. .
PAGE
word版本
PAGE 2
目 录
TOC \o "1-3" \h \z \u LINUX加固方案 1
1.安装最新安全补丁 4
2.网络和系统服务 4
3.核心调整 6
4.日志系统 7
5.文件/目录访问许可权限 7
6.系统访问, 认证和授权 8
7.用户账号和环境 10
8.关键安全工具的安装 11
1.安装最新安全补丁
项目:
注释:
1
安装操作系统提供商发布的最新的安全补丁
各常见的Linux发布安全信息的web地址:
RedHat Linux: /support/
Caldera OpenLinux: /support/security/
Conectiva Linux: .br/atualizacoes/
Debian GNU/Linux: /security/
Mandrake Linux: /en/fupdates.php3
LinuxPPC: /support/updates/security/
S.u.S.E. : http://www.suse.de/security/index.html
Yellow Dog Linux : /resources/errata.shtml
2.网络和系统服务
inetd/xinetd网络服务:
设置项
注释:
1
确保只有确实需要的服务在运行:
先把所有通过ineted/xineted运行的网络服务关闭,再打开确实需要的服务
绝大多数通过inetd/xinetd运行的网络服务都可以被禁止,比如echo, exec, login, shell,who,finger等.对于telnet, r系列服务, ftp等, 强烈建议使用SSH来代替.
2
设置xinetd访问控制
在/etc/xinetd.conf文件的”default {}”块中加入如下行:
only_from=// …
每个/(比如/24)对表示允许的源地址
启动服务:
设置项
注释:
1
关闭NFS服务器进程:
运行 chkconfig nfs off
NFS通常存在漏洞会导致未授权的文件和系统访问.
2
关闭NFS客户端进程:
运行 chkconfig nfslock off
chkconfig autofs off
3
关闭NIS客户端进程:
chkconfig ypbind off
NIS系统在设计时就存在安全隐患
4
关闭NIS服务器进程:
运行 chkconfig ypserv off
chkconfig yppasswd off
5
关闭其它基于RPC的服务:
运行 chkconfig portmap off
基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁止基于RPC的服务.
6
关闭SMB服务
运行 chkconfig smb off
除非确实需要和Windows系统共享文件,否则应该禁止该服务.
7
禁止Netfs脚本
chkconfig netfs off
如果不需要文件共享可禁止该脚本
8
关闭打印机守护进程
chkconfig lpd off
如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录.
9
关闭启动时运行的 X Server
sed 's/id:5:initdefault:/id:3:initdefault:/' \
< /etc/inittab > /etc/inittab.new
mv /etc/inittab.new /etc/inittab
chown root:root /etc/inittab
chmod 0600 /etc/inittab
对于专门的服务器没有理由要运行X Server, 比如专门的Web服务器
10
关闭Mail Server
chkconfig postfix off
多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务
11
关闭Web Server
chkconfig httpd off
可能的话,禁止该服务.
12
关闭SNMP
chkconfig snmpd off
如果必需运行SNMP的话,应该更改缺省的community string
13
关闭DNS Server
chkconfig named off
可能的话,禁止该服务
14
关闭 Database Server