shadow和group文件權(quán)限

說明：

檢查以下文件的默認(rèn)權(quán)限，

操作：

cd/etc

/bin/chownroot:rootpasswdshadowgroup

/bin/chmod644passwdgroup

/bin/chmod400shadow

全局可寫目錄應(yīng)設(shè)置粘滯位

說明：

當(dāng)一個(gè)目錄設(shè)置了粘滯位之后，只有文件的屬主可以刪除此目錄中的文件。設(shè)置粘滯位可以

防止用戶覆蓋其他用戶的文件。如/tmp目錄。

操作：

find/-xdev-typed-perm-0002-a!-perm-1()00-print

找出未授權(quán)的全局可寫目錄

說明：

全局可寫文件可以被任意用戶修改。全局可寫文件可能造成一些腳本或程序被惡意修改后造

成更大的危害，一般應(yīng)拒絕其他組的用戶的寫權(quán)限。

操作：

find/-perm-0002-typef-xdev-print

chmodo-w〈filename〉

找出未授權(quán)的SUID/SGID文件

說明：

管理員應(yīng)當(dāng)檢查沒有其他非授權(quán)的SUID/SGID在系統(tǒng)內(nèi)。

操作：

find/-perm-04000-o-penn-02000-typef-xdev-print

找出異常和隱藏的文件

說明：

入侵者容易將惡意文件放在這目錄中或命名這樣的文件名。對(duì)于檢查出來的數(shù)據(jù)需要核對(duì)與

否系統(tǒng)自身的文件。

操作：

find/-name'*-execIs-Idb{}\;

find/-name-execIs-Idb{}\;

系統(tǒng)訪問，授權(quán)和認(rèn)證

刪除.rhosts文件

說明:

R系列服務(wù)(rlogin,rsh,rep)使用.rhosts文件，它使用基于網(wǎng)絡(luò)地址或主機(jī)名的遠(yuǎn)端機(jī)算

計(jì)弱認(rèn)證(很容易被偽造)。如果必須使用R系列服務(wù)，則必須保證.rhosts文件中沒有“+”，

并且同時(shí)指定對(duì)方系統(tǒng)和用戶名。如果有防火墻，則應(yīng)該在過濾外部網(wǎng)段至內(nèi)部的全部R

系列服務(wù)訪問。同時(shí)需要保證『hosts文件僅可以被所有者讀取(600)o

操作：

forfilein/etc/pam.d/*;do

grep-vrhosts_auth$file>${file}.new

/bin/mv${file).new$file

/bin/chownroot:root$filc

/bin/chmod644$file

done

創(chuàng)建危險(xiǎn)文件的鏈接

說明：

防止創(chuàng)建危險(xiǎn)的"oot/.rhosts,/root/.shosts,/etc/hosts.equiv和/elc/shosts.equiv文件。

操作：

/bin/rni/root/.rhosts

In-s/dev/null/root/.rhosts

/bin/rm/root/.shosts

In-s/dev/null/root/.shosts

/bin/rm/etc/hosts.equiv

In-s/dev/null/etc/hosts.cquiv

/bin/rm/etc/shosts.equiv

In-s/dev/null/etc/shosts.equiv

創(chuàng)建ftpuser文件

說明：

>/etc/ftpusers和/etc/vsf【p.ftpusers文件里的用戶列表里的用戶將拒絕通過WU-FTPD和

vsftpd訪問系統(tǒng)。通常情況下，應(yīng)當(dāng)不允許一些系統(tǒng)用戶訪問FTP,并且任何時(shí)候都不

應(yīng)當(dāng)使用loot用戶訪問FTP。

>/etc/vsftpd.user類似上述功能。

操作：

fornamein'cut-d:-fl/ctc/passwd'

do

if['id-u$name'-It50()]

then

echo$naine?/etc/ftpusers

fi

done

/bin/chownroot:root/ctc/ftpusers

/bin/chmod600/etc/ftpusers

if[-e/etc/vsftpd.conf]||\

[-c/clu/vsflpd/vsflpd.conf];then

/bin/rm-f/etc/vsftpd.ftpusers

/bin/cp/etc/ftpuscrs/etc/vsftpd.ftpusers

fi

關(guān)閉X-Windows的開放端口

說明；

X服務(wù)器在60(X)/tcp監(jiān)聽遠(yuǎn)端客戶端的連接。X-Windows使用相對(duì)不安全的認(rèn)證方式，取

得X認(rèn)證的用戶很容易就可以控制整臺(tái)服務(wù)器。

刪除選項(xiàng)中的-nolistentep"可以使X服務(wù)器不再監(jiān)聽6000/tcp端口。

操作：

if[-e/etc/Xl1/xdm/Xservers];then

cd/etc/X11Zxdm

awk?($!!~/△#/&&$3==7usr/X11R6/bin/X°)\

{$3=$3"-nolistentep"!;

{print}'Xservcrs>Xservers.new

/bin/mvXservers.newXservers

/bin/chownroot:rootXservers

/bin/chmod444Xservers

fi

if[-e/etc/X11/gdm/gdm.confJ;then

cd/etc/X11/gdm

awk-F='($2~/VX$/)\

{printf("%s-nolistentcp\n",$0);next};

{print}'gdm.conf>gdni.conf.ncw

/bin/mvgdm.conf.newgdm.conf

/bin/chownroot:rootgdm.conf

/bin/chmod644gdm.conf

fi

if[-d/etc/X11/xinit];then

cd/etc/X11/xinit

if[-exserverre];then

awk7X/&&!/A#/\

{printSO":0-nolislentep\$@";next}:\

{print}'xscrvcnc>xscrvunc.iicw

/bin/mvxserverre.newxserverre

else

cat?END>xserverrc

#!/bin/bash

cxccX:0-nolistentep\$@

END

ti

/bin/chownroot:rootxserverre

/bin/chmod755xserverre

fi

限制只有授權(quán)用戶可以訪問at/cron

說明：

cron.allow和at.allow可以指定允許運(yùn)行cronlab和at命令的用戶列表。一般直應(yīng)該允許管理

員有權(quán)利運(yùn)行計(jì)劃任務(wù)。

操作：

cd/etc/

/bin/rm-fcron.denyat.dcny

echoroot>cron.allow

echoroot>at.allow

/bin/chownroot:rootcron.allowat.allow

/bin/chmod400cron.allowat.allow

限制crontab文件的權(quán)限

說明：

系統(tǒng)的crontab文件應(yīng)該只能被crondaemon(以超級(jí)用戶權(quán)限運(yùn)行)和crontab命令(SUID)。

操作：

/bin/chownroot:root/etc/crontab

/bin/chmod400/etc/crontab

/bin/chown-Rroot:root/var/spool/cron

/bin/chmod-Rgo-rwx/var/spool/cron

/bin/chown-Rroot:root/etc/cron.*

/bin/chmod-Rgo-rwx/etc/cron.*

創(chuàng)建警示BANNER

說明：

創(chuàng)建警示BANNER可以對(duì)惡意攻擊者或嘗試者起到警示作用。

操作：

1)創(chuàng)建捽制臺(tái)和X模式BANNER

if["'egrep-1Authorized/etc/motd'"==""];then

echo"Authorizedusesonly.Allactivitymaybe\

monitoredandreported."?/etc/motd

fi

if["'egrep-1Authorized/ctc/issuc'"==""];then

echo"Authorizedusesonly.Allactivitymaybe\

monitoredandreported."?/ctc/issuc

fi

if["'egrep-IAuthorized/etc/issue.neC"==];(hen

echo"Authorizedusesonly.Allactivitymaybe\

monitoredandreported."?/etc/

fi

/bin/chownroot:root/ctc/motd/ctc/issuc/ctc/

/bin/chmod644/etc/motd/etc/issueZetc/

if[-c/etc/X11/xdm/kdmrcJ;then

cd/etc/X11/xdm

awkVGreetString=/\

{print"GrcctString=Authorizcdusesonly!";next};

{print}'kdmrc>kdmrc.new

/bin/tnvkdmrc.newkdmrc

/bin/chownroot:rootkdmrc

/bin/chmod644kdmrc

fi

if[-e/etc/X11/gdm/gdm.conf1;then

cd/etc/X11/gdm

awkVAGreeter=/&&/gdmgreeter/\

{printf(',#%s\n",$0);next|;

/A#Giuclcr=Z&&/gdnilogiii/\

{$1="Greeter=/usr/bin/gdmlogin"};

/Welcome=/\

{print“Welcome二Authorizedusesonly!";next};

{print}'gdm.conf>gdm.conf.new

/bin/mvgdm.conf.ncwgdniconf

/bin/chownroot:rootgdm.conf

/bin/chmod644gdin.conf

fi

2)適應(yīng)TCPWrappers創(chuàng)建“authorizedonly”的網(wǎng)絡(luò)服務(wù)BANNER,

inkdir/ctc/banncrs;cd/ctc/banncrs

if[-e/usr/doc/tcp_wrappers-7.6/Banners.Makefile1;then

file=/usr/doc/tcp_wrappers-7.6/Banners.Makefile

else

file=/usr/share/doc/tcp_wrappers-7.6/Banners.Makefile

fi

cp$fileMakefile

echo"Authorizedusesonly.Allactivitymaybe\

monitoredandreported.">prototype

make

cd/etc/xinctd.d

forfileintelnetkrb5-tclnct;do

if[-f$file];then

awk'($1==n}")\

{print"banner=/ctc/banncrs/in.tclnctd"};

{print}'$file>$file.new

/bin/tnv$file.newSfile

fi

done

forfileinwu-ftpdgssftp;do

iffthen

awk'($1=="}“)、

{print"banner=/etc/banners/in.ftpd"};

{print}*$file>$file.new

/bin/niv$file.newSfile

fi

done

forfileinrshkshell;do

iffthen

awk'($1=="}")\

{print"banner=/etc/banners/in.rshd"};

{print}'$tile>$t)le.new

/bin/mv$file.newSfile

fi

done

forfileinrloginklogineklogin;do

if[-f$file];then

awk'($1==")")\

{print"banner=/e(c/banners/in.rlogind"};

{print}'$filc>$file.ncw

/bin/mv$file.newSfile

fi;done

/bin/chownroot:root{krb5-,}telnetgssftpwu-ftpdrsh\

kshellrloginklogineklogin

/bin/chmod644{krb5-Jtelnetgssftpwu-ftpdrshkshell\

rloginklogincklogin

3)創(chuàng)建vsflpd的“aulhcrizedonly"BANNER

cd/etc

if[-dvsftpd];then

cdvsftpd

fi

if[-evsftpd.conf];then

echo"ftpd_banner=Authorizedusesonly.Allactivity\

maybemonitoredandreported."?vsftpd.conf

fi

配置xinetd訪問控制

說明：

配制xinetd使用簡(jiǎn)單的訪問控制和Fl志。

操作：

在/etc/xinctd.conf插入“defaults”段

only_from=<net>/<num_biLS><net>/<num_bits>

<nct>/<num_bits>使用允許使用的網(wǎng)絡(luò)和掩碼。

示例；

only_from=/24將會(huì)限制只有/24的網(wǎng)絡(luò)可以訪問。

限制root只能在控制臺(tái)登錄

說明：

root應(yīng)該限制在只允許控制臺(tái)登陸，一般情況下應(yīng)該使用一般權(quán)限用戶進(jìn)行操作，僅在必要

時(shí)SU成為root進(jìn)行操作。

操作：

/bin/cp/dev/null/e(c/secure(ly

foriinI23456;do

echotty$i?/etc/securetty

echovc/$i?/etc/securetty

done

echoconsole?/etc/secureuy

/bin/chownroot:root/ctc/sccurctty

/bin/chmod400/etc/securetty

設(shè)置LILO/GRUB密碼

說明：

默認(rèn)情況下，任何本地用戶都可以在控制臺(tái)重新啟動(dòng)機(jī)器，井很容易就可以控制正常的啟動(dòng)

進(jìn)程。LILO和GRUB密瑪可以在系統(tǒng)啟動(dòng)時(shí)要求密碼。

注意以下操作只應(yīng)設(shè)置與十分注重本地安全的情況下。

操作：

LILO

1)增加下列行到/etc/lilo.conf

restricted

password=<password>

〈password》更改為自己指定的密碼。

2)以rool身份執(zhí)行以下命令

/bin/chownroot:rool/etc/lilo.conf

/bin/chmod600/etc/lilo.conf

lilo

GRUB

1)增加下列行到/ctc/grub.conf

password<password>

2)以root身份執(zhí)行以下命令

/bin/chownroot:root/etc/grub.conf

/bin/chmod6(X)/etc/grub.conf

設(shè)置單用戶默認(rèn)認(rèn)證

說明：

Linux默認(rèn)可以在啟動(dòng)時(shí)鍵入“l(fā)inuxsingle”進(jìn)入到單用戶模式。

單用戶模式可以不使用密碼就可以進(jìn)行一些管理員操作，一般用來恢復(fù)忘記root密碼等。

不加密碼的單用戶模式可能導(dǎo)致可以本地接觸到服務(wù)器的用戶直接控制系統(tǒng)。

操作：

cd/etc

if["'grep-Isulogininittab'"=""];then

awk'{print};

/Aid:[0123456sS]:ini(defauh:/\

{print:S:wait:/sbin/sulogin"}'\

inittab>inittab.new

/bin/mvinittab.newinittab

/bin/chownroot:rootinittab

/bin/chmod644inittab

fi

限制NFS客戶端特權(quán)端口

說明：

設(shè)置secure參數(shù)可以使本地系統(tǒng)的NFS服務(wù)器進(jìn)程拒絕沒有使用特權(quán)端口(小于102G的

NFS客戶端訪問。這個(gè)設(shè)置不會(huì)影響NFS操作員的操作，但是會(huì)拒絕非授權(quán)用戶的自動(dòng)的

NFS攻擊。

操作：

增加/etc/exports文件中的secure選項(xiàng)，可以使用以下peri腳本

perl-i.orig-pe\

'nextif(/Ns*#/||/A\s*$/)；

($rcs,@hst)=split("");

foreach$ent(@hst){

undef(%set);

($optlist)=Sent=~A((.*?)\)/;

forcach$opt(split(/,/,$optlist)){

$set{$opt}=1;

)

delete($set{"insecure"});

$set{"secure"}=I;

Sent=~sA(.*?\)//;

Sent="(".join("；',keys(%set)).

)

$hst[O]="(secure)"unless(@hst);

$_="SresM".join("",@hst)."\n";'\

/etc/exports

用戶帳戶和環(huán)境

系統(tǒng)無(wú)用帳戶

說明：

系統(tǒng)中的非使用人員帳號(hào)應(yīng)當(dāng)被鎖定，并且設(shè)置他們的shell為非/eic/shells里面的(即沒有

默認(rèn)可以登陸的shell,如/dev/null)。

操作：

以下腳本鎖定全部非root用戶

fornamein'cut-d:-fl/etc/passwd';do

uid='id-u$namev

if[$uid-It50()-a$name!='root'J;then

/usr/sbin/usermod-L-s/dev/null$name

fi

done

確認(rèn)沒有空密碼帳戶

說明：

如果一個(gè)賬戶設(shè)置了空密碼，將允許任何人不使用密碼登陸到系統(tǒng)。所有帳戶都應(yīng)該設(shè)置一

個(gè)足夠強(qiáng)壯的密碼或設(shè)置為“NP”或“LOCKED”。

操作：

awk-F:'($2=="")(print$1}'/etc/shadow

設(shè)置活動(dòng)帳戶的過期時(shí)間

說明：

定期的更改帳戶密碼有助于提高系統(tǒng)的安全性。一般應(yīng)當(dāng)將系統(tǒng)中非root用戶強(qiáng)制在90天

內(nèi)更該密碼，并且在之后的7天之內(nèi)禁止更改密碼。用戶將在密碼過期的28天前接受到系

統(tǒng)的提示。并應(yīng)當(dāng)設(shè)置密碼的復(fù)雜程度，包括各種大小寫及數(shù)字，并最小長(zhǎng)度為6位。

操作：

cd/etc

awk'($1-/APASS_MAX_DAYS/){$2="90"}

($1-/APASS_MIN_DAYS0{$2="7")

($1~/APASS_WARN_AGE/){$2="28"}