Unix Checklist(中文).doc_第1页
Unix Checklist(中文).doc_第2页
Unix Checklist(中文).doc_第3页
Unix Checklist(中文).doc_第4页
Unix Checklist(中文).doc_第5页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

文档标题Unix计算机安全Checklist机密长天集团第 1.ii 页Unix计算机安全Checklist目 录1物理安全11.1控制台安全11.2数据安全11.3用户安全措施12网络安全22.1过滤22.2阻止spoofing22.3FTP安全22.4Modem安全22.5SATAN 能够发现这些问题33账号安全33.1密码安全33.2root账号33.3Guest账号43.4用户帐号44文件系统安全44.1NFS安全44.2设备安全54.3脚本安全54.4安全测试54.5安全书籍64.6安全站点64.7厂商链接7第 7 页Unix计算机安全Checklist该文档为系统管理员提供如何更好地提供系统安全,该文档不保证覆盖全部系统安全,对于任何人误用这些信息,本文档以及作者不承担任何责任。本文档以HP-UX为例讲解如需了解更多内容,请参考/security.html。 1 物理安全1.1 控制台安全1) 房间上锁 (限制钥匙数量) 2) 没有其它途径可以进入房间 (包括地板和天花板) 1.2 数据安全 3) Backup存储在安全的地方&制定合理的数据恢复计划4) UPS确保电源稳定供应5) 保护网络线缆以防暴露6) 敏感信息文件柜上锁7) 销毁敏感的打印输出介质/磁带1.3 用户安全措施8) 当离开桌面时锁屏9) 不要在桌面上记录密码暗示10) 小心使用xauth/xhost使得其他人不能读取屏幕11) 站点不提供欢迎标语(只有授权访问允许看到欢迎标语)2 网络安全2.1 过滤12) 关闭不使用的服务(inetd.conf)13) 产生访问控制列表/var/adm/inetd.sec表示那些主机可以建立连接14) 在路由器上过滤所有不必要的服务,只有必要的服务能够通过15) 需要TCP wrapper用于日志审计16) 如果网络连接Internet,使用防火墙 2.2 阻止spoofing 17) 路由模式a) 关闭source routing b) 阻止外部网络使用内部地址发起队内网的连接和访问 18) NFS, hosts.equiv .这些系统文件中描述有资格访问的主机名19) 如果可能,不使用hosts.equiv或.rhosts(cron)20) .rhost和.netrc文件的permission设置为600 2.3 FTP安全 21) 确保/etc/ftpusers w/所有系统账号(uucp, bin. root .)22) 设定最小permission和最小account23) 使用FTP日志,并查看日志24) 如果可能设定目录不可写入2.4 Modem安全25) 所有的modems都应该有额外的密码c) 确保/etc/d_passwd的口令不能使用CRACK工具猜测出来d) 每个用户一个口令,确保口令不能使用CRACK工具猜测出来26) 所有的拨号modem都应记录断开连接 ( /etc/gettydefs的hupcl) 2.5 SATAN 能够发现这些问题 3 账号安全 3.1 密码安全27) 所有账号都必须拥有口令28) 只有root UID是029) 密码不可猜测(基于规则的crack)30) 不记录密码31) 办公桌上不存在密码描述32) 密码过期33) 一次性使用的密码34) 如果不使用NIS或NIS+,HP能够使用信任的系统软件包(SAM)35) 不存在.netrc文件36) 当存在不符合要求的登录请求时,关闭该帐号 3.2 root账号37) root仅仅可以在控制台登录(/etc/securetty)38) 检查root . 文件,不能在path中应用.39) 限制用户数量40) 使用高强度口令41) 经常等出root shell;不要在不注意的情况下留下root shell42) 每隔3个月修改一次root口令&只要某些人离开公司43) 使用普通用户登录&使用su44)45) umasks如果可能设置为07746) 不在控制台操作时应使用全部路经。47) 不允许非root写入访问任何root路径的目录48) 在公共可写入目录中不存在tmp文件 3.3 Guest账号49) 必要情况下,限制时间50) 使用非标准名字-而不是guest51) 使用高强度口令52) 使用受限制shell53) umasks 如果可能设置为077 3.4 用户帐号54) 在中止该用户帐号后删除该帐号55) 账号不能共享56) 关闭不必要的账号,bin、sys、uucp57) umasks如果可能设置为077 58) 如果可能使用受限制shell4 文件系统安全 4.1 NFS安全59) 只有需要才运行NFS,应用最新的patch60) 小心使用/etc/exports(SUN :/etc/dfs/dfstab)61) 如果可能设置为只读62) 如果可能不设置suid63) hostname使用全名4.2 设备安全64) s /dev/null, /dev/tty & /dev/console设备文件可以由world写入,但不能执行65) 其他设备文件不可被常规用户读取和写入。4.3 脚本安全66) 不要对setuid/setgid脚本执行写入操作;而是使用C语言做代替67) 脚本中的路径应该是绝对路径68) 最小化写入文件系统(esp. 系统文件/目录)69) 只有在必要时,才使用setuid/setgid70) 确保重要的文件只能被授权的用户所访问71) COPS能够发现这些问题 4.4 安全测试 72) 使用最新的系统安全patch73) 订购安全邮件列表或新闻组74) If you do NOT use NIS or NIS+, make your system a HP-UX trusted system for easier system security 75) 测试w/ SATAN (网络安全)76) 测试w/ COPS (多种系统检测)77) 测试w/ TIGER 78) w/ CRACK (口令检测)79) Tripwire (文件改变检测) 80) 检查btmp, wtmp, syslog, sulog等81) 设定自动email或页面信息向系统管理员报告人和可疑的行为 4.5 安全书籍 82) Practical Unix and Internet Security by Simson Garfinkel & Gene Spafford 83) Firewalls and Internet Security : Repelling the Wily Hacker (Addison-Wesley Professional Computing) by William R. Cheswick & Steven M. Bellovin 84) Computer Security Basics by Deborah F. Russell, G. T. Gangemi (Contributor) 85) Building Internet Firewalls by Brent Chapman & Elizabeth D. Zwicky, Deborah Russell (Editor) 86) Computer Crime : A Crimefighters Handbook (Computer Security) by David J. Icove, David, Seger, Karl Icove & Vonstorch, Karl Seger (Contributor), William Vonstorch (Contributor)4.6 安全站点n COAST- Computer Operations, Audit, and Security Technology A multiple project, multiple investigator laboratory in computer security research in the Computer Sciences Department at Purdue University n Computer and Network Security Reference Index A list of links to information sources on Network and Computer Security. n Suns Java Security Reference The source for Java Technology n National Security Institute Security Resource Net n Internet Security Systems, Inc ISS Security Library: Adaptive Network Security n Coast Security Hotlist A great resource of the latest security sites by COAST n Matts Unix Security Includes nice section on why to publish this information and great links n SANS Institute Great network security guidelines, information, and conferences 4.7 厂商链接n Sunsolve Security Reference Index Sun Security Information, patches, FAQs n Securing RedHat 5.x Nice site on securing linux - though work on it is suspen
人人文库> 全部分类> 应用文书 > 技术指导

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论