linux系統(tǒng)安全加固手冊09

1、Linux系統(tǒng)安全加固手冊1.安裝最新安全補?。喉椖浚鹤⑨專?安裝操作系統(tǒng)提供商發(fā)布的最新的安全補丁各常見的Linux發(fā)布安全信息的we刪址：RedHatLinux:http:/ .網(wǎng)絡(luò)和系統(tǒng)服務(wù):inetd/xinetd網(wǎng)絡(luò)服務(wù):設(shè)置項注釋：1確保只有確實需要的服務(wù)在運行：先把所有通過ineted/xineted運行的網(wǎng)絡(luò)服務(wù)關(guān)閉確實需要的服務(wù),再打開絕大多數(shù)通過inetd/xinetd運行的網(wǎng)絡(luò)服務(wù)都可以被禁止，比如echo,exec,login,shell,who,finger等.對于telnet,r系歹U服務(wù)，ftp等，強烈建議使用SSHM弋替.2設(shè)置xinetd訪問控制在/etc/x

2、inetd.conf文件的default塊中加入如下行：only_from=/每個/（比如/24）對表示允許的源地址啟動服務(wù)：設(shè)置項注釋：1關(guān)閉NFS艮務(wù)器進(jìn)程：運行chkconfignfsoffNFSS常存在漏洞會導(dǎo)致未授權(quán)的文件和系統(tǒng)訪問.2關(guān)閉NF潞戶端進(jìn)程：運行chkconfignfslockoffchkconfigautofsoff3關(guān)閉NIS客戶端進(jìn)程：NIS系統(tǒng)在設(shè)計時就存在安全隱患chkconfigypbindoff4關(guān)閉NIS服務(wù)器進(jìn)程：運行chkconfigypservoffchkconfigyppasswdoff5關(guān)閉其它基于RPC勺服務(wù)：基于RPC

3、勺服務(wù)通常非常脆弱或者缺少安全運行chkconfigportmapoff的認(rèn)證，但是還可能共享敏感信息.除非確實必需，否則應(yīng)該完全禁止基于RPC勺服務(wù).6關(guān)閉SM服務(wù)除非確實需要和Window源統(tǒng)共享文件，否運行chkconfigsmboff則應(yīng)該禁止該服務(wù).7禁止Netfs腳本如果不需要文件共享可禁止該腳本chkconfignetfsoff8關(guān)閉打印機守護(hù)進(jìn)程如果用戶從來不通過該機器打印文件則應(yīng)chkconfiglpdoff該禁止該服務(wù).Unix的打印服務(wù)有糟糕的安全記錄.9關(guān)閉啟動時運行的XServer對于專門的服務(wù)器沒有理由要運行XServer,比如專門的Web艮務(wù)器/etc/initt

4、ab.newmv/etc/inittab.new/etc/inittabchownroot:root/etc/inittabchmod0600/etc/inittab10關(guān)閉MailServer多數(shù)Unix/Linux系統(tǒng)運行Sendmail作為郵chkconfigpostfixoff件服務(wù)器，而該軟件歷史上出現(xiàn)過較多安全漏洞，如無必要，禁止該服務(wù)11關(guān)閉WebServer可能的話，禁止該服務(wù).chkconfighttpdoff12關(guān)閉SNMP如果必需運行SNMP話，應(yīng)該更改缺省的chkconfigsnmpdoffcommunitystring13關(guān)閉DNSServer可能的話，禁止該服務(wù)ch

5、kconfignamedoff14關(guān)閉DatabaseServerLinux下常見的數(shù)據(jù)庫服務(wù)器有Mysql,chkconfigpostgresqloffPostgre,Oracle等，沒有必要的話,應(yīng)該禁止這些服務(wù)15關(guān)閉路由守護(hù)進(jìn)程組織里僅有極少數(shù)的機器才需要作為路由chkconfigroutedoff器來運行.大多數(shù)機器都使用簡單的“靜態(tài)chkconfiggatedoff路由，并且它不需要運行特殊的守護(hù)進(jìn)程16關(guān)閉Webmir程管理工具Webmin一個遠(yuǎn)程管理工具，它有糟糕的認(rèn)chkconfigwebminoff證和會話管理歷史，所以應(yīng)該謹(jǐn)慎使用17關(guān)閉SquidWebCache如果必需

6、使用，應(yīng)該謹(jǐn)慎配置chkconfigsquidoff18可能的話禁止inetd/xinetd如果沒有網(wǎng)絡(luò)服務(wù)通過inetd/xinetd運行chkconfiginetdoff或則可以禁止它們chkconfigxinetdoff19設(shè)置守護(hù)進(jìn)程掩碼系統(tǒng)缺省的umask值應(yīng)該設(shè)定為022以避免cd/etc/rc.d/init.d守護(hù)進(jìn)程創(chuàng)建所有用戶可寫的文件ifgrep-lumaskfunctions=;thenechoumask022functionsfi3.核心調(diào)整:設(shè)置項注釋：1禁止coredump:cat/etc/security/limits.conf* softcore0* hardc

7、ore0END_ENTRIES允許coredump會耗費大量的磁盤空間.2限制NF潞戶端使用特權(quán)端口：nextifps*#/|/AS*$/);($res,hst)=split();foreach$ent(hst)undef(%set);($optlist)=$ent=/(.*?)/;foreach$opt(split(/,/,$optlist)$set$opt=1;)delete($setinsecure);$setsecure=1;$ent=S/(.*?)/;$ent.=(.join(,keys(%set).);$hst0=(secure)unless(hst);可以防止非特權(quán)用戶發(fā)起的NF

8、敢擊.automouted/etc/exports3網(wǎng)絡(luò)參數(shù)調(diào)整：cat/etc/sysctl.confnet.ipv4.ip_forward=0net.ipv4.conf.all.accept_source_route=0net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1ENDSCRIPTcat/etc/sysctl.confnet.ipv4.conf.all.send_redirects=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept

9、_redirects=0ENDSCRIPTchownroot:root/etc/sysctl.confchmod0600/etc/sysctl.conf4 .日志系統(tǒng):設(shè)置項注釋：1捕捉發(fā)送給AUTH和AUTHPRIVfacility的消息到日志文件/var/log/secure:ifgrep-cauth./etc/syslog.conf-eq0then.syslog中的AUTH和AUTHPRIVfacility包含了大量安全相關(guān)的信息，不是所有Linux發(fā)布都記錄這些日志信息.應(yīng)該把這些信息記錄到/var/log/secure文件中（該文件僅超級用戶可讀)/etc/syslog.conffi

10、ifgrep-cauthpriv./etc/syslog.confeq0then/etc/syslog.conffitouch/var/log/securechownroot:root/var/log/securechmod600/var/log/secure詳見：http:/ （它以超級用戶身份運行）來訪問，一個普通用戶可以修改crontab文件會導(dǎo)致他可以以超級用戶身份執(zhí)行任意程序6建立恰當(dāng)?shù)木鎎anner：echoAuthorizedusesonly.Allmonitoredandreported./etc/motdchownroot：root/etc/motdchmod644/etc

11、/motdcat/etc/rc.d/rc.local改變登錄banner可以隱藏操作系統(tǒng)類型和版本號和其它系統(tǒng)信息，這些信息可以會對攻擊者有用.echoAuthorizedusesonly.Allmonitoredandreported./etc/issueechoAuthorizedusesonly.Allmonitoredandreported./etc/END7限制root登錄到系統(tǒng)控制臺：cat/etc/securettytty1tty2tty3tty4tty5tty6END_FILEchownroot:root/etc/securettychmod400/etc/securetty通

12、常應(yīng)該以普通用戶身份訪問系統(tǒng)，然后通過其它授權(quán)機制 （比如su命令和sudo）來獲得更高權(quán)限，這樣做至少可以對登錄事件進(jìn)行跟蹤設(shè)置LILO/GRUBq令：在/etc/lilo.conf文件的開頭加入如下行restrictedpassword=以root身份執(zhí)行如下命令：chownroot:root/etc/lilo.confchmod600/etc/lilo.conflilo可以有助于防止基于控制臺的物理攻擊對于GRUB:力口入本行至I/etc/grub.conf:password以root身份執(zhí)行如下命令：chownroot:root/etc/grub.confchmod600/etc/gr

13、ub.conf7.用戶賬號和環(huán)境:檢查項1清除或鎖定系統(tǒng)賬號：foruserinuucpoperatordo/usr/sbin/userdel$user注釋：Uucp和operator賬號通常是不需要的，可以把它們從passwd和shadows件中刪除， 其它賬號視具體情況而定.要鎖定一個賬號，可以把該賬號的shell改為一個無效的shell,doneforuserinadmaliasapacheaxfrdnsdnscachednslogftpgamesgdmgopherIpmailmailnullnamednewsnobodynscdpostgresqmaildqmaillqmailpqma

14、ilqrpcrpcusersquidsympasynctinydnsxfsdo/usr/sbin/usermod-L-s/dev/null$userdoneq驗證沒有遺留下來的+條目存在于passwd,shadow,group文件中：grepA+:/etc/passwd/etc/shadow/etc/group這些條目可能會給攻擊者提供一個途徑來取得系統(tǒng)的訪問權(quán)限，如果存在的化應(yīng)該刪除2驗證是否有賬號存在空口令的情況：awk-F:($2=)print$1/etc/shadow所有賬號應(yīng)該有一個強口令或者使用類似“NF或*LOCKED*的口令字串來鎖定賬號3檢查除了root以外是否還有其它賬號的

15、UID為0:awk-F:($3=0)print$1/etc/passwd任彳UID為0的賬號在系統(tǒng)上都具有超級用戶權(quán)限.4檢查root用戶的$PAT呻是否有.或者所有用戶/組用戶可寫的目錄超級用戶的$PAT般置中如果存在這些目錄可能會導(dǎo)致超級用戶誤執(zhí)行一個特洛伊木馬5刪除屬于root用戶的具有潛在危險的文件：rm-f/.rshosts/.netrc/root/.rshosts/root/.netrc/.rhost,/.netrc或/root/.rhost,/root/.netrc文件都具有潛在的危險6用戶的home!錄許可權(quán)限是否為755或更嚴(yán)格的限制：用戶home!錄的許可權(quán)限限制不嚴(yán)可能會

16、導(dǎo)致惡意用戶讀/修改/刪除其它用戶的數(shù)據(jù)或取得其它用戶的系統(tǒng)權(quán)限比如/dev/nullawk-F:($3=500)print$6/etc/passwddochmodgo-w$dirdone7是否有用戶的點文件是所有用戶可讀的awk-F:($3=500)print$6/etc/passwddoUnix/Linux下通常以.開頭的文件是用戶的配置文件，如果存在所有用戶可讀/寫的配置文件可能會使惡意用戶能讀/寫其它用戶的數(shù)據(jù)或取得其它用戶的系統(tǒng)權(quán)限forfilein$dir/.A-Za-z0-9*doif-f$file;thenchmodo-w$filefidonedone8刪除用戶的.netrc文件：fordirincut-f6-d:/etc/passwddorm-f$dir/rc文件中可能會包含未加密的口令9為用戶設(shè)置合適的缺省umask1:cd/etcforfileinprofilecsh.logincsh.cshrcbashrcdoifgrep-cumask$file-eq0;then