系統(tǒng)安全加固手冊(cè)1

1、Red Hat Linux系統(tǒng)安全加固一. 賬戶安全1.1 鎖定系統(tǒng)中多余的自建帳號(hào)檢查方法:執(zhí)行命令#cat /etc/passwd#cat /etc/shadow查看賬戶、口令文件，與系統(tǒng)管理員確認(rèn)不必要的賬號(hào)。對(duì)于一些保留的系統(tǒng)偽帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據(jù)需要鎖定登陸。備份方法：#cp -p /etc/passwd /etc/passwd_bak#cp -p /etc/shadow /etc/shadow_bak加固方法:使用命令passwd -l 鎖定不必要的賬號(hào)。使用命令passwd -u 解鎖需要恢復(fù)的

2、賬號(hào)。圖1風(fēng)險(xiǎn):需要與管理員確認(rèn)此項(xiàng)操作不會(huì)影響到業(yè)務(wù)系統(tǒng)的登錄1.2設(shè)置系統(tǒng)口令策略檢查方法：使用命令#cat /etc/login.defs|grep PASS查看密碼策略設(shè)置備份方法：cp -p /etc/login.defs /etc/login.defs_bak加固方法：#vi /etc/login.defs修改配置文件PASS_MAX_DAYS 90 #新建用戶的密碼最長(zhǎng)使用天數(shù)PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數(shù)PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數(shù)PASS_MIN_LEN 9 #最小密碼長(zhǎng)度9圖2風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)1.3禁用roo

3、t之外的超級(jí)用戶檢查方法：#cat /etc/passwd 查看口令文件，口令文件格式如下：login_name：password：user_ID：group_ID：comment：home_dir：commandlogin_name：用戶名password：加密后的用戶密碼user_ID：用戶ID，(1 6000) 若用戶ID=0，則該用戶擁有超級(jí)用戶的權(quán)限。查看此處是否有多個(gè)ID=0。group_ID：用戶組IDcomment：用戶全名或其它注釋信息home_dir：用戶根目錄command：用戶登錄后的執(zhí)行命令備份方法：#cp -p /etc/passwd /etc/passwd_bak

4、加固方法：使用命令passwd -l 鎖定不必要的超級(jí)賬戶。使用命令passwd -u 解鎖需要恢復(fù)的超級(jí)賬戶。風(fēng)險(xiǎn)：需要與管理員確認(rèn)此超級(jí)用戶的用途。1.4 限制能夠su為root的用戶檢查方法：#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目備份方法：#cp -p /etc/pam.d /etc/pam.d_bak加固方法：#vi /etc/pam.d/su在頭部添加：auth required /lib/security/pam_wheel.so group=wheel這樣，只有wheel組的用

5、戶可以su到root#usermod -G10 test 將test用戶加入到wheel組圖3風(fēng)險(xiǎn)：需要PAM包的支持;對(duì)pam文件的修改應(yīng)仔細(xì)檢查，一旦出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無法登陸;和管理員確認(rèn)哪些用戶需要su。當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問題時(shí)，首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息，根據(jù)這些信息判斷用戶賬號(hào)的有效性。如果是因?yàn)镻AM驗(yàn)證故障，而引起root也無法登錄，只能使用single user或者rescue模式進(jìn)行排錯(cuò)。1.5 檢查shadow中空口令帳號(hào)檢查方法：#awk -F: ( = ) print /etc/shadow備份方法：cp -p

6、 /etc/shadow /etc/shadow_bak加固方法：對(duì)空口令賬號(hào)進(jìn)行鎖定，或要求增加密碼圖4風(fēng)險(xiǎn)：要確認(rèn)空口令賬戶是否和應(yīng)用關(guān)聯(lián)，增加密碼是否會(huì)引起應(yīng)用無法連接。二、最小化服務(wù)2.1 停止或禁用與承載業(yè)務(wù)無關(guān)的服務(wù)檢查方法：#who r或runlevel 查看當(dāng)前init級(jí)別#chkconfig -list 查看所有服務(wù)的狀態(tài)備份方法：記錄需要關(guān)閉服務(wù)的名稱加固方法：#chkconfig -level on|off|reset 設(shè)置服務(wù)在個(gè)init級(jí)別下開機(jī)是否啟動(dòng)圖5風(fēng)險(xiǎn)：某些應(yīng)用需要特定服務(wù)，需要與管理員確認(rèn)。三、數(shù)據(jù)訪問控制3.1 設(shè)置合理的初始文件權(quán)限檢查方法：#cat

7、/etc/profile 查看umask的值備份方法：#cp -p /etc/profile /etc/profile_bak加固方法：#vi /etc/profileumask=027風(fēng)險(xiǎn)：會(huì)修改新建文件的默認(rèn)權(quán)限，如果該服務(wù)器是WEB應(yīng)用，則此項(xiàng)謹(jǐn)慎修改。四、網(wǎng)絡(luò)訪問控制4.1 使用SSH進(jìn)行管理檢查方法：#ps aef | grep sshd 查看有無此服務(wù)備份方法：加固方法：使用命令開啟ssh服務(wù)#service sshd start風(fēng)險(xiǎn)：改變管理員的使用習(xí)慣4.2 設(shè)置訪問控制策略限制能夠管理本機(jī)的IP地址檢查方法：#cat /etc/ssh/sshd_config 查看有無Allo

8、wUsers的語(yǔ)句備份方法：#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak加固方法：#vi /etc/ssh/sshd_config，添加以下語(yǔ)句AllowUsers *10.138.*.* 此句意為：僅允許/16網(wǎng)段所有用戶通過ssh訪問保存后重啟ssh服務(wù)#service sshd restart風(fēng)險(xiǎn)：需要和管理員確認(rèn)能夠管理的IP段4.3 禁止root用戶遠(yuǎn)程登陸檢查方法：#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no備份方法：#cp -p /etc/ssh/s

9、shd_config /etc/ssh/sshd_config_bak加固方法：#vi /etc/ssh/sshd_configPermitRootLogin no保存后重啟ssh服務(wù)service sshd restart圖6風(fēng)險(xiǎn)：root用戶無法直接遠(yuǎn)程登錄，需要用普通賬號(hào)登陸后su4.4 限定信任主機(jī)檢查方法：#cat /etc/hosts.equiv 查看其中的主機(jī)#cat /$HOME/.rhosts 查看其中的主機(jī)備份方法：#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak#cp -p /$HOME/.rhosts /$HOME/.rhosts

10、_bak加固方法：#vi /etc/hosts.equiv 刪除其中不必要的主機(jī)#vi /$HOME/.rhosts 刪除其中不必要的主機(jī)風(fēng)險(xiǎn)：在多機(jī)互備的環(huán)境中，需要保留其他主機(jī)的IP可信任。4.5 屏蔽登錄banner信息檢查方法：#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段，或banner字段為NONE#cat /etc/motd 查看文件內(nèi)容，該處內(nèi)容將作為banner信息顯示給登錄用戶。備份方法：#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak#cp -p /etc/motd /etc/

11、motd_bak加固方法：#vi /etc/ssh/sshd_configbanner NONE#vi /etc/motd刪除全部?jī)?nèi)容或更新成自己想要添加的內(nèi)容風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)4.6 防止誤使用Ctrl+Alt+Del重啟系統(tǒng)檢查方法：#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被注釋備份方法：#cp -p /etc/inittab /etc/inittab_bak加固方法：#vi /etc/inittab在行開頭添加注釋符號(hào)“#”#ca:ctrlaltdel:/sbin/shutdown -t3 -r now圖7風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)五、用戶鑒別5.1 設(shè)置帳

12、戶鎖定登錄失敗鎖定次數(shù)、鎖定時(shí)間檢查方法：#cat /etc/pam.d/system-auth 查看有無auth required pam_tally.so條目的設(shè)置備份方法：#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak加固方法：#vi /etc/pam.d/system-authauth required pam_tally.so onerr=fail deny=6 unlock_time=300 設(shè)置為密碼連續(xù)錯(cuò)誤6次鎖定，鎖定時(shí)間300秒解鎖用戶 faillog -u -r風(fēng)險(xiǎn)：需要PAM包的支持;對(duì)pam文件的修改應(yīng)

13、仔細(xì)檢查，一旦出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無法登陸;當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問題時(shí)，首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息，根據(jù)這些信息判斷用戶賬號(hào)的有效性。5.2 修改帳戶TMOUT值，設(shè)置自動(dòng)注銷時(shí)間檢查方法：#cat /etc/profile 查看有無TMOUT的設(shè)置備份方法：#cp -p /etc/profile /etc/profile_bak加固方法：#vi /etc/profile增加TMOUT=600 無操作600秒后自動(dòng)退出風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)5.3 Grub/Lilo密碼檢查方法：#cat /etc/grub.conf|grep password

14、查看grub是否設(shè)置密碼#cat /etc/lilo.conf|grep password 查看lilo是否設(shè)置密碼備份方法：#cp -p /etc/grub.conf /etc/grub.conf_bak#cp -p /etc/lilo.conf /etc/lilo.conf_bak加固方法：為grub或lilo設(shè)置密碼風(fēng)險(xiǎn)：etc/grub.conf通常會(huì)鏈接到/boot/grub/grub.conf5.4 限制FTP登錄檢查方法：#cat /etc/ftpusers 確認(rèn)是否包含用戶名，這些用戶名不允許登錄FTP服務(wù)備份方法：#cp -p /etc/ftpusers /etc/ftpus

15、ers_bak加固方法：#vi /etc/ftpusers 添加行，每行包含一個(gè)用戶名，添加的用戶將被禁止登錄FTP服務(wù)風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)5.5 設(shè)置Bash保留歷史命令的條數(shù)檢查方法：#cat /etc/profile|grep HISTSIZE=#cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數(shù)備份方法：#cp -p /etc/profile /etc/profile_bak加固方法：#vi /etc/profile修改HISTSIZE=5和HISTFILESIZE=5即保留最新執(zhí)行的5條命令圖8風(fēng)險(xiǎn)：無可見風(fēng)險(xiǎn)六、審計(jì)策略6.1 配置系統(tǒng)日志策

16、略配置文件檢查方法：#ps aef | grep syslog 確認(rèn)syslog是否啟用#cat /etc/syslog.conf 查看syslogd的配置，并確認(rèn)日志文件是否存在系統(tǒng)日志(默認(rèn))/var/log/messagescron日志(默認(rèn))/var/log/cron安全日志(默認(rèn))/var/log/secure備份方法：#cp -p /etc/syslog.conf圖96.2 為審計(jì)產(chǎn)生的數(shù)據(jù)分配合理的存儲(chǔ)空間和存儲(chǔ)時(shí)間檢查方法：#cat /etc/logrotate.conf 查看系統(tǒng)輪詢配置，有無# rotate log files weeklyweekly# keep 4 weeks worth of backlogsrotate 4 的配置備份方法：#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak加固方法：#vi /etc/logrotate.d/syslog增加rotate 4 日志文件保存?zhèn)€數(shù)為4，當(dāng)?shù)?個(gè)產(chǎn)生后，刪除最早的日志size 100k 每個(gè)日志的大小加固后應(yīng)類似如下內(nèi)容：/var/log/sys