1、Linux安全配置手冊Linux安全配置手冊綜述本文檔以典型安裝的RedHat Linux為對象撰寫而成，其他版本均基本類似，根據具體情況進行適當修改即可。文檔中的操作需要以root用戶登錄至控制臺進行，不推薦使用網絡遠程的方式進行補丁及配置修改等加固操作。部分操作需要重新啟動服務器才會生效，注意某些數據庫等應用需要先停止應用，然后才可以重新啟動。加固之前首先應對系統中的重要文件及可能修改的文件進行備份，可參照使用以下腳本：for file in /etc/inetd.conf /etc/hosts.equiv /etc/ftpusers /etc/passwd /etc/shadow /et

2、c/hosts.allow /etc/hosts.deny /etc/proftpd.conf /etc/rc.d/init.d/functions /etc/inittab /etc/sysconfig/sendmail /etc/security/limits.conf /etc/exports /etc/sysctl.conf /etc/syslog.conf /etc/fstab /etc/security.console.perms /root/.rhosts /root/.shosts /etc/shosts.equiv /etc/X11/xdm/Xservers /etc/X11

3、/xinit/xserverrc /etc/X11/gdm/gdm.conf /etc/cron.allow /etc/cron.deny /etc/at.allow /etc/at.deny /etc/crontab /etc/motd /etc/issue /usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm.conf /etc/securetty /etc/security/access.conf /etc/lilo.conf /etc/grub.conf /etc/login.defs /etc/group /etc/profile /etc/csh

4、.login /etc/csh.cshrc /etc/bashrc /etc/ssh/sshd_config /etc/ssh/ssh_config /etc/cups/cupsd.conf /etc/,vsftpd/vsftpd.conf /etc/logrotate.conf /root/.bashrc /root/.bash_profile /root/.cshrc /root/.tcshrc /etc/vsftpd.ftpusers ; do -f $file && /bin/cp $file $file-preCISdonefor dir in /etc/xinetd

5、.d /etc/rc0123456.d /var/spool/cron /etc/cron.* /etc/logrotate.d /var/log /etc/pam.d /etc/skel ; do -d $dir && /bin/cp -r $dir $dir-preCISdone補丁系統補丁系統內核版本使用uname -a查看。軟件版本和補丁使用rpm -qa查看。使用up2date命令自動升級或去ftp:/下載對應版本補丁手工單獨安裝。其他應用補丁除RedHat官方提供的系統補丁之外，系統也應對根據開放的服務和應用進行補丁，如APACHE、PHP、OPENSSL、MYSQ

6、L等應用進行補丁。具體升級方法：首先確認機器上安裝了gcc及必要的庫文件。然后去應用的官方網站下載對應的源代碼包，如 *.tar.gz再解壓tar zxfv *.tar.gz再根據使用情況對編譯配置進行修改，或直接采用默認配置cd *./configure再進行編譯和安裝makemake install最小化xinetd網絡服務停止默認服務說明：Xinetd是舊的inetd服務的替代，他提供了一些網絡相關服務的啟動調用方式。Xinetd應禁止以下默認服務的開放：chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklo

7、gin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services操作：停止一個服務chkconfig 服務名 off打開一個服務chkconfig 服務名 on也可以使用ntsysv命令進行服務開關調整其他說明：對于xinet必須開放的服務，應該注意服務軟件的升級和安全配置，并推薦使用SSH和SSL對原明文的服務進行替換。如果條件允許，可以使用系統自帶的iptables或tcp-wrapper功能對訪問IP地址進

8、行限制。操作：Xinetd、SSH和SSL、防火墻配置參見對應系統的用戶手冊，此不詳述。最小化啟動服務設置daemon權限unmask說明：默認系統umask至少為022，以防止daemon被其他低權限用戶修改。操作：vi修改/etc/rc.d/init.d文件，umask 值為022。同時檢查/etc/rc.d/init.d中其他啟動腳本權限是否為755。關閉xinetd服務說明：如果前面第二章關閉xinetd服務中所列的服務，都不需要開放，則可以直接關閉xinetd服務。操作：chkconfig -level 12345 xinetd off關閉郵件服務說明：1) 如果系統不需要作為郵件服

9、務器，并不需要向外面發郵件，可以直接關閉郵件服務。2) 如果不需要作為郵件服務器，但是允許用戶發送郵件，可以設置Sendmail不運行在daemon模式。操作：1) chkconfig -level 12345 sendmail off2) 編輯/etc/sysconfig/senmail文件增添以下行DAEMON=noQUEUE=1h設置cd /etc/sysconfig/bin/chown root:root sendmail/bin/chmod 644 sendmail關閉圖形登錄服務說明：一般來說，大部分軟件的安裝和運行都不需要圖形環境。如果不需要圖形環境進行登錄和操作，可以關閉X W

10、indows的運行。操作：cp /etc/inittab /etc/inittab.bak編輯/etc/inittab文件修改id:5:initdefault:行為id:3:initdefault:chown root:root /etc/inittabchmod 0600 /etc/inittab如需要X Windows的時候，可運行startx命令啟動圖形界面。關閉X字體服務器說明：如果關閉了X Windows服務，則X font服務器服務也應該進行關閉。操作：chkconfig xfs off關閉其他默認啟動服務說明：系統啟動時會啟動很多不必要的服務，這些不必要的服務均存在一定的安全隱患

11、。一般可能存在以下不必要的服務：apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups加固時，應根據機器具體配置使用和應用

12、情況對開放的服務進行調整，關閉不需要的服務。服務運行腳本一般都放在/etc/rc.d/rc*.d進行啟動，可以使用chkconfig工具直接進行管理。對于必須通過/etc/rc.d/rc*.d開放的服務，應確保都已打上過最新的補丁。操作：chkconfig -level 12345 服務名 off如果關閉了特定的服務，也應該同時對這些服務在系統中的用戶加以鎖定或刪除可能包括以下用戶rpc rpcuser lp apache http httpd named dns mysql postgres squidusermod -L 要鎖定的用戶調整SMB服務說明：Samba服務器一般用來提供與Win

13、dows類似的文件和打印共享服務。除非十分必要，否則應關閉SMB（Windows文件共享）服務?？刹捎靡韵路绞介_放SMB服務。操作：chkconfig smb on調整NFS服務器服務說明：NFS漏洞較多，經常被利用來取得未授權的文件或系統權限。除非十分必要，否則應關閉NFS服務。可采用以下方式開放SMB服務，并應該限制export文件系統的中的IP地址范圍，以及增添只讀權限。操作：chkconfig -level 345 nfs on調整NFS客戶端服務說明：NFS客戶端服務一般用來訪問其他NFS服務器。除非十分必要，否則應關閉此服務?？刹捎靡韵路绞介_放此服務。操作：chkconfig -l

14、evel 345 nfslock onchkconfig -level 345 autofs on調整NIS服務器服務說明：NIS用來提供基于UNIX的域管理和認證手段。除非十分必要，否則應關閉此服務?？刹捎靡韵路绞介_放此服務。操作：chkconfig ypserv onchkconfig yppasswdd on調整NIS客戶端服務說明：NIS客戶端用來訪問其他NIS服務器。除非十分必要，否則應關閉此服務。可采用以下方式開放此服務。操作：chkconfig ypbind on調整RPC端口映射服務說明：RPC協議一般經過比較簡單的或不經認證就可以得到一些非常敏感的信息。并且RPC系列服務都存

15、在一些緩沖區溢出問題。在以下情況下可以考慮關閉RPC端口映射服務：服務器不是NFS服務器或客戶端；服務器不是NIS服務器或客戶端；服務器沒有運行其它依賴于RPC服務的第三方軟件；服務器不運行圖形界面（x-windows）。操作：chkconfig -level 345 portmap on調整netfs服務說明：此服務會作為客戶端掛接網絡中的磁盤。如果沒有網絡文件共享協議如NFS，NovellNetware或Windows文件共享使用，則可以關閉此服務。操作：chkconfig -level 345 netfs on調整打印機服務說明：UNIX打印服務存在較多的安全漏洞。如果系統不作為網絡中的

16、打印機服務器，則可以關閉此服務。如果必須使用此服務，首先應保證軟件都經過最新的補丁，然和設置cupsd進程運行在非root用戶和組。操作：if -e /etc/init.d/cups ; thenchkconfig cups onsed 's/#User lp/User lp/' /etc/cups/cupsd.conf >/etc/cups/cupsd.conf.newsed 's/#Group sys/Group sys/' /etc/cups/cupsd.conf.new >/etc/cups/cupsd.confrm -f /etc/cups

17、/cupsd.conf.new/bin/chown lp:sys /etc/cups/cupsd.conf/bin/chmod 600 /etc/cups/cupsd.conffichkconfig hpoj onchkconfig lpd on調整Web服務器服務說明：如果服務器必須開放Web，則需要作如下設置。應注意web目錄權限設置，不要允許目錄list。操作：chkconfig apahce on或chkconfig httpd on調整SNMP服務說明：簡單網絡管理協議SNMP一般用來監控網絡上主機或設備的運行情況。如果必須打開，則必須更改默認通訊字。操作：chkconfig snm

18、pd on編輯/etc/snmp/snmpd.confcom2sec notConfigUser default public修改public為其他一個足夠復雜的密碼。調整DNS服務器服務說明：DNS服務器服務用來為其他機器提供DNS解析，一般來說都可以關掉。如果必須進行開放，則必須升級至最新版本，并推薦設置chroot環境，還需要注意限制DNS配置文件中的區域傳輸等設置（加密碼或加IP地址限制）。操作：chkconfig named on調整SSHD服務器服務說明：SSHD服務器服務用來提供SSH Server的服務。如果必須進行開放，則必須升級至最新版本，并推薦設置chroot環境，還需要

19、注意限制SSH配置文件中的區域傳輸等設置，需要在SSHD配置文件中禁用ssh1方式連接，因ssh1方式連接是非完全加密。操作：Ø 如使用Openssh，則檢查/etc/ssh/sshd_config grep Protocol /etc/ssh/sshd_configØ 如使用SSH.com的SSHD,需要檢查/etc/ssh2/sshd2_configgrep Protocol /etc/ssh2/sshd2_config調整SQL服務器服務說明：如果不需要數據庫服務，則可以關閉此服務。如果必須進行開放，則注意修改數據庫用戶的密碼，并增加數據庫用戶IP訪問限制。操作：ch

20、kconfig postgresql onchkconfig mysqld on調整Webmin服務說明：Webmin是一個通過HTTP協議控制linux的工具，一般推薦使用SSH進行系統管理而不要使用此工具。操作：chkconfig webmin on調整Squid服務說明：Squid服務是客戶端與服務器之間的代理服務。Squid服務已出現過很多安全漏洞，并且如果設置不當的話，可能導致被利用來作為內外網之間的跳板。如果不需要，則可以關閉此服務。如果必須打開，則需要設置允許訪問的地址列表及認證。操作：chkconfig squid on調整kudzu硬件探測服務說明：Kudzu服務是linux

21、的硬件探測程序，一般設置為啟動系統的時候運行。他會檢測系統中的硬件的改變，并且會提示進行配置等。未經授權的新設備存在的一定的安全風險，系統啟動時控制臺就可以配置任何新增添的設備。如果不需要經常的改動硬件，則需要進行關閉?？梢栽谠鎏硇略O備時手工運行/etc/rc.d/init.d/kudzu啟動此服務。操作：chkconfig -level 345 kudzu on內核參數網絡參數調整說明：Linux支持的對網絡參數進行調整。具體參數詳細說明，可參見http:/lxr.linux.no/source/Documentation/networking/ip-sysctl.txt。操作：編輯/etc

22、/sysctl.conf增加net.ipv4.tcp_max_syn_backlog = 4096net.ipv4.conf.all.rp_filter = 1net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.secure_redirects = 0net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.default.accept_source_route =net.ipv4.conf.default.acc

23、ept_redirects = 0net.ipv4.conf.default.secure_redirects = 0/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf更多的網絡參數調整說明：如果系統不作為在不同網絡之間的防火墻或網關時，可進行如下設置。具體參數詳細說明，可參見http:/lxr.linux.no/source/Documentation/networking/ip-sysctl.txt操作：編輯/etc/sysctl.conf增加net.ipv4.ip_forward = 0net.ipv

24、4.conf.all.send_redirects = 0net.ipv4.conf.default.send_redirects = 0/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf日志系統認證日志配置說明：不是所有版本的linux都會在日之中記錄登陸信息。一般需要對這些重要的安全相關的信息進行保存，（如成功或失敗su，失敗的登陸，root登陸等）。這些將會被記錄在/var/log/secure文件里。操作：編輯/etc/syslog.conf確認有如下行authpriv.* /var/log/sec

25、uretouch /var/log/secure/bin/chown root:root /var/log/secure/bin/chmod 600 /var/log/secureFTP進程日志配置說明：系統默認會記錄wu-ftpd和vsftpd所有的連接和文件傳輸。以下將會確認所有法發送到服務期的命令將會被記錄。wu-ftpd將會把安全相關的或是策略邊界的行為記憶文件傳輸記錄到syslog里，默認位于/var/log/xferlog。操作：編輯/etc/xinetd.d/wu-ftpd文件確認有如下行server_args = -l -a -d/bin/chown root:root wu-

26、ftpd/bin/chmod 644 wu-ftpd編輯/etc/vsftpd.conf或/etc/vsftpd/vsftpd.conf文件確認有如下行xferlog_std_format=NOlog_ftp_protocol=YESlog_ftp_protocol=YES/bin/chmod 0600 vsftpd.conf/bin/chown root:root vsftpd.conf確認系統日志權限說明：保護系統日志文件不會被非授權的用戶所修改。操作：cd /var/log/bin/chmod o-w boot.log* cron* dmesg ksyms* httpd/* maillo

27、g* messages* news/* pgsql rpmpkgs* samba/* scrollkeeper.log secure* spooler* squid/* vbox/* wtmp/bin/chmod o-rx boot.log* cron* maillog* messages* pgsql secure* spooler* squid/*/bin/chmod g-w boot.log* cron* dmesg httpd/* ksyms* maillog* messages* pgsql rpmpkgs* samba/* scrollkeeper.log secure* spoo

28、ler*/bin/chmod g-rx boot.log* cron* maillog* messages* pgsql secure* spooler*/bin/chmod o-w gdm/ httpd/ news/ samba/ squid/ vbox/bin/chmod o-rx httpd/ samba/ squid/bin/chmod g-w gdm/ httpd/ news/ samba/ squid/ vbox/bin/chmod g-rx httpd/ samba/bin/chown -R root:root ./bin/chgrp utmp wtmp/bin/chown -R

29、 news:news news/bin/chown postgres:postgres pgsql/bin/chown -R squid:squid squid文件/目錄權限/etc/fstab中適當分區增加“nodev”選項說明：在我們已知不包含設備的分區增添nodev參數，防止用戶掛接分區中未授權設備。此項加固要比較慎重。操作：編輯/etc/fstab文件在非/的ext2和ext3分區后增添nodev參數/bin/chown root:root /etc/fstab/bin/chmod 0644 /etc/fstab/etc/fstab中移動設備增加“nosuid”“nodev”選項說明：

30、可移動的媒體可能導致惡意的程序進入系統?？梢詫⑦@些文件系統設置nosuid選項，此選項可以防止用戶使用CD-ROM或軟盤將設置了SUID的程序帶到系統里。參照上節，這些文件系統也應當設置nodev選項。操作：編輯/etc/fstab文件在floppy和cdrom分區后增添nosuid,nodev參數/bin/chown root:root /etc/fstab/bin/chmod 0644 /etc/fstab禁止用戶掛接可移動文件系統說明：PAM模塊中的pam console參數給控制臺的用戶臨時的額外特權。其配置位于/etc/security/console.perms文件。默認設置允許控

31、制臺用戶控制可以與其他主機共享的軟盤和CD-ROM設備。這些可移動媒體存在著一定的安全風險。以下禁止這些設備的額外特權。操作：編輯/etc/security/console.perms文件修改其中的console行，刪除以下設備之外的行/sound|fb|kbd|joystick|v4l|mainboard|gpm|scanner/bin/chown root:root console.perms/bin/chmod 0600 console.perms檢查passwd，shadow和group文件權限說明：檢查以下文件的默認權限。操作：cd /etc/bin/chown root:root

32、passwd shadow group/bin/chmod 644 passwd group/bin/chmod 400 shadow全局可寫目錄應設置粘滯位說明：當一個目錄設置了粘滯位之后，只有文件的屬主可以刪除此目錄中的文件。設置粘滯位可以防止用戶覆蓋其他用戶的文件。如/tmp目錄。操作：find / -xdev -type d -perm -0002 -a ! -perm -1000 -print找出未授權的全局可寫目錄說明：全局可寫文件可以被任意用戶修改。全局可寫文件可能造成一些腳本或程序被惡意修改后造成更大的危害，一般應拒絕其他組的用戶的寫權限。操作：find / -perm -00

33、02 -type f -xdev -printchmod o-w <filename>找出未授權的SUID/SGID文件說明：管理員應當檢查沒有其他非授權的SUID/SGID在系統內。操作：find / -perm -04000 -o -perm -02000 -type f -xdev -print找出異常和隱藏的文件說明：入侵者容易將惡意文件放在這目錄中或命名這樣的文件名。對于檢查出來的數據需要核對與否系統自身的文件。操作：find / -name ". " -exec ls -ldb ;find / -name ".*" -exec l

34、s -ldb ;系統訪問，授權和認證刪除.rhosts文件說明：R系列服務（rlogin，rsh，rcp）使用.rhosts文件，它使用基于網絡地址或主機名的遠端機算計弱認證（很容易被偽造）。如果必須使用R系列服務，則必須保證.rhosts文件中沒有“+”，并且同時指定對方系統和用戶名。如果有防火墻，則應該在過濾外部網段至內部的全部R系列服務訪問。同時需要保證.rhosts文件僅可以被所有者讀?。?00）。操作：for file in /etc/pam.d/* ; dogrep -v rhosts_auth $file > $file.new/bin/mv $file.new $file

35、/bin/chown root:root $file/bin/chmod 644 $filedone創建危險文件的鏈接說明：防止創建危險的/root/.rhosts，/root/.shosts，/etc/hosts.equiv和/etc/shosts.equiv文件。操作：/bin/rm /root/.rhostsln -s /dev/null /root/.rhosts/bin/rm /root/.shostsln -s /dev/null /root/.shosts/bin/rm /etc/hosts.equivln -s /dev/null /etc/hosts.equiv/bin/rm

36、 /etc/shosts.equivln -s /dev/null /etc/shosts.equiv創建ftpuser文件說明：Ø /etc/ftpusers和/etc/vsftp.ftpusers文件里的用戶列表里的用戶將拒絕通過WU-FTPD和vsftpd訪問系統。通常情況下，應當不允許一些系統用戶訪問FTP，并且任何時候都不應當使用root用戶訪問FTP。Ø /etc/vsftpd.user類似上述功能。操作：for name in cut -d: -f1 /etc/passwddoif id -u $name -lt 500 thenecho $name >

37、> /etc/ftpusersfidone/bin/chown root:root /etc/ftpusers/bin/chmod 600 /etc/ftpusersif -e /etc/vsftpd.conf | -e /etc/vsftpd/vsftpd.conf ; then/bin/rm -f /etc/vsftpd.ftpusers/bin/cp /etc/ftpusers /etc/vsftpd.ftpusersfi關閉X-Windows的開放端口說明：X服務器在6000/tcp監聽遠端客戶端的連接。X-Windows使用相對不安全的認證方式，取得X認證的用戶很容易就可以控制

38、整臺服務器。刪除選項中的“-nolisten tcp”可以使X服務器不再監聽6000/tcp端口。操作：if -e /etc/X11/xdm/Xservers ; thencd /etc/X11/xdmawk '($1 ! /#/ && $3 = "/usr/X11R6/bin/X") $3 = $3 " -nolisten tcp" ; print ' Xservers > Xservers.new/bin/mv Xservers.new Xservers/bin/chown root:root Xservers/

39、bin/chmod 444 Xserversfiif -e /etc/X11/gdm/gdm.conf ; thencd /etc/X11/gdmawk -F= '($2 /X$/) printf("%s -nolisten tcpn", $0); next ; print ' gdm.conf > gdm.conf.new/bin/mv gdm.conf.new gdm.conf/bin/chown root:root gdm.conf/bin/chmod 644 gdm.conffiif -d /etc/X11/xinit ; thencd /et

40、c/X11/xinitif -e xserverrc ; thenawk '/X/ && !/#/ print $0 " :0 -nolisten tcp $" next ; print ' xserverrc > xserverrc.new/bin/mv xserverrc.new xserverrcelsecat <<END >xserverrc#!/bin/bashexec X :0 -nolisten tcp $ENDfi/bin/chown root:root xserverrc/bin/chmod 755

41、xserverrcfi限制只有授權用戶可以訪問at/cron說明：cron.allow和at.allow可以指定允許運行crontab和at命令的用戶列表。一般直應該允許管理員有權利運行計劃任務。操作：cd /etc/bin/rm -f cron.deny at.denyecho root >cron.allowecho root >at.allow/bin/chown root:root cron.allow at.allow/bin/chmod 400 cron.allow at.allow限制crontab文件的權限說明：系統的crontab文件應該只能被cron daemo

42、n（以超級用戶權限運行）和crontab命令（SUID）。操作：/bin/chown root:root /etc/crontab/bin/chmod 400 /etc/crontab/bin/chown -R root:root /var/spool/cron/bin/chmod -R go-rwx /var/spool/cron/bin/chown -R root:root /etc/cron.*/bin/chmod -R go-rwx /etc/cron.*創建警示BANNER說明：創建警示BANNER可以對惡意攻擊者或嘗試者起到警示作用。操作：1) 創建控制臺和X模式BANNERif

43、"egrep -l Authorized /etc/motd" = "" ; thenecho "Authorized uses only. All activity may be monitored and reported." >>/etc/motdfiif "egrep -l Authorized /etc/issue" = "" ; thenecho "Authorized uses only. All activity may be monitored and r

44、eported." >>/etc/issuefiif "egrep -l Authorized /etc/" = "" ; thenecho "Authorized uses only. All activity may be monitored and reported." >>/etc/fi/bin/chown root:root /etc/motd /etc/issue /etc/bin/chmod 644 /etc/motd /etc/issue /etc/if -e /etc/X11/xdm

45、/kdmrc ; thencd /etc/X11/xdmawk '/GreetString=/ print "GreetString=Authorized uses only!" next ; print ' kdmrc >kdmrc.new/bin/mv kdmrc.new kdmrc/bin/chown root:root kdmrc/bin/chmod 644 kdmrcfiif -e /etc/X11/gdm/gdm.conf ; thencd /etc/X11/gdmawk '/Greeter=/ && /gdmgre

46、eter/ printf("#%sn", $0); next ;/#Greeter=/ && /gdmlogin/ $1 = "Greeter=/usr/bin/gdmlogin" ;/Welcome=/ print "Welcome=Authorized uses only!" next ; print ' gdm.conf >gdm.conf.new/bin/mv gdm.conf.new gdm.conf/bin/chown root:root gdm.conf/bin/chmod 644 gdm.

47、conffi2) 適應TCP Wrappers創建“authorized only”的網絡服務BANNER。mkdir /etc/banners ; cd /etc/bannersif -e /usr/doc/tcp_wrappers-7.6/Banners.Makefile ; thenfile=/usr/doc/tcp_wrappers-7.6/Banners.Makefileelsefile=/usr/share/doc/tcp_wrappers-7.6/Banners.Makefileficp $file Makefileecho "Authorized uses only.

48、 All activity may be monitored and reported." > prototypemakecd /etc/xinetd.dfor file in telnet krb5-telnet ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.telnetd" ; print ' $file >$file.new/bin/mv $file.new $filefidonefor file in wu-ftp

49、d gssftp ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.ftpd" ; print ' $file >$file.new/bin/mv $file.new $filefidonefor file in rsh kshell ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.rshd" ; pr

50、int ' $file >$file.new/bin/mv $file.new $filefidonefor file in rlogin klogin eklogin ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.rlogind" ; print ' $file >$file.new/bin/mv $file.new $filefi ; done/bin/chown root:root krb5-,telnet gssft

51、p wu-ftpd rsh kshell rlogin klogin eklogin/bin/chmod 644 krb5-,telnet gssftp wu-ftpd rsh kshell rlogin klogin eklogin3) 創建vsftpd的“authorized only”BANNERcd /etcif -d vsftpd ; thencd vsftpdfiif -e vsftpd.conf ; thenecho "ftpd_banner=Authorized uses only. All activity may be monitored and reported

52、." >> vsftpd.conffi配置xinetd訪問控制說明：配制xinetd使用簡單的訪問控制和日志。操作：在/etc/xinetd.conf插入“defaults”段only_from=<net>/<num_bits> <net>/<num_bits><net>/<num_bits>使用允許使用的網絡和掩碼。示例：only_from=/24將會限制只有/24的網絡可以訪問。限制root只能在控制臺登錄說明：root應該限制在只允許控制臺登陸，一般情

53、況下應該使用一般權限用戶進行操作，僅在必要時su成為root進行操作。操作：/bin/cp /dev/null /etc/securettyfor i in 1 2 3 4 5 6; doecho tty$i >>/etc/securettyecho vc/$i >>/etc/securettydoneecho console >>/etc/securetty/bin/chown root:root /etc/securetty/bin/chmod 400 /etc/securetty設置LILO/GRUB密碼說明：默認情況下，任何本地用戶都可以在控制臺重新

54、啟動機器，并很容易就可以控制正常的啟動進程。LILO和GRUB密碼可以在系統啟動時要求密碼。注意以下操作只應設置與十分注重本地安全的情況下。操作：LILO1) 增加下列行到/etc/lilo.confrestrictedpassword=<password><password>更改為自己指定的密碼。2) 以root身份執行以下命令/bin/chown root:root /etc/lilo.conf/bin/chmod 600 /etc/lilo.confliloGRUB1) 增加下列行到/etc/grub.confpassword <password>2)

55、 以root身份執行以下命令/bin/chown root:root /etc/grub.conf/bin/chmod 600 /etc/grub.conf設置單用戶默認認證說明：Linux默認可以在啟動時鍵入“linux single”進入到單用戶模式。單用戶模式可以不使用密碼就可以進行一些管理員操作，一般用來恢復忘記root密碼等。不加密碼的單用戶模式可能導致可以本地接觸到服務器的用戶直接控制系統。操作：cd /etcif "grep -l sulogin inittab" = "" ; thenawk ' print ;/id:012345

56、6sS:initdefault:/ print ":S:wait:/sbin/sulogin" ' inittab >inittab.new/bin/mv inittab.new inittab/bin/chown root:root inittab/bin/chmod 644 inittabfi限制NFS客戶端特權端口說明：設置secure參數可以使本地系統的NFS服務器進程拒絕沒有使用特權端口（小于1024）的NFS客戶端訪問。這個設置不會影響NFS操作員的操作，但是會拒絕非授權用戶的自動的NFS攻擊。操作：增加/etc/exports文件中的secure選項，可以使用以下perl腳本perl -i.orig -pe 'next if (/s*#/ | /s*$/);($res, hst) = split(" ");foreach $ent (hst) undef(%set);($optlist) = $ent = /(.*?)/;foreach $opt (split(/,/, $optlist) $set$opt = 1;delete($set"