Red Hat Linux服务器安全策略.doc

Red Hat Linux服务器安全策略一:启动信息安全1、为单用户引导加上密码在“/etc/lilo.conf”文件中加入三个参数：time-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。 a)： 编辑lilo.conf文件（vi /etc/lilo.conf）,假如或改变这三个参数：boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #把这行该为00 prompt Default=linux #加入这行 restricted #加入这行并设置自己的密码 password= image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only b)：因为/etc/lilo.conf文件中包含明文密码，所以要把它设置为root权限读取。 root# chmod 600 /etc/lilo.conf c)：更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。 root# /sbin/lilo -v d）：使用“chattr”命令使/etc/lilo.conf文件变为不可改变。 root# chattr +i /etc/lilo.conf 2、禁止Control-Alt-Delete 键盘关闭命令 在/etc/inittab 文件中注释掉下面这行： #ca:ctrlaltdel:/sbin/shutdown -t3 -r now 为了使这项改动起作用，输入下面这个命令： root# /sbin/init q二、隐藏系统的信息1、历史命令 Bash shell在“/.bash_history”（“/”表示用户目录）文件中保存了500条使用过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个“.bash_history”文件。bash shell应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。 （1）“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。把“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行的值设为一个较小的数。编辑profile文件（vi /etc/profile），把下面这行改为：HISTFILESIZE=30 /设为30 HISTSIZE=30 /不要把HISTSIZE置零，那样就不能使用上下健来调用历史命令了 这表示每个用户的“.bash_history”文件只可以保存30条旧命令。 （2）在/etc/skel/.bash_logout 文件中添加下面这行rm -f $HOME/.bash_history 。这样，当用户每次注销时，“.bash_history”文件都会被删除。三、口令和用户帐号管理 1、 密码 （1）修改密码长度： boot#vi /etc/login.defs/-把 PASS_MIN_LEN 5 改为 PASS_MIN_LEN 8 （2）使用“/usr/sbin/authconfig”工具打开shadow功能，对password加密。如果你想把已有的密码和组转变为shadow格式，可以分别使用“pwcov,grpconv”命令。 （3）系统会自动注销root，#vi /etc/profile/-在HISTFILESIZE=后面加入：TMOUT=3600 3600，表示60*60=3600秒，也就是1小时。这样，如果系统中登陆的用户在一个小时内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。 改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。 2、 关闭或删除所有不用的缺省用户和组账户 禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。 为删除你系统上的用户，用下面的命令： rootdeep# userdel username 为删除你系统上的组用户帐号，用下面的命令： rootdeep# groupdel username 在终端上打入下面的命令删掉下面的用户。 rootdeep# userdel adm rootdeep# userdel lp rootdeep# userdel sync rootdeep# userdel shutdown rootdeep# userdel halt rootdeep# userdel mail 如果你不用sendmail服务器，procmail.mailx,就删除这个帐号。 rootdeep# userdel news rootdeep# userdel uucp rootdeep# userdel operator rootdeep# userdel games 如果你不用X windows 服务器，就删掉这个帐号。 rootdeep# userdel gopher rootdeep# userdel ftp 如果你不允许匿名FTP，就删掉这个用户帐号。 = 打入下面的命令删除组帐号 rootdeep# groupdel adm rootdeep# groupdel lp rootdeep# groupdel mail /如不用Sendmail服务器，删除这个组帐号 rootdeep# groupdel news rootdeep# groupdel uucp rootdeep# groupdel games /如你不用X Windows，删除这个组帐号 rootdeep# groupdel dip rootdeep# groupdel pppusers rootdeep# groupdel popusers /如果你不用POP服务器，删除这个组帐号 rootdeep# groupdel slipusers = 用下面的命令加需要的用户帐号 rootdeep# useradd username 用下面的命令改变用户口令 rootdeep# passwd username 用chattr命令给下面的文件加上不可更改属性。 rootdeep# chattr +i /etc/passwd rootdeep# chattr +i /etc/shadow rootdeep# chattr +i /etc/group rootdeep# chattr +i /etc/gshadow 3、 限制用户权限 （1）取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令。 root# rm -f /etc/security/console.apps/ /-是你要注销的程序名。 （2）不允许从不同的控制台进行root登陆 编辑/etc/securetty文件，在不需要登陆的TTY设备前添加“#”标志，来禁止从该TTY设备进行root登陆。 （3）禁止任何人通过su命令改变为root用户 su(Substitute User替代用户)命令允许你成为系统中其他已存在的用户。 boot#vi /etc/pam.d/su #在开头添加下面两行： auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/Pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组，以使它可以使用su命令成为root用户。然后，如果你希望用户admin能su作为root.就运行下面的命令。 rootdeep# usermod -G10 admin 4、禁止不使用的SUID/SGID程序 如果一个程序被设置成了SUID root，那么普通用户就可以以root身份来运行这个程序。网管应尽可能的少使用SUID/SGID 程序，禁止所有不必要的SUID/SGID程序。 查找root-owned程序中使用s位的程序： root# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg ; 用下面命令禁止选中的带有s位的程序： root# chmod a-s program四、关闭不必要的服务或端口1、阻止你的系统响应任何从外部/内部来的ping请求。 既然没有人能ping通你的机器并收到响应，你可以大大增强你的站点的安全性。 你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行。 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all五、关键文件或目录权限1、对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadown._,inetd.conf、services和lilo.conf 等可修改其属性，防止意外修改和被普通用户查看。如将inetd 文件属性改为600 ： # chmod 600 /etc/inetd.conf 这样就保证文件的属主为root，然后还可以将其设置为不能改变： # chattr +i /etc/inetd.conf 这样，对该文件的任何改变都将被禁止 # chattr -i /etc/inetd.conf 取消禁止更修属性 2、给/etc/rc.d/init.d 下的文件设置权限 给执行或关闭启动时执行的程序的所有目录设置许可权限 root# chmod -R 700 /etc/rc.d/init.d/* 这样便仅有root可以读、写或执行上述所有脚本文件。六、安全设置 1、TCP_WRAPPERS （1）#vi /etc/hosts.deny，加入 # Deny access to everyone. ALL: ALLALL, PARANOID 这表明除非该地址在允许访问的主机列表中，否则阻塞所有的服务和地址。 （2）#vi /etc/hosts.allow，加入允许访问的主机列表，如： ftp: 9 （3）# tcpdchk /-检查你的tcp wrapper设置 2、防止ping echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all 然后把此命令放到/etc/rc.local中,每次启动自动执行.3、禁止提供finger 服务 使用finger命令可以显示本地或远程系统中目前已登录用户的详细信息，黑客可以利用这些信息，增大侵入系统的机会。为了系统的安全，最好禁止提供finger服务。如下： 从/usr/bin下删除finger 命令； 如果要保留 finger服务，应将finger文件换名，或修改其权限，使得只允许root用户执行finger命令 4、防止DoS攻击 对系统所有的用户设置资源限制可以防止DoS类型攻击（denial of service attacks）。如最大进程数，内存数量等。 编辑/etc/security/limits.con加如下几行： * hard core 0 * hard rss 5000 * hard nproc 20 编辑/etc/pam.d/login文件检查这一行是否存在。 session required /lib/security/pam_limits.so 上面的命令禁止调试文件，限制进程数为50，且限制内存使用 为5MB。七、其它 1、使用安全工具软件或防火墙保护系统： 2、防范网络嗅探： 关闭不必要的服务和服口，尤