. .
PAGE
word版本
PAGE 2
目 錄
TOC \o "1-3" \h \z \u LINUX加強方案 1
1.安裝最新安全更新檔 4
2.網絡和系統服務 4
3.核心調整 6
4.日志系統 7
5.檔案/目錄通路許可權限 7
6.系統通路, 認證和授權 8
7.使用者賬号和環境 10
8.關鍵安全工具的安裝 11
1.安裝最新安全更新檔
項目:
注釋:
1
安裝作業系統提供商釋出的最新的安全更新檔
各常見的Linux釋出安全資訊的web位址:
RedHat Linux: /support/
Caldera OpenLinux: /support/security/
Conectiva Linux: .br/atualizacoes/
Debian GNU/Linux: /security/
Mandrake Linux: /en/fupdates.php3
LinuxPPC: /support/updates/security/
S.u.S.E. : http://www.suse.de/security/index.html
Yellow Dog Linux : /resources/errata.shtml
2.網絡和系統服務
inetd/xinetd網絡服務:
設定項
注釋:
1
確定隻有确實需要的服務在運作:
先把所有通過ineted/xineted運作的網絡服務關閉,再打開确實需要的服務
絕大多數通過inetd/xinetd運作的網絡服務都可以被禁止,比如echo, exec, login, shell,who,finger等.對于telnet, r系列服務, ftp等, 強烈建議使用SSH來代替.
2
設定xinetd通路控制
在/etc/xinetd.conf檔案的”default {}”塊中加入如下行:
only_from=// …
每個/(比如/24)對表示允許的源位址
啟動服務:
設定項
注釋:
1
關閉NFS伺服器程序:
運作 chkconfig nfs off
NFS通常存在漏洞會導緻未授權的檔案和系統通路.
2
關閉NFS用戶端程序:
運作 chkconfig nfslock off
chkconfig autofs off
3
關閉NIS用戶端程序:
chkconfig ypbind off
NIS系統在設計時就存在安全隐患
4
關閉NIS伺服器程序:
運作 chkconfig ypserv off
chkconfig yppasswd off
5
關閉其它基于RPC的服務:
運作 chkconfig portmap off
基于RPC的服務通常非常脆弱或者缺少安全的認證,但是還可能共享敏感資訊.除非确實必需,否則應該完全禁止基于RPC的服務.
6
關閉SMB服務
運作 chkconfig smb off
除非确實需要和Windows系統共享檔案,否則應該禁止該服務.
7
禁止Netfs腳本
chkconfig netfs off
如果不需要檔案共享可禁止該腳本
8
關閉列印機守護程序
chkconfig lpd off
如果使用者從來不通過該機器列印檔案則應該禁止該服務.Unix的列印服務有糟糕的安全記錄.
9
關閉啟動時運作的 X Server
sed 's/id:5:initdefault:/id:3:initdefault:/' \
< /etc/inittab > /etc/inittab.new
mv /etc/inittab.new /etc/inittab
chown root:root /etc/inittab
chmod 0600 /etc/inittab
對于專門的伺服器沒有理由要運作X Server, 比如專門的Web伺服器
10
關閉Mail Server
chkconfig postfix off
多數Unix/Linux系統運作Sendmail作為郵件伺服器, 而該軟體曆史上出現過較多安全漏洞,如無必要,禁止該服務
11
關閉Web Server
chkconfig httpd off
可能的話,禁止該服務.
12
關閉SNMP
chkconfig snmpd off
如果必需運作SNMP的話,應該更改預設的community string
13
關閉DNS Server
chkconfig named off
可能的話,禁止該服務
14
關閉 Database Server