. .
PAGE
word版本
PAGE 2
目 录
TOC \o "1-3" \h \z \u LINUX加固方案 1
1.安装最新安全补丁 4
2.网络和系统服务 4
3.核心调整 6
4.日志系统 7
5.文件/目录访问许可权限 7
6.系统访问, 认证和授权 8
7.用户账号和环境 10
8.关键安全工具的安装 11
1.安装最新安全补丁
项目:
注释:
1
安装操作系统提供商发布的最新的安全补丁
各常见的Linux发布安全信息的web地址:
RedHat Linux: /support/
Caldera OpenLinux: /support/security/
Conectiva Linux: .br/atualizacoes/
Debian GNU/Linux: /security/
Mandrake Linux: /en/fupdates.php3
LinuxPPC: /support/updates/security/
S.u.S.E. : http://www.suse.de/security/index.html
Yellow Dog Linux : /resources/errata.shtml
2.网络和系统服务
inetd/xinetd网络服务:
设置项
注释:
1
确保只有确实需要的服务在运行:
先把所有通过ineted/xineted运行的网络服务关闭,再打开确实需要的服务
绝大多数通过inetd/xinetd运行的网络服务都可以被禁止,比如echo, exec, login, shell,who,finger等.对于telnet, r系列服务, ftp等, 强烈建议使用SSH来代替.
2
设置xinetd访问控制
在/etc/xinetd.conf文件的”default {}”块中加入如下行:
only_from=// …
每个/(比如/24)对表示允许的源地址
启动服务:
设置项
注释:
1
关闭NFS服务器进程:
运行 chkconfig nfs off
NFS通常存在漏洞会导致未授权的文件和系统访问.
2
关闭NFS客户端进程:
运行 chkconfig nfslock off
chkconfig autofs off
3
关闭NIS客户端进程:
chkconfig ypbind off
NIS系统在设计时就存在安全隐患
4
关闭NIS服务器进程:
运行 chkconfig ypserv off
chkconfig yppasswd off
5
关闭其它基于RPC的服务:
运行 chkconfig portmap off
基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁止基于RPC的服务.
6
关闭SMB服务
运行 chkconfig smb off
除非确实需要和Windows系统共享文件,否则应该禁止该服务.
7
禁止Netfs脚本
chkconfig netfs off
如果不需要文件共享可禁止该脚本
8
关闭打印机守护进程
chkconfig lpd off
如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录.
9
关闭启动时运行的 X Server
sed 's/id:5:initdefault:/id:3:initdefault:/' \
< /etc/inittab > /etc/inittab.new
mv /etc/inittab.new /etc/inittab
chown root:root /etc/inittab
chmod 0600 /etc/inittab
对于专门的服务器没有理由要运行X Server, 比如专门的Web服务器
10
关闭Mail Server
chkconfig postfix off
多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务
11
关闭Web Server
chkconfig httpd off
可能的话,禁止该服务.
12
关闭SNMP
chkconfig snmpd off
如果必需运行SNMP的话,应该更改缺省的community string
13
关闭DNS Server
chkconfig named off
可能的话,禁止该服务
14
关闭 Database Server
914
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
