【CIS基线-CentOS6-v2.0.2】 模块:服务，子模块:特殊用途的服务

检查项：
    Ensure time synchronization is in use
检查项：
    确保时间同步正在使用
描述:
    同一环境的系统的系统时间应该同步，这通常通过建立时间服务器或者一个服务器集，并将所有的系统时
    间同步。
原理:
    对于时间敏感的安全机制(如kerberos)，时间同步极其重要。同时时间同步还可以确保日志文件的时间一
    致性，这有助于取证调查。
配置方法:
    1.在基于主机的时间同步不可用的物理系统或虚拟系统上，运行以下命令之一来安装ntp或chrony：
    # yum install ntp
    # yum install chrony
    2.在基于主机的时间同步可用的虚拟系统上，请参阅虚拟化软件文档并设置基于主机的同步。
检测方法：
    1.基于时间同步不可用的物理系统或虚拟系统上，用以下命令验证ntp、chrony是否安装
    # rpm -q ntp
    # rpm -q chrony
    2.在基于主机的时间同步可用的虚拟系统上，请参阅虚拟化软件文档并验证是否正在使用基于主机的同步。


检查项：
    Ensure ntp is configured
检查项：
    确保配置了ntp
描述:
    ntp是一个实现网络时间协议（NTP）的守护进程。 它旨在同步各种系统的系统时钟，并使用高度准确的
    信号源。 
    有关NTP的更多信息，请访问http://www.ntp.org。 ntp可以配置为客户端和/或服务器。此建议仅适
    用于系统上正在使用ntp的情况。
原理:
    如果在系统上使用ntp，则正确配置对于确保时间同步正常工作至关重要。
配置方法:
   1.创建或编辑文件/etc/ntp.conf，并加入以下内容:
    restrict -4 default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery
    2.在文件/etc/ntp.conf中添加或编辑服务器配置:
    server <remote-server>
    3.在文件中/etc/sysconfig/ntpd添加"-u ntp:ntp"选项
    OPTIONS="-u ntp:ntp"
检测方法：
    1.运行以下命令并验证输出匹配：
    # grep "^restrict" /etc/ntp.conf
    restrict -4 default kod nomodify notrap nopeer noquery
    restrict -6 default kod nomodify notrap nopeer noquery
    第一行的-4是可选的。默认后的选项可以按照任何顺序出现。
    2.运行以下命令并验证是否正确配置了远程服务器：
    # grep "^server" /etc/ntp.conf
    server <remote-server>
    可能配置多个服务器
    3.运行以下命令，查看/etc/sysconfig/ntpd是否包含"-u ntp:ntp"选项
    # grep "^OPTIONS" /etc/sysconfig/ntpd
    OPTIONS="-u ntp:ntp"


检查项：
    Ensure chrony is configured 
检查项：
    确保配置了chrony
描述:
    chrony是一个实现网络时间协议（NTP）的守护进程，旨在同步各种系统的系统时钟，并使用高度准确的
    源。有关chrony的更多信息,请访问http://chrony.tuxfamily.org/。 chrony可以配置为客户端和
    服务器。
原理:
    如果系统正在使用chrony，则正确配置对于确保时间同步正常工作至关重要。此建议仅适用于在系统上使
    用chrony的情况。
配置方法:
    1.创建或编辑文件/etc/chrony.conf，并加入以下内容:
    server <remote-server>
    2.在文件中/etc/sysconfig/chronyd添加"-u chrony"选项:
    OPTIONS="-u chrony"
检测方法：
    1.运行如下命令验证是否配置了远程服务器:
    # grep "^server" /etc/chrony.conf
    server <remote-server>
    可能配置多个服务器
    2.运行以下命令，查看是否配置了"-u chrony"选项:
    # grep ^OPTIONS /etc/sysconfig/chronyd
    OPTIONS="-u chrony"


检查项：
    Ensure X Window System is not installed
检查项：
    确保未安装X Window System
描述:
    X Window System提供一个图形用户界面，用于多个窗口运行程序和操作各种附加程序。通常用于用户登
    录工作站，不能用于用于不常登录的服务器。
原理:
    除非您的组织明确要求通过X Windows进行图形登录访问，否则请将其删除以减少潜在的攻击。
配置方法:
    运行以下命令删除X Window System:
    # yum remove xorg-x11*
检测方法：
    运行以下程序，验证没有任何输出:
    # rpm -qa xorg-x11*


检查项：
    Ensure Avahi Server is not enabled
检查项：
    确保未启用Avahi服务器
描述:
    Avahi是一个免费的zeroconf实现，包括一个用于多播DNS / DNS-SD服务发现的系统。 Avahi允许程序
    发布和发现在没有特定配置的本地网络上运行的服务和主机。 例如，用户可以将计算机插入网络，Avahi
    会自动查找要打印的打印机，要查看的文件和要与之通话的人，以及在计算机上运行的网络服务。
原理:
    系统功能通常不需要自动发现网络服务。 建议禁用该服务以减少潜在的攻击。
配置方法:
    运行以下命令禁用avahi-daemon:
    # chkconfig avahi-daemon off
检测方法：
    运行以下命令并验证avahi-daemon在所有运行级别已列为“off”或不可用：
    # chkconfig --list avahi-daemon
    avahi-daemon   0:off  1:off  2:off  3:off  4:off  5:off  6:off


检查项：
    Ensure CUPS is not enabled
检查项：
    确保未启用CUPS
描述:
    通用Unix打印系统（CUPS）提供了打印到本地和网络打印机的功能。 运行CUPS的系统还可以接受来自远
    程系统的打印作业并将其打印到本地打印机。 它还提供基于Web的远程管理功能。
原理:
    如果系统不需要打印作业或接受来自其他系统的打印作业，建议禁用CUPS以减少潜在的攻击。
    影响:禁用CUPS将阻止从系统打印，这是工作站系统的常见任务。
配置方法:
    运行以下命令禁用cups:
    # chkconfig cups off
检测方法：
    运行以下命令并验证cups在所有运行级别已列为“off”或不可用：
    # chkconfig --list cups 
    cups      0:off  1:off  2:off  3:off  4:off  5:off  6:off


检查项：
    Ensure DHCP Server is not enabled 
检查项：
    确保未启用DHCP服务器
描述:
    动态主机配置协议（DHCP）是一种允许机器动态分配IP地址的服务。
原理:
    若非专门设置系统充当DHCP服务器，否则建议禁用此服务以减少潜在的攻击。
配置方法:
    运行以下命令禁用dhcpd:
    # chkconfig dhcpd off
检测方法：
    运行以下命令验证dhcpd服务在所有运行级别设置为off或不可用
    # chkconfig --list dhcpd
    dhcpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure LDAP server is not enabled
检查项：
    确保未启用LDAP服务器
描述:
    作为替代NIS/YP而引入的轻量目录访问协议。此服务提供从中央数据库查找信息的方法。
原理:
    若非专门设置系统充当LDAP服务器，否则建议禁用此服务以减少潜在的攻击。
配置方法:
    运行以下命令禁用slapd:
    # chkconfig slapd off
检测方法：
    运行以下命令验证slapd服务在所有运行级别设置为off或不可用
    # chkconfig --list slapd
    slapd 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure NFS and RPC are not enabled
检查项：
    确保未启用NFS和RPC
描述:
    网络文件系统（NFS）是UNIX环境中第一个也是分布最广的文件系统之一。它使系统具有向其他服务器挂
    载文件系统的能力。
原理:
    如果系统不需要使用NFS共享资源或者系统作为客户端，那么建议禁用此服务减少远程攻击。
配置方法:
    运行以下命令禁用nfs、rpcbind
    # chkconfig nfs off
    # chkconfig rpcbind off
检测方法：
    1.运行以下命令验证nfs服务在所有运行级别设置为off或不可用
    # chkconfig --list nfs
    nfs 0:off 1:off 2:off 3:off 4:off 5:off 6:off
    2.运行以下命令验证rpcbind服务在所有运行级别设置为off或不可用
    # chkconfig --list rpcbind
    rpcbind 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure DNS Server is not enabled
检查项：
    确保没有启用DNS服务器
描述:
    域名系统（DNS）是一种分层命名系统，它将名称映射到连接到网络的计算机，服务和其他资源的IP地
    址。
原理:
    除非专门指定系统充当DNS服务器，否则建议禁用该服务以减少潜在的攻击。
配置方法:
    运行以下命令禁用named:
    # chkconfig named off
检测方法：
    运行以下命令验证named服务在所有运行级别设置为off或不可用
    # chkconfig --list named
    named 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure FTP Server is not enabled
检查项：
    确保未启用FTP服务器
描述:
    文件传输协议（FTP）为联网计算机提供传输文件的能力。
原理:
    FTP不保护数据或身份验证凭据的机密性。 如果需要文件传输，建议使用sftp。 除非需要将系统作为
    FTP服务器运行（例如，允许匿名下载），否则建议禁用该服务减少潜在的攻击。注意:还存在其他FTP服
    务器，应进行审计。
配置方法:
    运行以下命令禁用vsftpd:
    # chkconfig vsftpd off
检测方法：
    运行以下命令验证vsftpd服务在所有运行级别设置为off或不可用
    # chkconfig --list vsftpd
    vsftpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure HTTP server is not enabled 
检查项：
    确保未启用HTTP服务器
描述:
    HTTP或web服务器提供了承载web站点内容的能力。
原理:
    若非专门设置系统充当HTTP服务器，否则建议禁用此服务以减少潜在的攻击。注意：httpd可能以其他名
    字存在，如apache、apache2、lighttpd、nginx；其他提供http服务的软件也应该有相应的审计。
配置方法:
    运行以下命令禁用httpd:
    # chkconfig httpd off
检测方法：
    运行以下命令验证httpd服务在所有运行级别设置为off或不可用
    # chkconfig --list httpd
    httpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure IMAP and POP3 server is not enabled
检查项：
    确保未启用IMAP和POP3服务器
描述:
    dovecot是一个基于Linux系统的开源IMAP和POP3服务器。
原理:
    若非专门设置系统充当服务器提供POP3或者IMAP服务，否则建议禁用此服务以减少潜在的攻击。
    注意:dovecot可能以其他服务名存在。如cyrus-imapd等也提供IMAP、POP3服务也应该有相应的审计
配置方法:
    运行以下命令禁用dovecot:
    # chkconfig dovecot off
检测方法：
    运行以下命令验证dovecot服务在所有运行级别设置为off或不可用
    # chkconfig --list dovecot
    dovecot 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure Samba is not enabled
检查项：
    确保未启用Samba
描述:
    Samba允许系统管理员配置配置Linux系统共享其文件系统和目录给Windows系统。其通过SMB协议向
    Windows通告其文件系统和目录。Windows桌面用户能够以此挂载这些文件系统和目录在自己的系统上。
原理:
    如果不必向Windows用户共享其文件系统和目录。建议禁用此服务以减少攻击。
配置方法:
    运行以下命令禁用smb:
    # chkconfig smb off
检测方法：
    运行以下命令验证smb服务在所有运行级别设置为off或不可用
    # chkconfig --list smb
    smb 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure HTTP Proxy Server is not enabled 
检查项：
    确保未启用HTTP代理服务器
描述:
    Squid是可在多环境使用的多环境HTTP代理服务器。
原理:
    若不需要htpp代理服务器,则禁用此服务减少潜在的攻击。
配置方法:
    运行以下命令禁用squid:
    # chkconfig squid off
检测方法：
    运行以下命令验证squid服务在所有运行级别设置为off或不可用
    # chkconfig --list squid
    squid 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure SNMP Server is not enabled 
检查项：
    确保未启用SNMP服务器
描述:
    简单网络管理协议(SNMP)用于监听、执行SNMP管理系统的命令，收集信息和响应SNMP请求。
原理:
    SNMP服务器使用SNMP v1进行通信，SNMP v1以明文形式传输数据，不需要身份验证即可执行命令。
    除非绝对必要，否则建议不要使用SNMP服务。
配置方法:
    运行以下命令禁用snmpd:
    # chkconfig snmpd off
检测方法：
    运行以下命令验证snmpd服务在所有运行级别设置为off或不可用
    # chkconfig --list snmpd
    snmpd 0:off 1:off 2:off 3:off 4:off 5:off 6:off


检查项：
    Ensure mail transfer agent is configured for local-only mode
检查项：
    确保将邮件传输代理配置为仅本地模式
描述:
    邮件传输代理（MTA）（如sendmail和Postfix）用于侦听传入邮件并将邮件传输到相应的用户或邮件
    服务器。 如果系统不是邮件服务器，建议将MTA配置为仅处理本地邮件。
原理:
    所有的邮件代理软件都很复杂，大多数都有由来已久的安全问题。虽然确保系统能够接受本地邮件非常重
    要，如果系统不打算作为邮件服务器和接受来自其他系统的邮件，那么就不必打开MTA的监听端口。
    注意：此建议是根据postfix设计的，若系统中安装了其他的邮件传输代理，则根据MAT文档配置成响应的状态。
配置方法:
    1.编辑文件:/etc/postfix/main.cf,添加或修改下面内容：
    inet_interfaces = localhost
    2.重启postfix
    # service postfix restart
检测方法：
    运行以下命令验证MAT没有监听任何非环回地址的端口：
    # netstat -an | grep LIST | grep ":25[[:space:]]"
    tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN


检查项：
    Ensure NIS Server is not enabled 
检查项：
    确保未启用NIS服务器
描述:
    网络信息服务(NIS)(正式名称为黄页)是用于分发系统配置文件的客户端 - 服务器目录服务协议。
    NIS服务器是允许分发配置文件的程序集合。
原理:
    NIS服务本质上是一个不安全的系统，容易受到DOS攻击，缓冲区溢出的影响，并且查询NIS映射的身份
    验证很差。 NIS通常被诸如轻量级目录访问协议（LDAP）之类的协议所取代。 建议禁用该服务，并使用
    其他更安全的服务。
配置方法:
    运行以下命令禁用ypserv:
    # chkconfig ypserv off
检测方法:
    运行以下命令验证ypserv服务在所有运行级别设置为off或不可用
    # chkconfig --list ypserv
    ypserv 0:off 1:off 2:off 3:off 4:off 5:off 6:off

检查项：
    Ensure NIS Client is not installed 
检查项：
    确保未安装NIS客户端
描述:
    网络信息服务（NIS），以前称为黄页，是用于分发系统配置文件的客户端 - 服务器目录服务协议。
     NIS客户端（ypbind）用于将计算机绑定到NIS服务器并接收分布式配置文件。
原理:
    NIS服务本质上是一个不安全的系统，容易受到DOS攻击，缓冲区溢出的影响，并且查询NIS映射的
    身份验证很差。 NIS通常已被诸如轻量级目录访问协议（LDAP）之类的协议所取代。 建议删除该服务。
    注意：许多不安全的服务器客户端常用作故障排除工具和测试环境。卸载它们会影响测试和排除故障的能
    力。如果需要，应该在使用后移动客户端，以防止意外和故意的错误操作。
配置方法:
    运行以下命令删除ypbind:
    # yum remove ypbind
检测方法：
    运行以下命令验证ypbind未安装：
    # rpm -q ypbind
    package ypbind is not installed


检查项：
    Ensure rsh client is not installed
检查项：
    确保未安装rsh客户端
描述:
    rsh包中包含操作rsh服务器的客户端命令。
原理:
    这些旧版客户端包含大量安全风险，已被更安全的SSH软件包取代。 即使删除了服务器，也最好确保还
    删除了客户端，以防止用户无意中尝试使用这些命令，从而暴露其凭据。 请注意，删除rsh包将删除
    rsh，rcp和rlogin的客户端。
    注意：许多不安全的服务器客户端常用作故障排除工具和测试环境。卸载它们会影响测试和排除故障的能
    力。如果需要，应该在使用后移动客户端，以防止意外和故意的错误操作。
配置方法:
    运行以下命令删除rsh:
    # yum remove rsh
检测方法：
    运行以下命令验证rsh未安装：
    # rpm -q rsh
    package rsh is not installed


检查项：
    Ensure talk client is not installed
检查项：
    确保未安装talk客户端
描述:
    talk软件使用户能够通过终端会话在系统之间发送和接收消息。允许初始化会话的talk客户机默认安装。
原理:
    该软件使用未加密的协议进行通信，因此存在安全风险。
配置方法:
    运行以下命令删除talk:
    # yum remove talk
检测方法：
    运行以下命令验证talk未安装：
    # rpm -q talk
    package talk is not installed