下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、密 级:商业秘密LINUX评估加固手册安氏领信科技发展有限公司二二年四月通过访问官方站点下载最新系统补丁, RedHat 公司补丁地址如下:1、系统补丁的安装 .2、帐户、口令策略的加固 .2 . 1、删除或禁用系统无用的用户 .2 . 2、口令策略的设置 .2 . 3、系统是否允许ROOT远程登录.2 4、ROOT的环境变量设置 .3、网络与服务加固 .3 1、RC?.D中的服务的设置 .3 2、/ETC/INETD.CONF中服务的设置.3 3、NFS 的配置.3 4、SNMP 的配置 .3 5、SENDMAIL的配置.3 6、DNS (BIND)的配置.3 7、网络连接访问控制的设置 .
2、4、信任主机的设置 .5、日志审核的设置 .6、物理安全加固 .7、系统内核参数的配置 .8、选装安全工具 .1、系统补丁的安装RedHat 使用 RPM 包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的 漏洞,则发布一个新的 RPM 包,版本号(Version)不变,Release 做相应的调整。因此 检查RH Linux 的补丁安装情况只能列出所有安装的软件, 和 RH 网站上发布的升级软件 对照,检通过访问官方站点下载最新系统补丁, RedHat 公司补丁地址如下:查其中的变化。rpm -qa 查看系统当前安装的 rpm 包rpm -ivh package1 安装 R
3、PM 包rpm -Uvh package1 升级 RPM 包rpm -Fvh package1 升级 RPM 包(如果原先没有安装,则不安装)2、帐户、口令策略的加固21、删除或禁用系统无用的用户询问系统管理员,确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要,可以删除。lp, sync, shutdown, halt, news, uucp, operator, games, gopher修改一些系统帐号的 shell 变量,例如 uucp,ftp 和 news 等,还有一些仅仅需要 FTP 功能的帐号,检查并取消 /bin/bash 或者 /bin/sh 等 Shell 变量
4、。可以在 /etc/passwd 中 将它们的 shell变量设为 /bin/false 或者 /dev/null 等。也可以通过 passwd groupdel 来 锁定用户、删除组。passwd -l userl 锁定 userl 用户passwd -uuser1 解锁 user1 用户 groupdel lp 删除 lp 组。22、口令策略的设置RedHat Linux 总体口令策略的设定分两处进行,第一部分是在 /etc/login.defs 文件中定义, 其中有四项相关内容:PASS_MAX_DAYS 密码最长时效(天)PASS_MIN_DAYS 密码最短时效(天)PASS_MIN_
5、LEN 最短密码长度PASS_WARN_AGE 密码过期前 PASS_WARN_AGE 天警告用户 编辑 /etc/login.defs 文件,设定:PASS_MAX_DAYS=90PASS_MIN_DAYS=OPASS_MIN_LEN=8 PASS_WARN_AGE=30另外可以在/etc/pam.d/system-auth 文件中的 cracklib 项中定义口令强度: difok min le n dcreditucreditlcreditocredit使用 vi 编辑/etc/pam.d/system-auth 文件,设置 cracklib 的属性#%PAM-1.0# This fil
6、e is auto-ge nerated.# User cha nges will be destroyed the n ext time authc onfig is run.authrequired/lib/security/pam_e nv.soauthsufficie nt/lib/security/pam_u ni x.so likeauth n ullokauthrequired/lib/security/pam_de ny .soaccou ntrequired/lib/security/pam_access.soaccou ntrequired/lib/security/pam
7、_u nix.sopasswordrequired/lib/security/pam cracklib.so retry=3 type=difok=4 minlen=12 dcredit=1ucredit=2 lcredit=2 ocredit=1passwordsufficie nt/lib/security/pam u ni x.so n ullok use authtok md5 shadowpasswordrequired/lib/security/pam_de ny .sosessi onrequired/lib/security/pam_limits.sosessi onrequi
8、red/lib/security/pam_u nix.so2.3、系统是否允许root远程登录RedHat 在文件/etc/securetty 中定义 root 用户可以登录的端口;默认其中只包含 vc/1-11 和tty1-11,即卩 root 用户只能从本地登录。2.4、root的环境变量设置系统的环境变量在下列文件中设置:Bash:/etc/profile/.bash_profile/.profile/.bashrc/etc/bashrcTcsh/Csh:/etc/csh.cshrc/etc/csh.login/.tcshrc 或 /.cshrc/.history/.login/.csh
9、dirsprintenv 查看用户的环境变量检查环境变量 PATH,确保其中不包含本地目录(.)3、网络与服务加固31、rc?.d中的服务的设置RedHat 的服务主要由/etc/inittab 和/etc/rc?.d/S*文件启动,事实上,/etc/inittab 的主要任务 是为每一个 runlevel 指定启动文件,从而启动/etc/rc?.d/S*文件。例如,在默认的运行级 别 3 中系统将运行/etc/rc3.d/目录中所有 S 打头的文件。run level 检查当前运行级别(第一项是pre-ru nl evel,第二项是当前的 run level)chkconfig -ist 检
10、查所有级别中启动的服务情况chkconfig -ist |grep 3:on 检查某一级别(例如级别 3)中启动的服务chkconfig sendmail off 将 sendmail 从启动目录中除去检查以下服务,如果不需要,关闭之在(/etc/inittab 中注释掉);否则,参照 3.3 3.4 3.5 3.6 进行配置:portmap (启动 rpcbind/portmap 服务)nfslock (启动 rpc.lockd 和 rpc.statd)httpd (启动 apache)named (启动 bind) sendmail (启动 sendmail)smb (启动 samba 服
11、务)snmpd (启动 snmp 服务)snmptrapd (启动 snmp trap 服务)nfs (启动 nfs 服务)32、/etc/inetd.conf中服务的设置由 INETD 启动的服务在文件/etc/inetd.conf 定义。建议关闭由 inetd 启动的所有服务;如果有管理上的需要,可以打开 telnetd、ftpd、rlogind、rshd等服务。可从/etc/inetd.conf 中删除的服务(在/etc/inetd.conf 中注释掉):shellkshellloginkloginexeccomsatuucpbootpsfingersystatnetstattftpta
12、lkntalkrpc.rquotadrpc.rexdrpc.rusersdrpc.ttdbserverrpc.spraydrpc.cmsdrpc.rwalldrpc.pc nfsdrpc.rstatdrpc.ssalldechodiscardcharge ndaytimetimecomsatwebsmin stsrvimap2pop3kfclixmqueryRedHat Linux 7.3 以后使用了新版本的 xinetd 取代了老版本的 inetd,在配置方面最大的不 同在于使用了 /etc/xinetd.d/配置目录取代了 /etc/inetd.conf 配置文件。每一项服务/etc/xi
13、netd.d/中都有一个相应的配置文件,例如telnetd 的配置文件是/etc/xinetd.d/telnet。查看每一个配置文件 disable 属性的定义(yes/no)就可以确定该服务是否启动(默认是 yes)。使用 vi 编辑/etc/xinetd.d/中的配置文件,在不需要启动的服务配置文件中添加disable=yes建议关闭所有服务,如果管理需要,则可以打开telnetd 和 ftpd 服务。使用 vi 编辑/etc/xinetd.d/rlogin 文件,控制 rlogin 服务的启动状态# default: on# descripti on: rlogi nd is the s
14、erver for the rlogi n(1) program.The server #provides a remote logi n facility with authe nticati on based on #priv leged port n umbers from trusted hosts.service log in3.3、NFS的配置NFS 系统的组成情况:nfsd NFS 服务进程,运行在服务器端,处理客户的读写请求 mountd 加载文件系统服务进程,运行在服务器端,处理客户加载nfs 文件系统的请求/etc/exports 定义服务器对外输出的 NFS 文件系统/e
15、tc/fstab 定义客户端加载的 NFS 文件系统如果系统不需要 NFS 服务, 可以使用 chkconfig 关闭 NFS 服务; 如果不能关闭, 使用 showmount-e 或直接查看/etc/exports 文件检查输出的文件系统是否必要, 以及属性是否 妥当 (readonly 等) 。chkconfig -list nfs 显示 NFS 服务是否在系统启动时启动/etc/init.d/nfs start|stop 启动 |停止 nfs 服务showmount -e 显示本机输出的 NFS 文件系统mount 显示本机加载的文件系统(包括 NFS 文件系统)3.4、SNMP勺配置如
16、果系统不需要 SNMP 服务,可以关闭该服务(使用 chkconfig 命令);如果不能关闭,需要在 /etc/snmpd.conf 中指定不同的 community nameochkconfig -list snmpd 显示 snmpd 服务是否在系统启动时启动chkconfig snmpd off 将 snmpd 服务从启动目录中去掉/etc/init.d/snmpd start|stop 启动 |停止 snmpd 服务3.5、Sendmail的配置disable = yessocket_type waituser log_on_success log_on_ failureserver=
17、stream=no=root+= USERID+= USERID=/usr/sb in/i n.rlogind如果系统不需要 Sendmail 服务,可以关闭该服务(使用 chkconfig 命令);如果不能关闭,将 sendmail 服务升级到最新,并在其配置文件/etc/sendmail.cf 中指定不同 banner(参见示 例)chkconfig -list sendmail 显示 sendmail 服务是否在系统启动时启动chkconfig sendmail off 将 sendmail 服务从启动目录中去掉/etc/init.d/sendmail start|stop 启动 |停止
18、 sendmail 服务3.6、DNS( Bind)的配置如果系统不需要 DNS 服务,可以关闭该服务(使用 chkconfig 命令);如果不能关闭,将 DNS服务升级到最新,并在其配置文件修改版本号(参见示例)。chkconfig -list named 显示 named 服务是否在系统启动时启动chkconfig named off 将 named 服务从启动目录中去掉/etc/init.d/named start|stop 启动 |停止 named 服务3.7、网络连接访问控制的设置RedHat 7.3 以后版本中存在以下集中方式可以对网络连接设置访问控制:1、 使用 iptable
19、或 ipchains 进行网络访问控制;参见 iptables 和 ipchains 的 manua。2、 使用 xinetd 本身的访问控制机制对 xinetd 启动的服务进行网络访问控制;xinetd 可以 在其配置文件中使用 only_from 和 no_access 指令限制可以访问该服务的主机,tcpd的配置文件是/etc/hosts.allow 和/etc/hosts.deny 具体配置方法参见 manual。使用 xin etd 自带的访问控制机制控制对 tel net 服务的访问# default: on# description: The telnet server serv
20、es telnet sessions; it uses #unen crypted user name/password pairs for authe nticati on. service telnet# deny access from host freebsd if uncomment the following line#no access= freebsddisable = noflagssocket_typewait=REUSE=streamuserserverlog_on_failure=no=root=/usr/sb in/in .te ln etd+= USERID3、使用
21、 pam 系统中的 pam_access 模块提供的访问控制机制;配置文件是/etc/security/access.con,该文件中提供了该文件的语法。使用 pam_access 进行网络访问控制 在 pam 文件中添加 pam_access 模块(以 system-auth 文件为例)#%PAM-1.0# This file is auto-ge nerated.# User changes will bedestroyed then ext timeauthc onfig isrun. auth authauth accou ntaccou ntpasswordnlen=12 dcred
22、it=1 ucredit=2 lcredit=2 ocredit=1passwordsufficie nt/lib/security/pam_u ni x.so n ullok use_authtok md5 shadow4、信任主机的设置参照 3.2(/etc/inetd.conf 中服务的启动情况)检查 rlogin、rsh、rexec 服务是否启动。如果启动,查看配置文件/etc/hosts.equiv(全局配置文件)和/.rhosts(单独用户的配置文件)文件,检查文件是否配置妥当。建议关闭 R 系列服务(rlogin、rsh、rexec);如果不能关闭,则需要检查配置文件,确保 没有
23、失当的配置(不能存在”+”或” + + ”,如果存在,咨询系统管理员是为何这样配置)5、日志审核的设置对 ssh、su 登录 日志进行记录编辑 syslogd 配置文件#vi /etc/syslog.c onf加入以下信息,使和登陆验证有关的日志信息记录到secure 文件中#The authpriv file has restricted access.authpriv.* /var/log/secure重新启动 syslogd :requiredsufficie ntrequiredrequiredrequiredrequired/lib/security/pam_e nv.so/lib/
24、security/pam_u ni x.so likeauth n ullok/lib/security/pam_de ny .so/lib/security/pam_access.so/lib/security/pam_u nix.so/lib/security/pam_cracklib.so retry=3 type= difok=4 mipassword required sessionrequiredsessi onrequired/lib/security/pam_deny .so/lib/security/pam_limits.so/lib/security/pam_u nix.s
25、o# /etc/rc.d/init.d/syslog restart6、物理安全加固启动 LILO 时需要密码第一步:编辑 lilo.conf 文件( vi /etc/lilo.conf ),加入或改变这三个参数(加 #的部 分):boot=/dev/hdaprompttimeout= 00 # 把该行改为 00,系统启动时将不再等待,而直接启动 LINUXmessage=/boot/messagelineardefault=linuxrestricted # 加入该行password= is-0ne # 加入该行并设置自己的密码(明文)image=/boot/vmlinuz-label=li
26、nuxroot=/dev/hda6read-only第二步:因为“ /etc/lilo.conf ”文件中包含明文密码,所以要把它设置为 root 权限读 取。# chmod 0600 /etc/lilo.conf第三步:更新系统,以便对“ /etc/lilo.conf ”文件做的修改起作用。# /sbin/lilo -v第四步:使用“ chattr ”命令使“ /etc/lilo.conf ”文件不可改变。 # chattr +i /etc/lilo.conf这样可以在一定程度上防止对“ /etc/lilo.conf ”任何改变(意外或其他原因)最后将 /etc/lilo.conf 文件权限改为 600# chmod 600 /etc/lilo.confpassword 用于系统启动时应当输入密码;restricted 用于命令行启动系统时(如:进入单用户
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2026年环保设备技术引进协议
- 十堰市郧西县2025-2026学年第二学期六年级语文第五单元测试卷部编版含答案
- 阿里地区日土县2025-2026学年第二学期六年级语文第五单元测试卷部编版含答案
- 辽阳市文圣区2025-2026学年第二学期六年级语文第五单元测试卷部编版含答案
- 国开2026年春《学前儿童卫生与保健》终考大作业答案
- 商丘市睢县2025-2026学年第二学期六年级语文第五单元测试卷部编版含答案
- 承德市围场满族蒙古族自治县2025-2026学年第二学期六年级语文第五单元测试卷部编版含答案
- 海西蒙古族藏族自治州格尔木市2025-2026学年第二学期四年级语文第六单元测试卷(部编版含答案)
- 肇庆市怀集县2025-2026学年第二学期六年级语文第五单元测试卷部编版含答案
- 桂林市叠彩区2025-2026学年第二学期六年级语文第五单元测试卷部编版含答案
- 低压电工培训课件
- 水利单位档案管理制度
- 2025年江苏地质局笔试真题及答案
- 高速公路收费站安全课件
- (2025年)贵阳市云岩区网格职员考试题及答案
- 手术室安全管理课件
- 高校安全应急知识培训课件
- 【全科医学概论5版】全套教学课件【694张】
- T-CHIA 63-2025 医疗机构信息化建设项目验收标准
- 鱼塘测量施工方案
- 6S考试试题(含答案)
评论
0/150
提交评论