linux系統(tǒng)安全加固手冊(cè)09

Linux系統(tǒng)平安加固手冊(cè)平安補(bǔ)?。汗こ蹋鹤⑨專?安裝操作系統(tǒng)提供商公布的最新的平安補(bǔ)丁各常見的Linux公布平安信息的web地址：RedHatLinux:CalderaOpenLinux:ConectivaLinux:DebianGNU/Linux:MandrakeLinux:LinuxPPC:y/S.u.S.E.:YellowDogLinux:2.網(wǎng)絡(luò)和系統(tǒng)效勞:inetd/xinetd網(wǎng)絡(luò)效勞：設(shè)置項(xiàng)注釋：1確保只有確實(shí)需要的效勞在運(yùn)行：先把所有通過ineted/xineted運(yùn)行的網(wǎng)絡(luò)效勞關(guān)閉，再翻開確實(shí)需要的效勞盡大多數(shù)通過inetd/xinetd運(yùn)行的網(wǎng)絡(luò)效勞都能夠被禁止,比方echo,exec,login,shell,who,finger等.關(guān)于telnet,r系列效勞，即等，強(qiáng)烈建議使用SSH來代替.2設(shè)置xinetd訪咨詢操縱"default/'塊中參加如下行:only_from=<net>/<num_bit><net>/<num_bit>…每個(gè)<net>/<num_bit>（比方/24）對(duì)表示答應(yīng)的源地址啟動(dòng)效勞：設(shè)置項(xiàng)注釋：1關(guān)閉NFS效勞器進(jìn)程：運(yùn)行chkconfignfsoffNFS通常存在漏洞會(huì)導(dǎo)致未授權(quán)的文件和系統(tǒng)訪咨詢.2關(guān)閉NFS客戶端進(jìn)程：運(yùn)行chkconfignfslockoffchkconfigautofsoff3關(guān)閉NIS客戶端進(jìn)程：chkconfigypbindoffNIS系統(tǒng)在設(shè)計(jì)時(shí)就存在平安隱患4關(guān)閉NIS效勞器進(jìn)程：運(yùn)行chkconfigypservoffchkconfigyppasswdoff5關(guān)閉其它基于RPC的效勞：運(yùn)行chkconfigportmapoff基于RPC的效勞通常特別脆弱或者缺少平安的認(rèn)證,然而還可能共享敏感信息.除非確實(shí)必需，否那么應(yīng)該完全禁止基于RPC的效勞.6關(guān)閉SMB效勞運(yùn)行chkconfigsmboff除非確實(shí)需要和Windows系統(tǒng)共享文件，否那么應(yīng)該禁止該效勞.

7禁止Netfs足本 假如不需要文件共享可禁止該足本chkconfianetfsoff8關(guān)閉打印機(jī)守護(hù)進(jìn)程 假如用戶從來不通過該機(jī)器打印文件那么chkconfiglpdoff 應(yīng)該禁止該效勞.Unix的打印效勞有糟糕的平安記錄.9關(guān)閉啟動(dòng)時(shí)運(yùn)行的XServer 關(guān)于專門的效勞器沒有理由要運(yùn)行sed's/id:5:initdefault:/id:3:initdefault:/'\ XServer,比方專門的Web效勞器mv/etc/inittab.new/etc/inittabchownroot:root/etc/inittabchmod0600/etc/inittab10關(guān)閉MailServer 多數(shù)Unix/Linux系統(tǒng)運(yùn)行Sendmail作為郵件chkconfigpostfixoff 效勞器,而該軟件歷史上出現(xiàn)過較多平安漏洞，如無必要，禁止該效勞11關(guān)閉WebServer 可能的話,禁止該效勞.chkconfiadoff12關(guān)閉SNMP 假如必需運(yùn)行SNMP的話，應(yīng)該更改缺省的chkconfiasnmDdoff communitvstrina13關(guān)閉DNSServer 可能的話，禁止該效勞chkconfianamedoff14關(guān)閉DatabaseServer Linux下常見的數(shù)據(jù)庫(kù)效勞器有chkconfigpostgresqloff Mysql,Postgre,Oracle等,沒有必要的話，應(yīng)該禁止這些效勞15關(guān)閉路由守護(hù)進(jìn)程 〃靜態(tài)路由〃，同時(shí)它不需要運(yùn)行特別的守chkconfigroutedoff 護(hù)進(jìn)程chkconfiaaatedoff16關(guān)閉Webmin遠(yuǎn)程治理工具 Webmin是一個(gè)遠(yuǎn)程治理工具，它有糟糕的chkconfiawebminoff 認(rèn)證和會(huì)話治理歷史，因此應(yīng)該慎重使用17關(guān)閉SquidWebCache 假如必需使用，應(yīng)該慎重配置chkconfigsquidoff18可能的話禁止inetd/xinetd 假如沒有網(wǎng)絡(luò)效勞通過inetd/xinetd運(yùn)行那chkconfiginetdoff或 么能夠禁止它們chkconfiaxinetdoff19設(shè)置守護(hù)進(jìn)程掩碼 系統(tǒng)缺省的umask值應(yīng)該設(shè)定為022以防止守護(hù)進(jìn)程創(chuàng)立所有用戶可寫的文件if["'grep-lumaskfunctions'"=""];thenecho"umask022">>functionsfi3.核心調(diào)整:設(shè)置項(xiàng) 注釋：1禁止coredump: 答應(yīng)coredump會(huì)消耗大量的磁盤空間.cat<<END_ENTRIES*softcore0*hardcore0ENDENTRIES

限 限制NFS客戶端使用特權(quán)端口： 能夠防止非特權(quán)用戶發(fā)起的perl-i.orig-pe\ automoutedNFS攻擊.'nextif(/A\s*#/||/Ns*$/);($res,@hst)=split("");foreach$ent(@hst){undef(%set);($optlist)=$ent=~/\((.*?)\)/;foreach$opt(split(/,/,$optlist)){$set{$opt}=1;}delete($set{"insecure"});$set{"secure"}=1;$ent=~s/\(.*?\)//;$ent.="(".join(",",keys(%set)).")";}$hst[0]="(secure)"unless(@hst);$_="$res\t".join("",@hst)."\n";'\/etc/exDorts網(wǎng)絡(luò)參數(shù)調(diào)整： 詳見：或2net.ipv4.ip_forward=0net.ipv4.conf.all.accept_source_route=0net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1END_SCRIPTcat<<END_SCRIPT>>/etc/sysctl.confnet.ipv4.conf.all.send_redirects=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept_redirects=0END_SCRIPT.日志系統(tǒng):注釋：注釋：.syslog中的AUTH和AUTHPRIVfacility包含了大量平安相關(guān)的信息，不是所有Linux公布都記錄這些日志信息.應(yīng)該把這些信息記錄到/var/log/secure文件中（該文件僅超級(jí)用戶可讀）1 捕捉發(fā)送給AUTH和AUTHPRIVfacility的消息到日志文件/var/log/secure:if['grep-c'auth\.'/etc/syslog.conf'-eq0]thenecho-e"auth.*\t\t\t\t/var/log/secure"\fiif['grep-c'authpriv\.'/etc/syslog.conf'eq0]thenecho-e"authpriv.*\t\t\t\t/var/log/secure"\fitouch/var/log/securechownroot:root/var/log/securechmod600/var/log/secure5.文件/名目訪咨詢?cè)S可權(quán)限檢查項(xiàng) 注釋：對(duì)/etc/fstab中的可移動(dòng)介質(zhì)增加"nosuid”選項(xiàng)：awk'($2~/A\/m.*V(floppy|cdrom)$/&&\$3!="supermount")\{$4=sprintf("%s,nosuid",$4)};\{print}'/emv/etc/fstab.new/etc/fstabchownroot:root/etc/fstabchmod0644/etc/fstab禁止一般用戶來mount可移動(dòng)文件系統(tǒng)： 在基于Linux的公布中一般用戶在操縱臺(tái)上cd/etc/security 有更大的權(quán)限，能夠使用CD-ROM和軟盤驅(qū)egrep-v'(floppy|cdrom)'console.perms\ 動(dòng)器.甚至在一些公布，比方MandrakeLinux上當(dāng)在機(jī)器上插進(jìn)軟盤或光碟時(shí)系統(tǒng)會(huì)通過supermount來自動(dòng)mount這些驅(qū)動(dòng)器.mv/etc/fstab.new/etc/fstabchownroot:rootconsole.perms/etc/fstabchmod0644/etc/fstab對(duì)passwd,shadow,和group文件設(shè)置正確的許可權(quán)限： 這些文件的屬主和組應(yīng)該為root,passwd和cd/etc group文件的許可權(quán)限應(yīng)該為644,shadowchownroot:rootpasswdshadowgroup 文件的許可權(quán)限應(yīng)該為400chmod644passwdgroupchmod400shadow對(duì)臨時(shí)名目設(shè)置粘著位： 臨時(shí)名目不設(shè)置粘著位會(huì)導(dǎo)致一般用戶能chmod+t/tmp 夠任意刪除其它用戶建立的臨時(shí)文件find/var-typed-perm-0222-xdev-execchmod+t{}\;查尋未認(rèn)證的SUID/SGID可程序：forpartin\'awk'($3=="ext2"||$3==“ext3”)\{print$2}'/etc/fstab'dofind$part\(-perm-04000-o-perm-02000\)\-typef-xdev-printdone

.系統(tǒng)訪咨詢,認(rèn)證和授權(quán):檢查項(xiàng)注釋：1forfilein'echo/etc/pam.d/*';dogrep-vrhosts_auth$file>${file}.newmv${file}.new$filechownroot:root$filechmod644$filedone2刪除：/etc/hosts.equiv文件為系統(tǒng)上的所有用戶設(shè)置全局信任關(guān)系，于.rhost的作用類似.3校驗(yàn)/etc/ftpusers文件的內(nèi)容，確認(rèn)root和系統(tǒng)用戶存在在該文件中/etc/ftpusers文件列出了所有禁止使用ftp的用戶的名單，通常root和系統(tǒng)用戶都應(yīng)該禁止使用ftp4限制at/cron給授權(quán)的用戶：cd/etc/Cron.allow和at.allow文件列出了答應(yīng)答應(yīng)crontab和at命令的用戶名單,在多數(shù)系統(tǒng)上通常只有系統(tǒng)治理員才需要運(yùn)行這些命令系統(tǒng)的crontab文件應(yīng)該只能被cron守護(hù)進(jìn)程系統(tǒng)的crontab文件應(yīng)該只能被cron守護(hù)進(jìn)程（它以超級(jí)用戶身份運(yùn)行）來訪咨詢,一個(gè)一般用戶能夠修改crontab文件會(huì)導(dǎo)致他能夠以超級(jí)用戶身份執(zhí)行任意程序改變登錄banner能夠隱躲操作系統(tǒng)類型和版本號(hào)和其它系統(tǒng)信息,這些信息能夠會(huì)對(duì)攻擊者有用.chownroot:root/etc/crontabchmod400/etc/crontabchown-Rroot:root/var/spool/cronchmod-Rgo-rwx/var/spool/cronchown-Rroot:root/etc/cron.*chmod-Rgo-rwx/etc/cron.*建立恰當(dāng)?shù)木鎎anner:echo"Authorizedusesonly.Allactivitymaybe\monitoredandreported.">>/etc/motdchownroot:root/etc/motdchmod644/etc/motdecho"Authorizedusesonly.Allactivitymaybe\monitoredandreported.">>/etc/issueecho"Authorizedusesonly.Allactivitymaybe\

END通常應(yīng)該以一般用戶身份訪咨詢系統(tǒng),然后通過其它授權(quán)機(jī)制（比方su命令和sudo）來獲得更高權(quán)限,如此做至少能夠?qū)Φ卿浭录M(jìn)行跟蹤通常應(yīng)該以一般用戶身份訪咨詢系統(tǒng),然后通過其它授權(quán)機(jī)制（比方su命令和sudo）來獲得更高權(quán)限,如此做至少能夠?qū)Φ卿浭录M(jìn)行跟蹤cat<<END_FILE>/etc/securettytty1tty2tty3tty4tty5tty6END_FILEchownroot:root/etc/securettychmod400/etc/securetty8設(shè)置8設(shè)置LILO/GRUB口令：在/etc/lilo.conf文件的開頭參加如下行:restricted能夠有助于防止基于操縱臺(tái)的物理攻擊password=<password>以root身份執(zhí)行如下命令：lilo關(guān)于GRUB:參加本行到/etc/grub.conf：password<password>以root身份執(zhí)行如下命令：注釋：Uucp和operator賬號(hào)通常是不需要的注釋：Uucp和operator賬號(hào)通常是不需要的，能夠把它們從passwd和shadow文件中刪除淇它賬號(hào)視具體情況而定.要鎖定一個(gè)賬號(hào),能夠把該賬號(hào)的shell改為一個(gè)無效的shell,比方/dev/null檢查項(xiàng)1 往除或鎖定系統(tǒng)賬號(hào)：foruserinuucpoperatordo/usr/sbin/userdel$userdoneforuserinadmaliasapacheaxfrdnsbindaemondhcpd\dnscachednslogftpgamesgdmgopherhalthtdigident\lpmailmailnullnamednewsnobodynscdpostfix\postgresqmaildqmaillqmailpqmailqqmailrqmails\

rpcrpcusersquidsympasynctinydnsxfsdo/usr/sbin/usermod-L-s/dev/null$userdone□驗(yàn)證沒有遺留下來的‘+‘條目存在于passwd,shadow,group文件中:grep人十:/etc/passwd/etc/shadow/etc/group這些條目可能會(huì)給攻擊者提供一個(gè)途徑來取得系統(tǒng)的訪咨詢權(quán)限,假如存在的化應(yīng)該刪除2驗(yàn)證是否有賬號(hào)存在空口令的情況：awk-F:'($2==""){print$1}'/etc/shadow所有賬號(hào)應(yīng)該有一個(gè)強(qiáng)口令或者使用類似"NP"或"*LOCKED*"的口令字串來鎖定賬號(hào)3檢查除了9。1以外是否還有其它賬號(hào)的UID為0：awk-F:'($3==0){print$1}'/etc/passwd任何UID為0的賬號(hào)在系統(tǒng)上都具有超級(jí)用戶權(quán)限.4檢查root用戶的$PATH中是否有’.’或者所有用戶/組用戶可寫的名目超級(jí)用戶的$PATH設(shè)置中假如存在這些名目可能會(huì)導(dǎo)致超級(jí)用戶誤執(zhí)行一個(gè)特洛伊木馬5刪除屬于root用戶的具有潛在危險(xiǎn)的文件：rm-f/.[rs]hosts/.netrc/root/.[rs]hosts/root/.netrc/.rhost,/.netrc或/root/.rhost,/root/.netrc文件都具有潛在的危險(xiǎn)6用戶的home名目許可權(quán)限是否為755或更嚴(yán)格的限制：fordirin\'awk-F:'($3>=500){print$6}'/etc/passwd'dochmodgo-w$dirdone用戶八。1^6名目的許可權(quán)限限制不嚴(yán)可能會(huì)導(dǎo)致惡意用戶讀/修改/刪除其它用戶的數(shù)據(jù)或取得