Linux安全配置手冊(cè)

1、Linux安全配置手冊(cè)綜述本文檔以典型安裝的RedHat Linux為對(duì)象撰寫而成，其他版本均基本類似，根據(jù)具體情況進(jìn)行適當(dāng)修改即可。文檔中的操作需要以root用戶登錄至控制臺(tái)進(jìn)行，不推薦使用網(wǎng)絡(luò)遠(yuǎn)程的方式進(jìn)行補(bǔ)丁及配置修改等加固操作。部分操作需要重新啟動(dòng)服務(wù)器才會(huì)生效，注意某些數(shù)據(jù)庫(kù)等應(yīng)用需要先停止應(yīng)用，然后才可以重新啟動(dòng)。加固之前首先應(yīng)對(duì)系統(tǒng)中的重要文件及可能修改的文件進(jìn)行備份，可參照使用以下腳本：for file in /etc/inetd.conf /etc/hosts.equiv /etc/ftpusers /etc/passwd /etc/shadow /etc/hosts.all

2、ow /etc/hosts.deny /etc/proftpd.conf /etc/rc.d/init.d/functions /etc/inittab /etc/sysconfig/sendmail /etc/security/limits.conf /etc/exports /etc/sysctl.conf /etc/syslog.conf /etc/fstab /etc/security.console.perms /root/.rhosts /root/.shosts /etc/shosts.equiv /etc/X11/xdm/Xservers /etc/X11/xinit/xser

3、verrc /etc/X11/gdm/gdm.conf /etc/cron.allow /etc/cron.deny /etc/at.allow /etc/at.deny /etc/crontab /etc/motd /etc/issue /usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm.conf /etc/securetty /etc/security/access.conf /etc/lilo.conf /etc/grub.conf /etc/login.defs /etc/group /etc/profile /etc/csh.login /etc

4、/csh.cshrc /etc/bashrc /etc/ssh/sshd_config /etc/ssh/ssh_config /etc/cups/cupsd.conf /etc/,vsftpd/vsftpd.conf /etc/logrotate.conf /root/.bashrc /root/.bash_profile /root/.cshrc /root/.tcshrc /etc/vsftpd.ftpusers ; do -f $file && /bin/cp $file $file-preCISdonefor dir in /etc/xinetd.d /etc/rc0

5、123456.d /var/spool/cron /etc/cron.* /etc/logrotate.d /var/log /etc/pam.d /etc/skel ; do -d $dir && /bin/cp -r $dir $dir-preCISdone補(bǔ)丁系統(tǒng)補(bǔ)丁系統(tǒng)內(nèi)核版本使用uname -a查看。軟件版本和補(bǔ)丁使用rpm -qa查看。使用up2date命令自動(dòng)升級(jí)或去ftp:/下載對(duì)應(yīng)版本補(bǔ)丁手工單獨(dú)安裝。其他應(yīng)用補(bǔ)丁除RedHat官方提供的系統(tǒng)補(bǔ)丁之外，系統(tǒng)也應(yīng)對(duì)根據(jù)開放的服務(wù)和應(yīng)用進(jìn)行補(bǔ)丁，如APACHE、PHP、OPENSSL、MYSQL等應(yīng)用進(jìn)行補(bǔ)丁。具體

6、升級(jí)方法：首先確認(rèn)機(jī)器上安裝了gcc及必要的庫(kù)文件。然后去應(yīng)用的官方網(wǎng)站下載對(duì)應(yīng)的源代碼包，如 *.tar.gz再解壓tar zxfv *.tar.gz再根據(jù)使用情況對(duì)編譯配置進(jìn)行修改，或直接采用默認(rèn)配置cd *./configure再進(jìn)行編譯和安裝makemake install最小化xinetd網(wǎng)絡(luò)服務(wù)停止默認(rèn)服務(wù)說(shuō)明：Xinetd是舊的inetd服務(wù)的替代，他提供了一些網(wǎng)絡(luò)相關(guān)服務(wù)的啟動(dòng)調(diào)用方式。Xinetd應(yīng)禁止以下默認(rèn)服務(wù)的開放：chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger

7、gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services操作：停止一個(gè)服務(wù)chkconfig 服務(wù)名 off打開一個(gè)服務(wù)chkconfig 服務(wù)名 on也可以使用ntsysv命令進(jìn)行服務(wù)開關(guān)調(diào)整其他說(shuō)明：對(duì)于xinet必須開放的服務(wù)，應(yīng)該注意服務(wù)軟件的升級(jí)和安全配置，并推薦使用SSH和SSL對(duì)原明文的服務(wù)進(jìn)行替換。如果條件允許，可以使用系統(tǒng)自帶的iptables或tcp-wrapper功能對(duì)訪問(wèn)IP地址進(jìn)行限制。操作：Xine

8、td、SSH和SSL、防火墻配置參見(jiàn)對(duì)應(yīng)系統(tǒng)的用戶手冊(cè)，此不詳述。最小化啟動(dòng)服務(wù)設(shè)置daemon權(quán)限unmask說(shuō)明：默認(rèn)系統(tǒng)umask至少為022，以防止daemon被其他低權(quán)限用戶修改。操作：vi修改/etc/rc.d/init.d文件，umask 值為022。同時(shí)檢查/etc/rc.d/init.d中其他啟動(dòng)腳本權(quán)限是否為755。關(guān)閉xinetd服務(wù)說(shuō)明：如果前面第二章關(guān)閉xinetd服務(wù)中所列的服務(wù)，都不需要開放，則可以直接關(guān)閉xinetd服務(wù)。操作：chkconfig -level 12345 xinetd off關(guān)閉郵件服務(wù)說(shuō)明：1) 如果系統(tǒng)不需要作為郵件服務(wù)器，并不需要向外面發(fā)

9、郵件，可以直接關(guān)閉郵件服務(wù)。2) 如果不需要作為郵件服務(wù)器，但是允許用戶發(fā)送郵件，可以設(shè)置Sendmail不運(yùn)行在daemon模式。操作：1) chkconfig -level 12345 sendmail off2) 編輯/etc/sysconfig/senmail文件增添以下行DAEMON=noQUEUE=1h設(shè)置cd /etc/sysconfig/bin/chown root:root sendmail/bin/chmod 644 sendmail關(guān)閉圖形登錄服務(wù)說(shuō)明：一般來(lái)說(shuō)，大部分軟件的安裝和運(yùn)行都不需要圖形環(huán)境。如果不需要圖形環(huán)境進(jìn)行登錄和操作，可以關(guān)閉X Windows的運(yùn)行。操

10、作：cp /etc/inittab /etc/inittab.bak編輯/etc/inittab文件修改id:5:initdefault:行為id:3:initdefault:chown root:root /etc/inittabchmod 0600 /etc/inittab如需要X Windows的時(shí)候，可運(yùn)行startx命令啟動(dòng)圖形界面。關(guān)閉X字體服務(wù)器說(shuō)明：如果關(guān)閉了X Windows服務(wù)，則X font服務(wù)器服務(wù)也應(yīng)該進(jìn)行關(guān)閉。操作：chkconfig xfs off關(guān)閉其他默認(rèn)啟動(dòng)服務(wù)說(shuō)明：系統(tǒng)啟動(dòng)時(shí)會(huì)啟動(dòng)很多不必要的服務(wù)，這些不必要的服務(wù)均存在一定的安全隱患。一般可能存在以下不必

11、要的服務(wù)：apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups加固時(shí)，應(yīng)根據(jù)機(jī)器具體配置使用和應(yīng)用情況對(duì)開放的服務(wù)進(jìn)行調(diào)

12、整，關(guān)閉不需要的服務(wù)。服務(wù)運(yùn)行腳本一般都放在/etc/rc.d/rc*.d進(jìn)行啟動(dòng)，可以使用chkconfig工具直接進(jìn)行管理。對(duì)于必須通過(guò)/etc/rc.d/rc*.d開放的服務(wù)，應(yīng)確保都已打上過(guò)最新的補(bǔ)丁。操作：chkconfig -level 12345 服務(wù)名 off如果關(guān)閉了特定的服務(wù)，也應(yīng)該同時(shí)對(duì)這些服務(wù)在系統(tǒng)中的用戶加以鎖定或刪除可能包括以下用戶rpc rpcuser lp apache http httpd named dns mysql postgres squidusermod -L 要鎖定的用戶調(diào)整SMB服務(wù)說(shuō)明：Samba服務(wù)器一般用來(lái)提供與Windows類似的文件和打

13、印共享服務(wù)。除非十分必要，否則應(yīng)關(guān)閉SMB（Windows文件共享）服務(wù)?？刹捎靡韵路绞介_放SMB服務(wù)。操作：chkconfig smb on調(diào)整NFS服務(wù)器服務(wù)說(shuō)明：NFS漏洞較多，經(jīng)常被利用來(lái)取得未授權(quán)的文件或系統(tǒng)權(quán)限。除非十分必要，否則應(yīng)關(guān)閉NFS服務(wù)?？刹捎靡韵路绞介_放SMB服務(wù)，并應(yīng)該限制export文件系統(tǒng)的中的IP地址范圍，以及增添只讀權(quán)限。操作：chkconfig -level 345 nfs on調(diào)整NFS客戶端服務(wù)說(shuō)明：NFS客戶端服務(wù)一般用來(lái)訪問(wèn)其他NFS服務(wù)器。除非十分必要，否則應(yīng)關(guān)閉此服務(wù)。可采用以下方式開放此服務(wù)。操作：chkconfig -level 345 nf

14、slock onchkconfig -level 345 autofs on調(diào)整NIS服務(wù)器服務(wù)說(shuō)明：NIS用來(lái)提供基于UNIX的域管理和認(rèn)證手段。除非十分必要，否則應(yīng)關(guān)閉此服務(wù)?？刹捎靡韵路绞介_放此服務(wù)。操作：chkconfig ypserv onchkconfig yppasswdd on調(diào)整NIS客戶端服務(wù)說(shuō)明：NIS客戶端用來(lái)訪問(wèn)其他NIS服務(wù)器。除非十分必要，否則應(yīng)關(guān)閉此服務(wù)。可采用以下方式開放此服務(wù)。操作：chkconfig ypbind on調(diào)整RPC端口映射服務(wù)說(shuō)明：RPC協(xié)議一般經(jīng)過(guò)比較簡(jiǎn)單的或不經(jīng)認(rèn)證就可以得到一些非常敏感的信息。并且RPC系列服務(wù)都存在一些緩沖區(qū)溢出問(wèn)題。

15、在以下情況下可以考慮關(guān)閉RPC端口映射服務(wù)：服務(wù)器不是NFS服務(wù)器或客戶端；服務(wù)器不是NIS服務(wù)器或客戶端；服務(wù)器沒(méi)有運(yùn)行其它依賴于RPC服務(wù)的第三方軟件；服務(wù)器不運(yùn)行圖形界面（x-windows）。操作：chkconfig -level 345 portmap on調(diào)整netfs服務(wù)說(shuō)明：此服務(wù)會(huì)作為客戶端掛接網(wǎng)絡(luò)中的磁盤。如果沒(méi)有網(wǎng)絡(luò)文件共享協(xié)議如NFS，NovellNetware或Windows文件共享使用，則可以關(guān)閉此服務(wù)。操作：chkconfig -level 345 netfs on調(diào)整打印機(jī)服務(wù)說(shuō)明：UNIX打印服務(wù)存在較多的安全漏洞。如果系統(tǒng)不作為網(wǎng)絡(luò)中的打印機(jī)服務(wù)器，則可以關(guān)

16、閉此服務(wù)。如果必須使用此服務(wù)，首先應(yīng)保證軟件都經(jīng)過(guò)最新的補(bǔ)丁，然和設(shè)置cupsd進(jìn)程運(yùn)行在非root用戶和組。操作：if -e /etc/init.d/cups ; thenchkconfig cups onsed 's/#User lp/User lp/' /etc/cups/cupsd.conf >/etc/cups/cupsd.conf.newsed 's/#Group sys/Group sys/' /etc/cups/cupsd.conf.new >/etc/cups/cupsd.confrm -f /etc/cups/cupsd.conf

17、.new/bin/chown lp:sys /etc/cups/cupsd.conf/bin/chmod 600 /etc/cups/cupsd.conffichkconfig hpoj onchkconfig lpd on調(diào)整Web服務(wù)器服務(wù)說(shuō)明：如果服務(wù)器必須開放Web，則需要作如下設(shè)置。應(yīng)注意web目錄權(quán)限設(shè)置，不要允許目錄list。操作：chkconfig apahce on或chkconfig httpd on調(diào)整SNMP服務(wù)說(shuō)明：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP一般用來(lái)監(jiān)控網(wǎng)絡(luò)上主機(jī)或設(shè)備的運(yùn)行情況。如果必須打開，則必須更改默認(rèn)通訊字。操作：chkconfig snmpd on編輯/etc

18、/snmp/snmpd.confcom2sec notConfigUser default public修改public為其他一個(gè)足夠復(fù)雜的密碼。調(diào)整DNS服務(wù)器服務(wù)說(shuō)明：DNS服務(wù)器服務(wù)用來(lái)為其他機(jī)器提供DNS解析，一般來(lái)說(shuō)都可以關(guān)掉。如果必須進(jìn)行開放，則必須升級(jí)至最新版本，并推薦設(shè)置chroot環(huán)境，還需要注意限制DNS配置文件中的區(qū)域傳輸?shù)仍O(shè)置（加密碼或加IP地址限制）。操作：chkconfig named on調(diào)整SSHD服務(wù)器服務(wù)說(shuō)明：SSHD服務(wù)器服務(wù)用來(lái)提供SSH Server的服務(wù)。如果必須進(jìn)行開放，則必須升級(jí)至最新版本，并推薦設(shè)置chroot環(huán)境，還需要注意限制SSH配置文件

19、中的區(qū)域傳輸?shù)仍O(shè)置，需要在SSHD配置文件中禁用ssh1方式連接，因ssh1方式連接是非完全加密。操作：Ø 如使用Openssh，則檢查/etc/ssh/sshd_config grep Protocol /etc/ssh/sshd_configØ 如使用SSH.com的SSHD,需要檢查/etc/ssh2/sshd2_configgrep Protocol /etc/ssh2/sshd2_config調(diào)整SQL服務(wù)器服務(wù)說(shuō)明：如果不需要數(shù)據(jù)庫(kù)服務(wù)，則可以關(guān)閉此服務(wù)。如果必須進(jìn)行開放，則注意修改數(shù)據(jù)庫(kù)用戶的密碼，并增加數(shù)據(jù)庫(kù)用戶IP訪問(wèn)限制。操作：chkconfig pos

20、tgresql onchkconfig mysqld on調(diào)整Webmin服務(wù)說(shuō)明：Webmin是一個(gè)通過(guò)HTTP協(xié)議控制linux的工具，一般推薦使用SSH進(jìn)行系統(tǒng)管理而不要使用此工具。操作：chkconfig webmin on調(diào)整Squid服務(wù)說(shuō)明：Squid服務(wù)是客戶端與服務(wù)器之間的代理服務(wù)。Squid服務(wù)已出現(xiàn)過(guò)很多安全漏洞，并且如果設(shè)置不當(dāng)?shù)脑?，可能?dǎo)致被利用來(lái)作為內(nèi)外網(wǎng)之間的跳板。如果不需要，則可以關(guān)閉此服務(wù)。如果必須打開，則需要設(shè)置允許訪問(wèn)的地址列表及認(rèn)證。操作：chkconfig squid on調(diào)整kudzu硬件探測(cè)服務(wù)說(shuō)明：Kudzu服務(wù)是linux的硬件探測(cè)程序，一般設(shè)

21、置為啟動(dòng)系統(tǒng)的時(shí)候運(yùn)行。他會(huì)檢測(cè)系統(tǒng)中的硬件的改變，并且會(huì)提示進(jìn)行配置等。未經(jīng)授權(quán)的新設(shè)備存在的一定的安全風(fēng)險(xiǎn)，系統(tǒng)啟動(dòng)時(shí)控制臺(tái)就可以配置任何新增添的設(shè)備。如果不需要經(jīng)常的改動(dòng)硬件，則需要進(jìn)行關(guān)閉。可以在增添新設(shè)備時(shí)手工運(yùn)行/etc/rc.d/init.d/kudzu啟動(dòng)此服務(wù)。操作：chkconfig -level 345 kudzu on內(nèi)核參數(shù)網(wǎng)絡(luò)參數(shù)調(diào)整說(shuō)明：Linux支持的對(duì)網(wǎng)絡(luò)參數(shù)進(jìn)行調(diào)整。具體參數(shù)詳細(xì)說(shuō)明，可參見(jiàn)http:/lxr.linux.no/source/Documentation/networking/ip-sysctl.txt。操作：編輯/etc/sysctl.con

22、f增加net.ipv4.tcp_max_syn_backlog = 4096net.ipv4.conf.all.rp_filter = 1net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.secure_redirects = 0net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.default.accept_source_route =net.ipv4.conf.default.accept_redirec

23、ts = 0net.ipv4.conf.default.secure_redirects = 0/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf更多的網(wǎng)絡(luò)參數(shù)調(diào)整說(shuō)明：如果系統(tǒng)不作為在不同網(wǎng)絡(luò)之間的防火墻或網(wǎng)關(guān)時(shí)，可進(jìn)行如下設(shè)置。具體參數(shù)詳細(xì)說(shuō)明，可參見(jiàn)http:/lxr.linux.no/source/Documentation/networking/ip-sysctl.txt操作：編輯/etc/sysctl.conf增加net.ipv4.ip_forward = 0net.ipv4.conf.all.

24、send_redirects = 0net.ipv4.conf.default.send_redirects = 0/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf日志系統(tǒng)認(rèn)證日志配置說(shuō)明：不是所有版本的linux都會(huì)在日之中記錄登陸信息。一般需要對(duì)這些重要的安全相關(guān)的信息進(jìn)行保存，（如成功或失敗su，失敗的登陸，root登陸等）。這些將會(huì)被記錄在/var/log/secure文件里。操作：編輯/etc/syslog.conf確認(rèn)有如下行authpriv.* /var/log/securetouch /v

25、ar/log/secure/bin/chown root:root /var/log/secure/bin/chmod 600 /var/log/secureFTP進(jìn)程日志配置說(shuō)明：系統(tǒng)默認(rèn)會(huì)記錄wu-ftpd和vsftpd所有的連接和文件傳輸。以下將會(huì)確認(rèn)所有法發(fā)送到服務(wù)期的命令將會(huì)被記錄。wu-ftpd將會(huì)把安全相關(guān)的或是策略邊界的行為記憶文件傳輸記錄到syslog里，默認(rèn)位于/var/log/xferlog。操作：編輯/etc/xinetd.d/wu-ftpd文件確認(rèn)有如下行server_args = -l -a -d/bin/chown root:root wu-ftpd/bin/ch

26、mod 644 wu-ftpd編輯/etc/vsftpd.conf或/etc/vsftpd/vsftpd.conf文件確認(rèn)有如下行xferlog_std_format=NOlog_ftp_protocol=YESlog_ftp_protocol=YES/bin/chmod 0600 vsftpd.conf/bin/chown root:root vsftpd.conf確認(rèn)系統(tǒng)日志權(quán)限說(shuō)明：保護(hù)系統(tǒng)日志文件不會(huì)被非授權(quán)的用戶所修改。操作：cd /var/log/bin/chmod o-w boot.log* cron* dmesg ksyms* httpd/* maillog* messages

27、* news/* pgsql rpmpkgs* samba/* scrollkeeper.log secure* spooler* squid/* vbox/* wtmp/bin/chmod o-rx boot.log* cron* maillog* messages* pgsql secure* spooler* squid/*/bin/chmod g-w boot.log* cron* dmesg httpd/* ksyms* maillog* messages* pgsql rpmpkgs* samba/* scrollkeeper.log secure* spooler*/bin/ch

28、mod g-rx boot.log* cron* maillog* messages* pgsql secure* spooler*/bin/chmod o-w gdm/ httpd/ news/ samba/ squid/ vbox/bin/chmod o-rx httpd/ samba/ squid/bin/chmod g-w gdm/ httpd/ news/ samba/ squid/ vbox/bin/chmod g-rx httpd/ samba/bin/chown -R root:root ./bin/chgrp utmp wtmp/bin/chown -R news:news

29、news/bin/chown postgres:postgres pgsql/bin/chown -R squid:squid squid文件/目錄權(quán)限/etc/fstab中適當(dāng)分區(qū)增加“nodev”選項(xiàng)說(shuō)明：在我們已知不包含設(shè)備的分區(qū)增添nodev參數(shù)，防止用戶掛接分區(qū)中未授權(quán)設(shè)備。此項(xiàng)加固要比較慎重。操作：編輯/etc/fstab文件在非/的ext2和ext3分區(qū)后增添nodev參數(shù)/bin/chown root:root /etc/fstab/bin/chmod 0644 /etc/fstab/etc/fstab中移動(dòng)設(shè)備增加“nosuid”“nodev”選項(xiàng)說(shuō)明：可移動(dòng)的媒體可能導(dǎo)致惡

30、意的程序進(jìn)入系統(tǒng)?？梢詫⑦@些文件系統(tǒng)設(shè)置nosuid選項(xiàng)，此選項(xiàng)可以防止用戶使用CD-ROM或軟盤將設(shè)置了SUID的程序帶到系統(tǒng)里。參照上節(jié)，這些文件系統(tǒng)也應(yīng)當(dāng)設(shè)置nodev選項(xiàng)。操作：編輯/etc/fstab文件在floppy和cdrom分區(qū)后增添nosuid,nodev參數(shù)/bin/chown root:root /etc/fstab/bin/chmod 0644 /etc/fstab禁止用戶掛接可移動(dòng)文件系統(tǒng)說(shuō)明：PAM模塊中的pam console參數(shù)給控制臺(tái)的用戶臨時(shí)的額外特權(quán)。其配置位于/etc/security/console.perms文件。默認(rèn)設(shè)置允許控制臺(tái)用戶控制可以與其他

31、主機(jī)共享的軟盤和CD-ROM設(shè)備。這些可移動(dòng)媒體存在著一定的安全風(fēng)險(xiǎn)。以下禁止這些設(shè)備的額外特權(quán)。操作：編輯/etc/security/console.perms文件修改其中的console行，刪除以下設(shè)備之外的行/sound|fb|kbd|joystick|v4l|mainboard|gpm|scanner/bin/chown root:root console.perms/bin/chmod 0600 console.perms檢查passwd，shadow和group文件權(quán)限說(shuō)明：檢查以下文件的默認(rèn)權(quán)限。操作：cd /etc/bin/chown root:root passwd shad

32、ow group/bin/chmod 644 passwd group/bin/chmod 400 shadow全局可寫目錄應(yīng)設(shè)置粘滯位說(shuō)明：當(dāng)一個(gè)目錄設(shè)置了粘滯位之后，只有文件的屬主可以刪除此目錄中的文件。設(shè)置粘滯位可以防止用戶覆蓋其他用戶的文件。如/tmp目錄。操作：find / -xdev -type d -perm -0002 -a ! -perm -1000 -print找出未授權(quán)的全局可寫目錄說(shuō)明：全局可寫文件可以被任意用戶修改。全局可寫文件可能造成一些腳本或程序被惡意修改后造成更大的危害，一般應(yīng)拒絕其他組的用戶的寫權(quán)限。操作：find / -perm -0002 -type f

33、-xdev -printchmod o-w <filename>找出未授權(quán)的SUID/SGID文件說(shuō)明：管理員應(yīng)當(dāng)檢查沒(méi)有其他非授權(quán)的SUID/SGID在系統(tǒng)內(nèi)。操作：find / -perm -04000 -o -perm -02000 -type f -xdev -print找出異常和隱藏的文件說(shuō)明：入侵者容易將惡意文件放在這目錄中或命名這樣的文件名。對(duì)于檢查出來(lái)的數(shù)據(jù)需要核對(duì)與否系統(tǒng)自身的文件。操作：find / -name ". " -exec ls -ldb ;find / -name ".*" -exec ls -ldb ;系統(tǒng)訪

34、問(wèn)，授權(quán)和認(rèn)證刪除.rhosts文件說(shuō)明：R系列服務(wù)（rlogin，rsh，rcp）使用.rhosts文件，它使用基于網(wǎng)絡(luò)地址或主機(jī)名的遠(yuǎn)端機(jī)算計(jì)弱認(rèn)證（很容易被偽造）。如果必須使用R系列服務(wù)，則必須保證.rhosts文件中沒(méi)有“+”，并且同時(shí)指定對(duì)方系統(tǒng)和用戶名。如果有防火墻，則應(yīng)該在過(guò)濾外部網(wǎng)段至內(nèi)部的全部R系列服務(wù)訪問(wèn)。同時(shí)需要保證.rhosts文件僅可以被所有者讀?。?00）。操作：for file in /etc/pam.d/* ; dogrep -v rhosts_auth $file > $file.new/bin/mv $file.new $file/bin/chown

35、root:root $file/bin/chmod 644 $filedone創(chuàng)建危險(xiǎn)文件的鏈接說(shuō)明：防止創(chuàng)建危險(xiǎn)的/root/.rhosts，/root/.shosts，/etc/hosts.equiv和/etc/shosts.equiv文件。操作：/bin/rm /root/.rhostsln -s /dev/null /root/.rhosts/bin/rm /root/.shostsln -s /dev/null /root/.shosts/bin/rm /etc/hosts.equivln -s /dev/null /etc/hosts.equiv/bin/rm /etc/shost

36、s.equivln -s /dev/null /etc/shosts.equiv創(chuàng)建ftpuser文件說(shuō)明：Ø /etc/ftpusers和/etc/vsftp.ftpusers文件里的用戶列表里的用戶將拒絕通過(guò)WU-FTPD和vsftpd訪問(wèn)系統(tǒng)。通常情況下，應(yīng)當(dāng)不允許一些系統(tǒng)用戶訪問(wèn)FTP，并且任何時(shí)候都不應(yīng)當(dāng)使用root用戶訪問(wèn)FTP。Ø /etc/vsftpd.user類似上述功能。操作：for name in cut -d: -f1 /etc/passwddoif id -u $name -lt 500 thenecho $name >> /etc/f

37、tpusersfidone/bin/chown root:root /etc/ftpusers/bin/chmod 600 /etc/ftpusersif -e /etc/vsftpd.conf | -e /etc/vsftpd/vsftpd.conf ; then/bin/rm -f /etc/vsftpd.ftpusers/bin/cp /etc/ftpusers /etc/vsftpd.ftpusersfi關(guān)閉X-Windows的開放端口說(shuō)明：X服務(wù)器在6000/tcp監(jiān)聽遠(yuǎn)端客戶端的連接。X-Windows使用相對(duì)不安全的認(rèn)證方式，取得X認(rèn)證的用戶很容易就可以控制整臺(tái)服務(wù)器。刪除選項(xiàng)中

38、的“-nolisten tcp”可以使X服務(wù)器不再監(jiān)聽6000/tcp端口。操作：if -e /etc/X11/xdm/Xservers ; thencd /etc/X11/xdmawk '($1 ! /#/ && $3 = "/usr/X11R6/bin/X") $3 = $3 " -nolisten tcp" ; print ' Xservers > Xservers.new/bin/mv Xservers.new Xservers/bin/chown root:root Xservers/bin/chmod 4

39、44 Xserversfiif -e /etc/X11/gdm/gdm.conf ; thencd /etc/X11/gdmawk -F= '($2 /X$/) printf("%s -nolisten tcpn", $0); next ; print ' gdm.conf > gdm.conf.new/bin/mv gdm.conf.new gdm.conf/bin/chown root:root gdm.conf/bin/chmod 644 gdm.conffiif -d /etc/X11/xinit ; thencd /etc/X11/xinit

40、if -e xserverrc ; thenawk '/X/ && !/#/ print $0 " :0 -nolisten tcp $" next ; print ' xserverrc > xserverrc.new/bin/mv xserverrc.new xserverrcelsecat <<END >xserverrc#!/bin/bashexec X :0 -nolisten tcp $ENDfi/bin/chown root:root xserverrc/bin/chmod 755 xserverrcfi

41、限制只有授權(quán)用戶可以訪問(wèn)at/cron說(shuō)明：cron.allow和at.allow可以指定允許運(yùn)行crontab和at命令的用戶列表。一般直應(yīng)該允許管理員有權(quán)利運(yùn)行計(jì)劃任務(wù)。操作：cd /etc/bin/rm -f cron.deny at.denyecho root >cron.allowecho root >at.allow/bin/chown root:root cron.allow at.allow/bin/chmod 400 cron.allow at.allow限制crontab文件的權(quán)限說(shuō)明：系統(tǒng)的crontab文件應(yīng)該只能被cron daemon（以超級(jí)用戶權(quán)限運(yùn)行

42、）和crontab命令（SUID）。操作：/bin/chown root:root /etc/crontab/bin/chmod 400 /etc/crontab/bin/chown -R root:root /var/spool/cron/bin/chmod -R go-rwx /var/spool/cron/bin/chown -R root:root /etc/cron.*/bin/chmod -R go-rwx /etc/cron.*創(chuàng)建警示BANNER說(shuō)明：創(chuàng)建警示BANNER可以對(duì)惡意攻擊者或嘗試者起到警示作用。操作：1) 創(chuàng)建控制臺(tái)和X模式BANNERif "egrep

43、 -l Authorized /etc/motd" = "" ; thenecho "Authorized uses only. All activity may be monitored and reported." >>/etc/motdfiif "egrep -l Authorized /etc/issue" = "" ; thenecho "Authorized uses only. All activity may be monitored and reported.&qu

44、ot; >>/etc/issuefiif "egrep -l Authorized /etc/" = "" ; thenecho "Authorized uses only. All activity may be monitored and reported." >>/etc/fi/bin/chown root:root /etc/motd /etc/issue /etc/bin/chmod 644 /etc/motd /etc/issue /etc/if -e /etc/X11/xdm/kdmrc ; th

45、encd /etc/X11/xdmawk '/GreetString=/ print "GreetString=Authorized uses only!" next ; print ' kdmrc >kdmrc.new/bin/mv kdmrc.new kdmrc/bin/chown root:root kdmrc/bin/chmod 644 kdmrcfiif -e /etc/X11/gdm/gdm.conf ; thencd /etc/X11/gdmawk '/Greeter=/ && /gdmgreeter/ print

46、f("#%sn", $0); next ;/#Greeter=/ && /gdmlogin/ $1 = "Greeter=/usr/bin/gdmlogin" ;/Welcome=/ print "Welcome=Authorized uses only!" next ; print ' gdm.conf >gdm.conf.new/bin/mv gdm.conf.new gdm.conf/bin/chown root:root gdm.conf/bin/chmod 644 gdm.conffi2) 適應(yīng)

47、TCP Wrappers創(chuàng)建“authorized only”的網(wǎng)絡(luò)服務(wù)BANNER。mkdir /etc/banners ; cd /etc/bannersif -e /usr/doc/tcp_wrappers-7.6/Banners.Makefile ; thenfile=/usr/doc/tcp_wrappers-7.6/Banners.Makefileelsefile=/usr/share/doc/tcp_wrappers-7.6/Banners.Makefileficp $file Makefileecho "Authorized uses only. All activi

48、ty may be monitored and reported." > prototypemakecd /etc/xinetd.dfor file in telnet krb5-telnet ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.telnetd" ; print ' $file >$file.new/bin/mv $file.new $filefidonefor file in wu-ftpd gssftp ;

49、doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.ftpd" ; print ' $file >$file.new/bin/mv $file.new $filefidonefor file in rsh kshell ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.rshd" ; print ' $

50、file >$file.new/bin/mv $file.new $filefidonefor file in rlogin klogin eklogin ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.rlogind" ; print ' $file >$file.new/bin/mv $file.new $filefi ; done/bin/chown root:root krb5-,telnet gssftp wu-ftpd r

51、sh kshell rlogin klogin eklogin/bin/chmod 644 krb5-,telnet gssftp wu-ftpd rsh kshell rlogin klogin eklogin3) 創(chuàng)建vsftpd的“authorized only”BANNERcd /etcif -d vsftpd ; thencd vsftpdfiif -e vsftpd.conf ; thenecho "ftpd_banner=Authorized uses only. All activity may be monitored and reported." >

52、;> vsftpd.conffi配置xinetd訪問(wèn)控制說(shuō)明：配制xinetd使用簡(jiǎn)單的訪問(wèn)控制和日志。操作：在/etc/xinetd.conf插入“defaults”段only_from=<net>/<num_bits> <net>/<num_bits><net>/<num_bits>使用允許使用的網(wǎng)絡(luò)和掩碼。示例：only_from=/24將會(huì)限制只有/24的網(wǎng)絡(luò)可以訪問(wèn)。限制root只能在控制臺(tái)登錄說(shuō)明：root應(yīng)該限制在只允許控制臺(tái)登陸，一般情況下應(yīng)該使用一般權(quán)限用

53、戶進(jìn)行操作，僅在必要時(shí)su成為root進(jìn)行操作。操作：/bin/cp /dev/null /etc/securettyfor i in 1 2 3 4 5 6; doecho tty$i >>/etc/securettyecho vc/$i >>/etc/securettydoneecho console >>/etc/securetty/bin/chown root:root /etc/securetty/bin/chmod 400 /etc/securetty設(shè)置LILO/GRUB密碼說(shuō)明：默認(rèn)情況下，任何本地用戶都可以在控制臺(tái)重新啟動(dòng)機(jī)器，并很容易就可

54、以控制正常的啟動(dòng)進(jìn)程。LILO和GRUB密碼可以在系統(tǒng)啟動(dòng)時(shí)要求密碼。注意以下操作只應(yīng)設(shè)置與十分注重本地安全的情況下。操作：LILO1) 增加下列行到/etc/lilo.confrestrictedpassword=<password><password>更改為自己指定的密碼。2) 以root身份執(zhí)行以下命令/bin/chown root:root /etc/lilo.conf/bin/chmod 600 /etc/lilo.confliloGRUB1) 增加下列行到/etc/grub.confpassword <password>2) 以root身份執(zhí)行以

55、下命令/bin/chown root:root /etc/grub.conf/bin/chmod 600 /etc/grub.conf設(shè)置單用戶默認(rèn)認(rèn)證說(shuō)明：Linux默認(rèn)可以在啟動(dòng)時(shí)鍵入“l(fā)inux single”進(jìn)入到單用戶模式。單用戶模式可以不使用密碼就可以進(jìn)行一些管理員操作，一般用來(lái)恢復(fù)忘記root密碼等。不加密碼的單用戶模式可能導(dǎo)致可以本地接觸到服務(wù)器的用戶直接控制系統(tǒng)。操作：cd /etcif "grep -l sulogin inittab" = "" ; thenawk ' print ;/id:0123456sS:initdef

56、ault:/ print ":S:wait:/sbin/sulogin" ' inittab >inittab.new/bin/mv inittab.new inittab/bin/chown root:root inittab/bin/chmod 644 inittabfi限制NFS客戶端特權(quán)端口說(shuō)明：設(shè)置secure參數(shù)可以使本地系統(tǒng)的NFS服務(wù)器進(jìn)程拒絕沒(méi)有使用特權(quán)端口（小于1024）的NFS客戶端訪問(wèn)。這個(gè)設(shè)置不會(huì)影響NFS操作員的操作，但是會(huì)拒絕非授權(quán)用戶的自動(dòng)的NFS攻擊。操作：增加/etc/exports文件中的secure選項(xiàng)，可以使用以下perl腳本perl -i.orig -pe 'next if (/s*#/ | /s*$/);($res, hst) = split(" ");foreach $ent (hst) undef(%set);($optlist) = $ent = /(.*?)/;foreach $opt (split(/,/, $optlist) $set$opt = 1;delete($set"insecure&