Linnx安全配置手冊

綜述

本文檔以經(jīng)典安裝RedHalLinux為對象撰寫而成，其它版本均基礎(chǔ)類似，依據(jù)具體情況進

行合適修改即可。

文檔中操作需要以root用戶登錄至控制臺進行，不推薦使用網(wǎng)絡(luò)遠程方法進行補丁及配置

修改等加固操作。

部分操作需要重新開啟服務(wù)器才會生效，注意一些數(shù)據(jù)庫等應(yīng)用需要先停止應(yīng)用，然后才能

夠重新開啟。

加固之前首先應(yīng)對系統(tǒng)中關(guān)鍵文件及可能修改文件進行務(wù)份，可參考使用以下腳本：

forfilein/etc/inetd.conf/etc/hosts.equiv\

/elc/ftpusers/etc/passwd/elc/shadow/elc/hosts.allow\

/etc/hosts.deny/etc/proftpd.conf\

Zctc/rc.d/init.d/functions/ctc/inittab\

/etc/sysconfig/sendmail/etc/security/limits.conf\

/etc/exports/etc/sysctl.conf/etc/syslog.conf\

/etc/fstab/etc/security.console.perms/root/.rhosts\

/root/.shosts/ctc/shosts.cquiv/ctc/XI1Zxdni/Xscrvcrs\

/elc/XIl/xinii/xserverrc/etc/X11/gdm/gdm.conf\

/etc/cron.allow/etc/cron.deny/etc/at.allow\

/etc/at.dcny/etc/crontab/etc/motd/etc/issue\

/usr/share/config/kdin/kdnirc/etc/X11/gdni/gdni.conf\

/elc/securet(y/etc/security/access.conf/etc/lilo.conf\

/etc/grub.conf/etc/login.defc/etc/group/etc/profile\

/ctc/csh.login/ctc/csh.cshrc/ctc/bashrc\

/etc/ssh/sshd_config/etc/ssh/ssh_config\

/etc/cups/cupsd.conf/etc/{,vsftpd/}vsftpd.conf\

/etc/logrotate.conf/root/.bashrc/root/.bash_profile\

/root/.cshrc/root/.tcshrc/etc/vsftpd.ftpusers;do

[-f$file]&&/bin/cp$fileSfile-preCIS

done

fordirin/etc/xinetd.d/etc/rcl（）123456J.d\

/var/spool/cron/etc/cron.*/etc/logrotate.d/var/log\

/etc/pam.d/etc/skel;do

[-d$dir]&&/bin/cp-i$dii$dir-prcCIS

done

補丁

系統(tǒng)補丁

系統(tǒng)內(nèi)核版本使用uname-a查看。

軟件版本和補丁使用rpm-qa查看。

使用up2date命令自動升級或去使:〃下載對應(yīng)版本補丁手工單獨安裝。

其它應(yīng)用補丁

除RedHat官方提供系統(tǒng)補丁之外，系統(tǒng)也應(yīng)對依據(jù)開放服務(wù)和應(yīng)用進行補「，如APACHE、

PHP、OPENSSL、MYSQL等應(yīng)用進行補丁。

具體升級方法：

首先確定機器上安裝了gcc及必需庫文件。

然后去應(yīng)用官方網(wǎng)站下載對應(yīng)源代碼包，如*.tar.gz

再解壓

tarzxfv*.tar.gz

再依據(jù)使用情況對編譯配置進行修改，或直接采取默認配置

cd*

./configure

再進行編譯和安裝

make

makeinstall

最小化xinetd網(wǎng)絡(luò)服務(wù)

停止默認服務(wù)

說明：

Xinetd是舊inetd服務(wù)替換，她提供了部分網(wǎng)絡(luò)相關(guān)服務(wù)開啟調(diào)用方法。Xinetd應(yīng)嚴禁以下

默認服務(wù)開放：

chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimap

imapsipop2ipop3krh5-telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncservers

services

操作：

停止一個服務(wù)

chkconfig服務(wù)名off

打開一個服務(wù)

chkconfig服務(wù)名on

也能夠使用ntsysv命令進行服務(wù)開關(guān)調(diào)整

其它

說明：

對于xinet必需開放服務(wù)，應(yīng)該注意服務(wù)軟件升級和安全配置，并推薦使用SSH和SSL對

原明文服務(wù)進行替換。假如條件許可，能夠使用系統(tǒng)自帶iptables或tep-wrapper功效對訪問

IP地址進行限制。

操作：

Xinetd、SSH和SSL、防火墻配置參見對應(yīng)系統(tǒng)用戶手冊，此不詳述。

最小化開啟服務(wù)

設(shè)置daemon權(quán)限unmask

說明：

默認系統(tǒng)umask最少為022,以預(yù)防daemon被其它低權(quán)限用戶修改。

操作：

vi修改/eic/rc.d/init.d文件,umask值為改2。

同時檢驗/etc/rc.d/inii.d中其它開啟腳本權(quán)限是否為755。

關(guān)閉xinetd服務(wù)

說明：

假如前面第二章關(guān)閉xinetd服務(wù)中所列服務(wù)，全部不需要開放，則能夠直接關(guān)閉xinetd服務(wù)。

操作：

chkconfig-level12345xinetdoff

關(guān)閉郵件服務(wù)

說明：

1）假如系統(tǒng)不需要作為郵件服務(wù)器，并不需要向外面發(fā)郵件，能夠直接關(guān)閉郵件服務(wù)。

2）假如不需要作為郵件服務(wù)器，不過許可用戶發(fā)送郵件，能夠設(shè)置Sendmail不運行在

daemon模式。

操作：

1）chkconfig—level12345sendmailoff

2）編輯/etc/sysconfig/senmail文件

增添以下行

DAEMON=no

QUEUE=lh

設(shè)置

cd/etc/sysconfig

/bin/chownroot:rootscndmail

/bin/chmod644sendmail

關(guān)閉圖形登錄服務(wù)

說明：

通常來說，大部分軟件安裝和運行全部不需要圖形環(huán)境。假如不需要圖形環(huán)境進行登錄和操

作，能夠關(guān)閉XWindows運行。

操作：

cp/etc/inittab/etc/inittab.bak

編輯/etc/inittab文件

修改id:5:iniidefault:行為id:3:initdefault:

chownroot:root/etc/inittab

chmod0600/etc/inittab

如需要XWindows時候，可運行startx命令開啟圖形界面。

關(guān)閉X字體服務(wù)器

說明：

假如關(guān)閉了XWindows服務(wù)，則Xfont服務(wù)器服務(wù)也應(yīng)該進行關(guān)閉。

操作：

chkconHgxfsoff

關(guān)閉其它默認開啟服務(wù)

說明：

系統(tǒng)開啟時會開啟很多無須要服務(wù)，這些無須要服務(wù)均存在一定安全隱患。通?？赡艽嬖谝?/p>

下無須要服務(wù)：

apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotateIvsmars-nweoki4daemonprivoxyrstatd

rusersdnvalldrwhodspaniassassinwinenfsnfslockautofsypbindypservyppasswddportmap

smbnetfsIpdapachehttpdtuxsnmpdnamedpostgrcsqlmysqldwebminkudzusquidcups

加固時，應(yīng)依據(jù)機器具體配置使用和應(yīng)用情況對開放服務(wù)進行調(diào)整，關(guān)閉不需要服務(wù)。

服務(wù)運行腳本通常全部放在/etc/rc.d/rc*.d進行開啟，能夠使用chkconfig工具直接進行管理。

對于必需經(jīng)過/etc/rc.d/rc*.d開放服務(wù)，應(yīng)確保全部已打上過最新補丁。

操作：

chkconfig—level12345服務(wù)名off

假如關(guān)閉了特定服務(wù)，也應(yīng)該同時對這些服務(wù)在系統(tǒng)中用戶加以鎖定或刪除

可能包含以下用戶rpcrpeuserIpapachehttphttpdnameddnsmysqlpostgressquid

usermod-L要鎖定用戶

調(diào)整SMB服務(wù)

說明：

Samba服務(wù)器通常見來提供和Windows類似文件和打印共享服務(wù)。除非十分必需，不然應(yīng)

關(guān)閉SMB（Windows文件共享）服務(wù)?？刹扇∫韵路椒ㄩ_放SMB服務(wù)。

操作：

chkconfigsmbon

調(diào)整NFS服務(wù)器服務(wù)

說明：

NFS漏洞較多，常常被利用來取得未授權(quán)文件或系統(tǒng)權(quán)限。除非十分必需，不然應(yīng)關(guān)閉NFS

服務(wù)。可采取以下方法開放SMB服務(wù)，并應(yīng)該限制export文件系統(tǒng)中IP地址范圍，和增

添只讀權(quán)限。

操作：

chkconfig—level345nfson

調(diào)整NFS用戶端服務(wù)

說明：

NFS用戶端服務(wù)通常見來訪問其它NFS服務(wù)器。除非十分必需，不然應(yīng)關(guān)閉此服務(wù)?？刹?/p>

取以下方法開放此服務(wù)。

操作：

chkconfig—level345nfslockon

chkconfig-level345autofson

調(diào)整NIS服務(wù)器服務(wù)

說明：

NIS用來提供基于UNIX域管理和認證手段。除非十分必需，不然應(yīng)關(guān)閉此服務(wù)。可采取以

下方法開放此服務(wù)。

操作：

chkconfigypservon

chkconfigyppasswddon

調(diào)整NIS用戶端服務(wù)

說明：

NIS用戶端用來訪問其它NIS服務(wù)器。除非十分必需，不然應(yīng)關(guān)閉此服務(wù)?？刹扇∫韵路椒?/p>

開放此服務(wù)。

操作：

chkconfigypbindon

調(diào)整RPC端口映射服務(wù)

說明：

RPC協(xié)議通常經(jīng)過比較簡單或不經(jīng)認證就能夠得到部分很敏感信息。而且RPC系列服務(wù)全

部存在部分緩沖區(qū)溢出問題。

在以卜情況下能夠考慮關(guān)閉RPC端口映射服務(wù)：

服務(wù)器不是NFS服務(wù)器或用戶端；

服務(wù)器不是NIS服務(wù)器或用戶端；

服務(wù)器沒有運行其它依靠于RPC服務(wù)第三方軟件；

服務(wù)器不運行圖形界面(x-windows)o

操作：

chkconfig-level345portmapon

調(diào)整netfs服務(wù)

說明：

此服務(wù)會作為用戶端掛接網(wǎng)絡(luò)中磁盤。假如沒有網(wǎng)絡(luò)文件共享協(xié)議如NFS,NovellNeiware

或Windows文件共享使用，則能夠關(guān)閉此服務(wù)。

操作：

chkconfig-level345netfson

調(diào)整打印機服務(wù)

說明：

UNIX打印服務(wù)存在較多安全漏洞。假如系統(tǒng)不作為網(wǎng)絡(luò)中打印機服務(wù)器，則能夠關(guān)閉此服

務(wù)。假如必需使用此服務(wù)：首先應(yīng)確保軟件全部經(jīng)過最新補丁，然和設(shè)置cupsd進程運行在

非root用戶和組。

操作：

if[-c/etc/init.d/cups];then

chkconfigcupson

sed's/A\#UserIp/UserIp/'/etc/cups/cupsd.conf\

>/etc/cups/cupsd.conf.new

sed's/A\#Groupsys/Groupsys/'\

/etc/cups/cupsd.conf.new>/'etc/cups/cupsd.conf

rm-f/ctc/cups/cupsd.conf.ncw

/bin/chownlp:sys/etc/cups/cupsd.conf

/bin/chmod600/etc/cups/cupsd.conf

fi

uhkuoiifighpojon

chkconHgIpdon

調(diào)整Web服務(wù)器服務(wù)

說明：

假如服務(wù)器必需開放Web,則需要作以下設(shè)置。應(yīng)注意web目錄權(quán)限設(shè)置，不要許可目錄

listo

操作：

chkconfigapahceon

或

chkconfighlipdon

調(diào)整SNMP服務(wù)

說明：

簡單網(wǎng)絡(luò)管理協(xié)議SNMP通常見來監(jiān)控網(wǎng)絡(luò)上主機或設(shè)備運行情況。假如必需打開，則必

需更改默認通訊字。

操作：

chkconfigsnmpdon

編輯/etc/snmp/snmpd.conf

com2secnotConfigUserdefaultpublic

修改public為其它一個足夠復(fù)雜密碼。

調(diào)整DNS服務(wù)器服務(wù)

說明：

DNS服務(wù)器服務(wù)用來為其它機器提供DNS解析，通常來說全部能夠關(guān)掉。假如必需進行開

放，則必需升級至最新版本，并推薦設(shè)置chroot環(huán)境，還需要注意限制DNS配置文件中區(qū)

域傳輸?shù)仍O(shè)置（加密碼或加IP地址限制）。

操作：

chkconfignamedon

調(diào)整SSHD服務(wù)器服務(wù)

說明：

SSHD服務(wù)器服務(wù)用來提供SSHServer服務(wù)。假如必需進行開放，則必需升級至最新版本，

并推薦設(shè)置chroot環(huán)境，還需要注意限制SSH配置文件中區(qū)域傳輸?shù)仍O(shè)置，需要在SSHD

配置文件中禁用sshl方法連接，因sshl方法連接是非完全加密。

操作：

>如使用Openssh,貝I］檢驗/etc/ssh/sshd_config

grepProtocol/ctc/ssh/s^hd^onfig

>如使用SSH.comSSHD,需要檢驗/etc/ssh2/sshd2_config

grepProtocol/etc/ssh2/sshd2_config

調(diào)整SQL服務(wù)器服務(wù)

說明：

假如不需要數(shù)據(jù)庫服務(wù)，則能夠關(guān)閉此服務(wù)。假如必需進行開放，則注意修改數(shù)據(jù)庫用戶密

碼，并增加數(shù)據(jù)庫用戶IP訪問限制。

操作：

chkconfigpostgresqlon

chkconfigmysqldon

調(diào)整Webmin服務(wù)

說明：

Webmin是一個經(jīng)過HTTP協(xié)議控制linux工具，通常推薦使用SSH進行系統(tǒng)管理而不要使

用此工具。

操作：

chkconfigwebminon

調(diào)整Squid服務(wù)

說明：

Squid服務(wù)是用戶端和服務(wù)器之間代理服務(wù)。Squid服務(wù)已出現(xiàn)過很多安全漏洞，而旦假如

設(shè)置不妥話，可能造成被利用來作為內(nèi)外網(wǎng)之間跳板。假如不需要，則能夠關(guān)閉此服務(wù)。假

如必需打開，則需要設(shè)置許可訪問地址列表及認證。

操作：

chkconfigsquidon

調(diào)整kudzu硬件探測服務(wù)

說明：

Kudzu服務(wù)是linux硬件探測程序，通常設(shè)置為開啟系統(tǒng)時候運行。她會檢測系統(tǒng)中硬件改

變，而且會提醒進行配置等。未經(jīng)授權(quán)新設(shè)備存在一定安全風險，系統(tǒng)開啟時控制臺就能夠

配置任何新增添設(shè)備。

假如不需要常常改動硬件，則需要進行關(guān)閉。能夠在增添新設(shè)備時手工運行

/etc/rc.d/init.d/kudzu開啟此服務(wù)。

操作：

chkconfig-level345kudzuon

內(nèi)核參數(shù)

網(wǎng)絡(luò)參數(shù)調(diào)整

說明：

Linux支持對網(wǎng)絡(luò)參數(shù)進行調(diào)整。

具體參數(shù)具體說明，可參見

O

操作：

編輯/etc/sysctl.conf

增加

net.ipv4.tcp_max_syn_backlog=4096

ne(.ipv4.conf.all.rp_filter=1

net.ipv4.conf.all.accept_source_route=0

nct.ipv4.conf.all.acccpt_rcdirccts=0

net.ipv4.conf.all.secure_redirecls=0

net.ipv4.conf.default.rp_filter=1

net.ipv4.conf.dcfault.accept_source_route=

net.ipv4.conf.default.accept_rcdirects=0

net.ipv4.conf.defaull.secure_redirects=0

/bin/chownroot:root/etc/sysctl.conf

/bin/chmod0600/etc/sysctl.conf

更多網(wǎng)絡(luò)參數(shù)調(diào)整

說明：

假如系統(tǒng)不作為在不一樣網(wǎng)絡(luò)之間防火墻或網(wǎng)關(guān)時，可進行以下設(shè)置。

具體參數(shù)具體說明，可參見

操作:

編輯/elc/sysctl.conf

增加

net.ipv4.ip_forward=0

nel.ipv4.conf.all.sen（i_redirects=0

net.ipv4.conf.default.send_redirects=0

/bin/chownroot:root/etc/sysctl.conf

Zbin/chmod0600/etc/sysctl.conf

日志

系統(tǒng)認證日志配置

說明：

不是全部版本linux全部會在日之中統(tǒng)計登陸信息。通常需要對這些關(guān)鍵安全相關(guān)信息進行

保留，（如成功或失敗su,失敗登陸，root登陸等）。這些將會被統(tǒng)計在/var/log/secure文件

里。

操作：

編輯/etc/syslog.conf

確定有以卜.行

authpriv.*/var/log/secure

touch/var/log/secure

/bin/chownroot:root/var/log/secure

/bin/chmod600/var/log/secure

FTP進程日志配置

說明：

系統(tǒng)默認會統(tǒng)計wu-ftpd和vsftpd全部連接和文件傳輸。以下將會確定全部法發(fā)送到服務(wù)期

命令將會被統(tǒng)計。wu-fipd將會把安全相關(guān)或是策略邊界行為記憶文件傳輸統(tǒng)計到syslog里,

默認在/var/log/xfeHog。

操作：

編輯/etc/xinctd.d/wu-ftpd叉件

確定有以下行

server_args=-1-a-d

/bin/chownroot:rootwu-Hpd

/bin/chmod644wu-ftpd

編輯/etc/vsflpd.conf或/elc/vsftpd/vsflpd.conf文件

確定有以下行

xfcrlog_std_format=NO

log_ftp_protocol=YES

log_f(p_protocol=YES

/bin/chmod0600vsflpd.conf

/bin/chownroot:rootvsftpd.conf

確定系統(tǒng)日志權(quán)限

說明：

保護系統(tǒng)日志文件不會被非授權(quán)用戶所修改。

操作：

cd/var/Iog

/bin/chmodo-wboot.log*cron*dmesgksyms*httpd/*\

maillog*messages*news/*pgsqlrpmpkgs*samba/*\

scrollkeeper.logsecure*spooler*squid/*vbox/*wlinp

/bin/chmodo-rxboot.log*cron*maillog*messages*pgsql'

secure*spooler*squid/*

/biii/uhinodg-wbool.log*cron*dnicsghttpd/*ksyms*\

maillog*messages*pgsqlrpmpkgs*samba/*\

scrollkeeper.logsecure*spooler*

/bin/chmodg-rxboot.log*cron*maillog*messages*pgsql'

secure*spooler*

/bin/chmodo-wgdm/h(tpd/news/samba/squid/vbox/

/bin/chmodo-rxhttpd/samba/squid/

/bin/chmodg-wgdm/httpd/'news/samba/squid/vbox/

/bin/chmodg-rxhttpd/samba/

/bin/chown-Rroot:root.

/bin/chgrputmpwtmp

/hin/chown-Rnew?%:new<;news

/bin/chownpostgres:postgrespgsql

/bin/chown-Rsquid:squidsquid

文件/目錄權(quán)限

/etc/fstab中合適分區(qū)增加t<nodev,J選項

說明：

在我們已知不包含設(shè)備分區(qū)增添nodev參數(shù)，預(yù)防用戶掛接分區(qū)中未授權(quán)設(shè)備。

此項加固要比較慎重。

操作：

編輯/elc/fs【ab文件

在非/ext2和ext3分區(qū)后增添nodev參數(shù)

/bin/chownroot:root/ctc/fslab

/bin/chmod0644/etc/fstab

/etc/fstab中移動設(shè)備增加“nosuid"“nodev”選項

說明：

可移動媒體可能造成惡意程序進入系統(tǒng)。能夠?qū)⑦@些文件系統(tǒng)設(shè)置nosuid選項，此選項能

夠預(yù)防用戶使用CD-ROM或軟盤將設(shè)置了SUID程序帶到系統(tǒng)里。

參考上節(jié)，這些文件系統(tǒng)也應(yīng)該設(shè)置nodev選項。

操作：

編輯/etc/fstab文件

在floppy和cdroni分區(qū)后增添nosuid,nodev參數(shù)

/bin/chownroot:root/etc/fstab

/bin/chmod0644/etc/fstab

嚴禁用戶掛接可移動文件系統(tǒng)

說明：

PAM模塊中pamconsole參數(shù)給控制臺用戶臨時額外特權(quán)。其配置在

/elc/security/console.perms文件。默認設(shè)置許可控制臺住戶控制能夠和其它主機共享軟盤和

CD-ROM設(shè)備。這些可移動媒體存在著一定安全風險。以下嚴禁這些設(shè)備額外特權(quán)。

操作：

編輯/etc/securiiy/console.perms文件

修改其中console行，刪除以下設(shè)備之外行

/sound|fb|kbd|joystick|v41|niainboard|gpni|scanner

/bin/chownroot:rootconsole.perms

/bin/chmod0600console.perms

檢驗passwd,shadow和group文件權(quán)限

說明：

檢驗以下文件默認權(quán)限。

操作：

cd/etc

/bin/chownroot:rootpasswdshadowgroup

/bin/chmod644passwdgroup

/bin/chmod4(X)shadow

全局可寫目錄應(yīng)設(shè)置粘滯位

說明：

當一個目錄設(shè)置了粘滯位以后，只有文件屬主能夠刪除此目錄中文件。設(shè)置粘滯位能夠預(yù)防

用戶覆蓋其它用戶文件。如/imp目錄。

操作：

find/-xdev-typed-perm-0002-a!-perm-1000-print

找出未授權(quán)全局可寫目錄

說明：

全局可寫文件能夠被任意用戶修改。全局可寫文件可能造成部分腳本或程序被惡意修改后造

成更大危害，通常應(yīng)拒絕其它組用戶寫權(quán)限。

操作：

find/-perm-0002-typef-xdev-print

chmodo-w<filename>

找出未授權(quán)SUID/SGID文件

說明:

管理員應(yīng)該檢驗沒有其它非授權(quán)SUID/SGID在系統(tǒng)內(nèi)。

操作：

find/-perm-04000-o-perm-0-typef-xdev-print

找出異常和隱藏文件

說明：

入侵者輕易將惡意文件放在這目錄中或命名這么文件名。對于檢驗出來數(shù)據(jù)需要查對是否系

統(tǒng)本身文件。

操作：

find/-name'*-execIs-Idb{}\;

find/-name-execIs-Idb{|\;

系統(tǒng)訪問，授權(quán)和認證

刪除.rhosts文件

說明：

R系列服務(wù)(rlogin,rsh,rep)使用.rhosts文件，它使用基于網(wǎng)絡(luò)地址或主機名遠端機算計

弱認證(很輕易被偽造)。假如必需使用R系列服務(wù)，則必需確保.rhosls文件中沒有“+”，

而且同時指定對方系統(tǒng)和用戶名。假如有防火墻，則應(yīng)該在過濾外部網(wǎng)段至內(nèi)部全部R系

列服務(wù)訪問。同時需要確保.rhosts文件僅能夠被全部者讀取(600)o

操作：

forfilein/etc/pam.d/*;do

grep-vrhosts_auth$file>${file}.new

/bin/mv${file}.new$file

/bin/chownroot:root$file

/bin/chmod644$file

done

創(chuàng)建危險文件鏈接

說明：

預(yù)防創(chuàng)建危險/root/.rhosts,/root/.shosts,/etc/hosts.equiv和/etc/shosts.equiv文件。

操作：

/bin/rm/root/.rhosts

In-s/dev/null/root/.rhosts

/bin/rm/root/.shosts

In-s/dev/null/root/.shosts

/bin/rm/etc/hosts.equiv

in-s/dev/null/etc/hosts.cquiv

/bin/rm/etc/shosts.cquiv

In-s/dev/null/ctc/shosts.cquiv

創(chuàng)建ftpuser文件

說明：

>/etc/ftpusers^n/etc/vsflp.ftpusers文件里用戶列表里用戶將拒絕經(jīng)過WU-FTPD和vsftpd

訪問系統(tǒng)。通常情況〈，應(yīng)該不許可部分系統(tǒng)用戶訪問FTP，而且任何時候全部不應(yīng)該

使用rool用戶訪問FTPo

>/etc/vsftpd.user類似上述功效。

操作：

fornamein'cut-d:-fl/etc/passwd'

do

if['id-u$name'-It500]

llicn

echo$name?/etc/ftpusers

fi

done

/bin/chownroot:root/etc/ftpusers

/bin/chmod600/etc/ftpusers

if[-c/etc/vsl'lpd.conf]||\

[-e/etc/vsftpd/vsflpd.conf];then

/bin/rm-f/etc/vsftpd.ftpusers

/bin/cp/etc/ftpusers/etc/vsftpd.ftpusers

fi

關(guān)閉X-Windows開放端口

說明：

X服務(wù)器在6000/tcp監(jiān)聽遠端用戶端連接。X-Windows使用相對不安全認證方法，取得X

認證用戶很輕易就能夠控制整臺服務(wù)器。

刪除選項中“-nolistentcp”能夠使X服務(wù)器不再監(jiān)聽6000/tcp端口。

操作：

if[-e/etc/Xl1/xdm/Xservers];then

cd/etc/Xl1/xdm

awk'($1!~/△#/&&$3=="/usr/X11R6/bin/Xu)\

{$3=$3n-nolistentcp");

{print}'Xservers>Xservers.new

/bin/mvXservers.newXservers

/bin/chownroot:rootXservers

/bin/chmod444Xservers

fi

if[-e/etc/X11/gdm/gdm.conf];then

cd/etc/Xl1/gdm

awk-F='($2~/VX$/)\

{printf("%s-nolistcntcp\n",$0);next);

{print}'gdm.conf>gdm.conf.new

/bin/mvgdm.conf.newgdm.conf

/bin/chownroot:rootgdm.conf

/biii/uhinod644gdiii.uonf

fi

if[-d/etc/X11/xinit];then

cd/etc/Xl1/xinit

if[-exserverre];then

awk7X/&&!/A#/\

{printSO":0-nolistentep\$@";next};\

{print}'xserverre>xserverre.new

/bin/mvxserverre.newxserverre

else

cat?END>xserveirc

/bin/hash

cxccX:0-nolistcntep\S@

END

fi

/bin/chownroot:rootxserverre

/bin/chmod755xserverre

fi

限制只有授權(quán)用戶能夠訪問at/cron

說明：

cron.allow和at.allow能夠指定許可運行crontab和at命令用戶列表。通常直應(yīng)該許可管理員

有權(quán)利運行計劃任務(wù)。

操作:

cd/etc/

/bin/rm-fcron.denyat.deny

echoroot>cron.allow

echoroot>at.allow

/biii/uhownrooliroolcron.allowal.allow

/bin/chmod400cron.allowat.allow

限制crontab文件權(quán)限

說明：

系統(tǒng)crontab文件應(yīng)該只能被crondaemon（以超級用戶權(quán)限運行）和crontab命令（SU1D）。

操作：

/bin/chownroot:root/etc/crontab

/bin/chmod400/etc/crontab

/bin/chown-Rroot:root/var/spool/cron

/bin/chmod-Rgo-rwx/var/spool/cron

/bin/chown-Rroot:root/etc/cron.*

/bin/chmod-Rgo-rwx/etc/cron.*

創(chuàng)建警示BANNER

說明：

創(chuàng)建警示BANNER能夠?qū)阂夤粽呋驀L試者起到警示作用。

操作：

I）創(chuàng)建控制臺和X模式BANNER

if["'egrep-1Authorized/etc/motd'"==""];then

echo"Authorizedusesonly.Allactivitymaybe\

monitoredandreported."?/ctc/motd

fi

if["'cgrcp-1Authorized/ctc/issuc'"==H"];then

echo"Authorizedusesonly.Allactivitymaybe\

monitoredandreported,"?/etc/issue

fi

if["'ugrup-1Aulliorizud/clu/issuu.ncrn==""];llicu

echo"Authorizedusesonly.Allactivitymaybe\

monitoredandreported."?/etc/

fi

/bin/chownroot:root/etc/motd/etc/issue/etc/

/bin/chmod644/etc/motd/elc/issue/etc/issue.ne〔

if[-e/etc/Xl1/xdm/kdmrcJ;then

cd/etc/Xl1/xdni

awkVGreetString=/\

{print"GreetString=Authorizedusesonly!'*;next};

{print}'kdmrc>kdmrc.new

/hin/mvkdmrcnewkdmrc

/bin/chownroot:rootkdmrc

/bin/chmod644kdinrc

fi

if[-c/etc/Xl1/gdm/gdm.conf];then

cd/etc/X11/gdm

awk'/AGreeter=/&&/gdmgreeter/\

{printf("#%s\n",$0);next|;

/A#Greeter=/&&/gdmlogin/\

{$1="Greeter=/usr/bin/gdmlogin");

/Welcome二八

{print"Welconie=Authorizedusesonly!";next};

{print}'gdm.conf>gdm.conf.new

/bin/mvgdm.conf.ncwgdm.conf

/bin/chownroot:rootgdm.conf

/bin/chmod644gdm.conf

fi

2)適應(yīng)TCPWrappers創(chuàng)建wauthorizedonly”網(wǎng)絡(luò)服務(wù)BANNERo

mkdir/elc/banners;cd/etc/banners

if[-e/usr/doc/tcp_wrappers-7.6/Banners.Makefile1;then

file=/usr/doc/tcp_wrappers-7.6/Banners.Makefile

else

file=/usr/share/doc/tcp_wrappers-7.6/Banners.Makefile

fi

cp$fileMakefile

echo"Authorizedusesonly.Allactivitymaybe\

monitoredandreported.">prototype

make

cd/etc/xinetd.d

forfileintelnetkrb5-telnet;do

if[-f$file];then

awk'($1==,')")\

{print"banner=/ctc/banncrs/in.tclnctd");

{print}'$file>$file.new

/bin/mv$file.newSfile

fi

done

fbrfileinwu-ftpdgssftp;do

if[-f$file];then

awk'($1=="}")\

{print"banner=/etc/banners/in.ftpd"};

{print}'$filc>$file.ncw

/bin/mv$file.newSfile

fi

done

furfileinrshkshcll;do

if[-f$file];then

awk'($1=="}")\

{print"banner=/etc/banners/in.rshd"};

{print}'$file>$file.new

/bin/mv$file.new$file

fi

done

forfileinrloginkiogineklogin;do

if[-f$file];then

awk'($1=="}")\

{print"banner=/etc/hanners/in.rlogind"};

{print}'$file>$flle.new

/bin/mv$file.new$file

fi;done

/bin/chownroot:root{krb5-,}telnetgssftpwu-ftpdrsh\

kshellrloginkiogineklogin

/bin/chmod644{krb5-,}(elnetgssftpwu-ftpdrshkshell\

rloginkiogineklogin

3)創(chuàng)建vsftpduauthorizedonly?，BANNER

cd/etc

if[-dvsftpd];then

cdvsftpd

fi

if[-cvsftpd.conf];then

echo"ftpd_banner=Authorizedusesonly.Allactivity\

maybemonitoredandreported."?vsftpd.conf

fi

配置xinetd訪問控制

說明：

配制xinetd使用簡單訪問控制和日志。

操作：

在/etc/xinctd.conf插入“defaults”段

only_from=<net>/<num_bi:s><net>/<num_bits>

<nct>/<num_bits>使用許可使用網(wǎng)絡(luò)和掩碼。

示例：

only_from=/24將會限制只有/24網(wǎng)絡(luò)能夠訪問。

限制root只能在控制臺登錄

說明：

rooi應(yīng)該限制在只許可控制臺登陸，通常情況下應(yīng)該使用通常權(quán)限用戶進行操作，僅在必需

時SU成為root進行操作。

操作：

/bin/cp/dev/null/etc/securecty

foriin123456;do

echotty$i?/etc/securetty

echovc/$i?/ctc/sccurctty

done

echoconsole?/etc/securetty

/bin/chownroot:root/etc/securetty

/bin/chinod4（X）/ctc/sccurctty

設(shè)置LILO/GRUB密碼

說明：

默認情況下，任何當?shù)赜脩羧磕軌蛟诳刂婆_重新開啟機器，并很輕易就能夠控制正常開啟

進程。LILO和GRUB密瑪能夠在系統(tǒng)開啟時要求密碼。

注意以下操作只應(yīng)設(shè)置和十分重視當?shù)匕踩闆r下。

操作：

LILO

1）增加下列行到/etc/lilo.co列

restricted

password=<password>

〈password〉更改為自己指定密碼。

2）以root身份實施以下命令

/bin/chownroot:root/etc/lilo.conf

/bin/chmod600/etc/lilo.conf

lilo

GRUB

1）增加下列行到/elc/grub.conf

password<password>

2）以root身份實施以下命令

/bin/chownroot:root/etc/grub.conf

/bin/chmod600/etc/grub.conf

設(shè)置單用戶默認認證

說明:

Linux默認能夠在開啟時鍵入“l(fā)inuxsingle”進入到單用戶模式。

單用戶模式能夠不使用密碼就能夠進行部分管理員操作，通常見來恢復(fù)忘記root密只等。

不加密碼單用戶模式可能造成能夠當?shù)亟佑|到服務(wù)器用戶直接控制系統(tǒng)。

操作：

cd/etc

if["'grep-1sulogininillab'"=""];then

awk'{print};

/Aid:[0123456sS]:initdefauk:/\

{print:S:wait:/sbin/sulogin"}'\

inittab>inittab.ncw

/bin/mvinittab.newinittab

/bin/chownroot:rootinittab

/bin/chniod644inittab

fi

限制NFS用戶端特權(quán)端口

說明：

設(shè)置secure參數(shù)能夠使當?shù)叵到y(tǒng)NFS服務(wù)器進程拒絕沒有使用特權(quán)端口(小于1024)NFS

用戶端訪問。這個設(shè)置不會影響NFS操作員操作，不過會拒絕非授權(quán)用戶自動NFS攻擊。

操作：

增加/elc/exports文件中secure選項，能夠使用以卜perl腳本

perl-i.orig-pe\

'nextif(/A\s*#/||/A\s*$/);

($res,@hst)=split("");

foreach$ent(@hst){

undcf(%set);

($optlist)=Sent=~A((.*?)\)/;

forcach$opt(split(/,/,$optlist)){

Sset{$opt}=1;

delete($set!"insecure"))；

$set{"secure"}=I;

Sent=~sA(.*?\)//;

Sent.=kuys(%sel)).

)

$hst[01="(secure)"unless(@hst);

$_=,,$res\f,.join("",@hst)."\n";'\

/etc/exports

用戶帳戶和環(huán)境

系統(tǒng)無用帳戶

說明：

系統(tǒng)中非使用人員帳號應(yīng)該被鎖定，而且設(shè)置她們shell為非/etc/shells里面(即沒有默認能

夠登陸shell,如/dev/null)。

操作：

以下腳本鎖定全部非root用戶

fornamein'cut-d:-fl/etc/passwd';do

uid='id-u$name'

if[$uid-It500-a$name!='root*];then

/usr/sbin/usennod-L-s/dev/null$name

fi

done

確定沒有空密碼帳戶

說明：

假如一個賬戶設(shè)置了空密碼，將許可任何人不使用密碼登陸到系統(tǒng)。全部帳戶全部應(yīng)該設(shè)置

一個足夠強壯密碼或設(shè)置為“NP”或“LOCKED”。

操作：

awk-F:'($2==""){print$1}'/etc/shadow

設(shè)置活動帳戶過期時間

說明：

定時更改帳戶密碼有利于提升系統(tǒng)安全性。通常應(yīng)該將系統(tǒng)中非root用戶強制在90天內(nèi)更

該密碼，而且在以后7天之內(nèi)嚴禁更改密碼。用戶將在密碼過期28天前接收到系統(tǒng)提醒。

并應(yīng)該設(shè)置密碼復(fù)雜程度，包含多種大小寫及數(shù)字，并最小長度為6位。

操作：

cd/etc

awk'($1-/APASS_MAX_DAYS/){$2=,,90"}

($1-/APASS_MIN_DAYS/){$2=7