1、Linux系統(tǒng)安全加固手冊1.安裝最新安全補丁：項目：注釋：1安裝操作系統(tǒng)提供商發(fā)布的最新的安全補丁各常見的Linux發(fā)布安全信息的we刪址：RedHatLinux:http:/ .網(wǎng)絡和系統(tǒng)服務:inetd/xinetd網(wǎng)絡服務:設置項注釋：1確保只有確實需要的服務在運行：先把所有通過ineted/xineted運行的網(wǎng)絡服務關閉確實需要的服務,再打開絕大多數(shù)通過inetd/xinetd運行的網(wǎng)絡服務都可以被禁止，比如echo,exec,login,shell,who,finger等.對于telnet,r系歹U服務，ftp等，強烈建議使用SSHM弋替.2設置xinetd訪問控制在/etc/x

2、inetd.conf文件的default塊中加入如下行：only_from=/每個/（比如/24）對表示允許的源地址啟動服務：設置項注釋：1關閉NFS艮務器進程：運行chkconfignfsoffNFSS常存在漏洞會導致未授權的文件和系統(tǒng)訪問.2關閉NF潞戶端進程：運行chkconfignfslockoffchkconfigautofsoff3關閉NIS客戶端進程：NIS系統(tǒng)在設計時就存在安全隱患chkconfigypbindoff4關閉NIS服務器進程：運行chkconfigypservoffchkconfigyppasswdoff5關閉其它基于RPC勺服務：基于RPC

3、勺服務通常非常脆弱或者缺少安全運行chkconfigportmapoff的認證，但是還可能共享敏感信息.除非確實必需，否則應該完全禁止基于RPC勺服務.6關閉SM服務除非確實需要和Window源統(tǒng)共享文件，否運行chkconfigsmboff則應該禁止該服務.7禁止Netfs腳本如果不需要文件共享可禁止該腳本chkconfignetfsoff8關閉打印機守護進程如果用戶從來不通過該機器打印文件則應chkconfiglpdoff該禁止該服務.Unix的打印服務有糟糕的安全記錄.9關閉啟動時運行的XServer對于專門的服務器沒有理由要運行XServer,比如專門的Web艮務器/etc/initt

4、ab.newmv/etc/inittab.new/etc/inittabchownroot:root/etc/inittabchmod0600/etc/inittab10關閉MailServer多數(shù)Unix/Linux系統(tǒng)運行Sendmail作為郵chkconfigpostfixoff件服務器，而該軟件歷史上出現(xiàn)過較多安全漏洞，如無必要，禁止該服務11關閉WebServer可能的話，禁止該服務.chkconfighttpdoff12關閉SNMP如果必需運行SNMP話，應該更改缺省的chkconfigsnmpdoffcommunitystring13關閉DNSServer可能的話，禁止該服務ch

5、kconfignamedoff14關閉DatabaseServerLinux下常見的數(shù)據(jù)庫服務器有Mysql,chkconfigpostgresqloffPostgre,Oracle等，沒有必要的話,應該禁止這些服務15關閉路由守護進程組織里僅有極少數(shù)的機器才需要作為路由chkconfigroutedoff器來運行.大多數(shù)機器都使用簡單的“靜態(tài)chkconfiggatedoff路由，并且它不需要運行特殊的守護進程16關閉Webmir程管理工具Webmin一個遠程管理工具，它有糟糕的認chkconfigwebminoff證和會話管理歷史，所以應該謹慎使用17關閉SquidWebCache如果必需

6、使用，應該謹慎配置chkconfigsquidoff18可能的話禁止inetd/xinetd如果沒有網(wǎng)絡服務通過inetd/xinetd運行chkconfiginetdoff或則可以禁止它們chkconfigxinetdoff19設置守護進程掩碼系統(tǒng)缺省的umask值應該設定為022以避免cd/etc/rc.d/init.d守護進程創(chuàng)建所有用戶可寫的文件ifgrep-lumaskfunctions=;thenechoumask022functionsfi3.核心調整:設置項注釋：1禁止coredump:cat/etc/security/limits.conf* softcore0* hardc

7、ore0END_ENTRIES允許coredump會耗費大量的磁盤空間.2限制NF潞戶端使用特權端口：nextifps*#/|/AS*$/);($res,hst)=split();foreach$ent(hst)undef(%set);($optlist)=$ent=/(.*?)/;foreach$opt(split(/,/,$optlist)$set$opt=1;)delete($setinsecure);$setsecure=1;$ent=S/(.*?)/;$ent.=(.join(,keys(%set).);$hst0=(secure)unless(hst);可以防止非特權用戶發(fā)起的NF

8、敢擊.automouted/etc/exports3網(wǎng)絡參數(shù)調整：cat/etc/sysctl.confnet.ipv4.ip_forward=0net.ipv4.conf.all.accept_source_route=0net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1ENDSCRIPTcat/etc/sysctl.confnet.ipv4.conf.all.send_redirects=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept

9、_redirects=0ENDSCRIPTchownroot:root/etc/sysctl.confchmod0600/etc/sysctl.conf4 .日志系統(tǒng):設置項注釋：1捕捉發(fā)送給AUTH和AUTHPRIVfacility的消息到日志文件/var/log/secure:ifgrep-cauth./etc/syslog.conf-eq0then.syslog中的AUTH和AUTHPRIVfacility包含了大量安全相關的信息，不是所有Linux發(fā)布都記錄這些日志信息.應該把這些信息記錄到/var/log/secure文件中（該文件僅超級用戶可讀)/etc/syslog.conffi

10、ifgrep-cauthpriv./etc/syslog.confeq0then/etc/syslog.conffitouch/var/log/securechownroot:root/var/log/securechmod600/var/log/secure詳見：http:/ （它以超級用戶身份運行）來訪問，一個普通用戶可以修改crontab文件會導致他可以以超級用戶身份執(zhí)行任意程序6建立恰當?shù)木鎎anner：echoAuthorizedusesonly.Allmonitoredandreported./etc/motdchownroot：root/etc/motdchmod644/etc

11、/motdcat/etc/rc.d/rc.local改變登錄banner可以隱藏操作系統(tǒng)類型和版本號和其它系統(tǒng)信息，這些信息可以會對攻擊者有用.echoAuthorizedusesonly.Allmonitoredandreported./etc/issueechoAuthorizedusesonly.Allmonitoredandreported./etc/END7限制root登錄到系統(tǒng)控制臺：cat/etc/securettytty1tty2tty3tty4tty5tty6END_FILEchownroot:root/etc/securettychmod400/etc/securetty通

12、常應該以普通用戶身份訪問系統(tǒng)，然后通過其它授權機制 （比如su命令和sudo）來獲得更高權限，這樣做至少可以對登錄事件進行跟蹤設置LILO/GRUBq令：在/etc/lilo.conf文件的開頭加入如下行restrictedpassword=以root身份執(zhí)行如下命令：chownroot:root/etc/lilo.confchmod600/etc/lilo.conflilo可以有助于防止基于控制臺的物理攻擊對于GRUB:力口入本行至I/etc/grub.conf:password以root身份執(zhí)行如下命令：chownroot:root/etc/grub.confchmod600/etc/gr

13、ub.conf7.用戶賬號和環(huán)境:檢查項1清除或鎖定系統(tǒng)賬號：foruserinuucpoperatordo/usr/sbin/userdel$user注釋：Uucp和operator賬號通常是不需要的，可以把它們從passwd和shadows件中刪除， 其它賬號視具體情況而定.要鎖定一個賬號，可以把該賬號的shell改為一個無效的shell,doneforuserinadmaliasapacheaxfrdnsdnscachednslogftpgamesgdmgopherIpmailmailnullnamednewsnobodynscdpostgresqmaildqmaillqmailpqma

14、ilqrpcrpcusersquidsympasynctinydnsxfsdo/usr/sbin/usermod-L-s/dev/null$userdoneq驗證沒有遺留下來的+條目存在于passwd,shadow,group文件中：grepA+:/etc/passwd/etc/shadow/etc/group這些條目可能會給攻擊者提供一個途徑來取得系統(tǒng)的訪問權限，如果存在的化應該刪除2驗證是否有賬號存在空口令的情況：awk-F:($2=)print$1/etc/shadow所有賬號應該有一個強口令或者使用類似“NF或*LOCKED*的口令字串來鎖定賬號3檢查除了root以外是否還有其它賬號的

15、UID為0:awk-F:($3=0)print$1/etc/passwd任彳UID為0的賬號在系統(tǒng)上都具有超級用戶權限.4檢查root用戶的$PAT呻是否有.或者所有用戶/組用戶可寫的目錄超級用戶的$PAT般置中如果存在這些目錄可能會導致超級用戶誤執(zhí)行一個特洛伊木馬5刪除屬于root用戶的具有潛在危險的文件：rm-f/.rshosts/.netrc/root/.rshosts/root/.netrc/.rhost,/.netrc或/root/.rhost,/root/.netrc文件都具有潛在的危險6用戶的home!錄許可權限是否為755或更嚴格的限制：用戶home!錄的許可權限限制不嚴可能會

16、導致惡意用戶讀/修改/刪除其它用戶的數(shù)據(jù)或取得其它用戶的系統(tǒng)權限比如/dev/nullawk-F:($3=500)print$6/etc/passwddochmodgo-w$dirdone7是否有用戶的點文件是所有用戶可讀的awk-F:($3=500)print$6/etc/passwddoUnix/Linux下通常以.開頭的文件是用戶的配置文件，如果存在所有用戶可讀/寫的配置文件可能會使惡意用戶能讀/寫其它用戶的數(shù)據(jù)或取得其它用戶的系統(tǒng)權限forfilein$dir/.A-Za-z0-9*doif-f$file;thenchmodo-w$filefidonedone8刪除用戶的.netrc文件：fordirincut-f6-d:/etc/passwddorm-f$dir/rc文件中可能會包含未加密的口令9為用戶設置合適的缺省umask1:cd/etcforfileinprofilecsh.logincsh.cshrcbashrcdoifgrep-cumask$file-eq0;then