linux主机安全加固方案

上传人:第*** 文档编号:32688119 上传时间:2018-02-12 格式:DOC 页数:10 大小:118.50KB
返回 下载 相关 举报
linux主机安全加固方案_第1页
第1页 / 共10页
linux主机安全加固方案_第2页
第2页 / 共10页
linux主机安全加固方案_第3页
第3页 / 共10页
linux主机安全加固方案_第4页
第4页 / 共10页
linux主机安全加固方案_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《linux主机安全加固方案》由会员分享,可在线阅读,更多相关《linux主机安全加固方案(10页珍藏版)》请在金锄头文库上搜索。

1、目 录LINUX 加固方案 .11.安装最新安全补丁 .42.网络和系统服务 .43.核心调整 .64.日志系统 .75.文件/目录访问许可权限 .76.系统访问, 认证和授权 .87.用户账号和环境 .108.关键安全工具的安装 .111.安装最新安全补丁项目: 注释:1 安装操作系统提供商发布的最新的安全补丁 各常见的Linux发布安全信息的 web地址:RedHat Linux: http:/ OpenLinux: http:/ Linux: http:/.br/atualizacoes/Debian GNU/Linux: http:/www.debian.org/security/Ma

2、ndrake Linux: http:/www.linux- http:/ : http:/www.suse.de/security/index.htmlYellow Dog Linux : http:/ 网络服务:设置项 注释:1 确保只有确实需要的服务在运行:先把所有通过ineted/xineted运行的网络服务关闭, 再打开确实需要的服务绝大多数通过inetd/xinetd运行的网络服务都可以被禁止,比如echo, exec, login, shell,who,finger等.对于telnet, r系列服务, ftp等 , 强烈建议使用 SSH来代替.2 设置xinetd 访问控制 在/

3、etc/xinetd.conf文件的”default ”块中加入如下行:only_from=/ / 每个/(比如192.168.1.0/24)对表示允许的源地址启动服务:设置项 注释:1 关闭NFS服务器进程:运行 chkconfig nfs offNFS通常存在漏洞会导致未授权的文件和系统访问.2 关闭NFS客户端进程:运行 chkconfig nfslock offchkconfig autofs off3 关闭NIS客户端进程:chkconfig ypbind offNIS系统在设计时就存在安全隐患4 关闭NIS服务器进程:运行 chkconfig ypserv offchkconfig

4、 yppasswd off5 关闭其它基于RPC的服务:运行 chkconfig portmap off基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁止基于RPC的服务.6 关闭SMB服务运行 chkconfig smb off除非确实需要和Windows系统共享文件,否则应该禁止该服务.7 禁止Netfs脚本chkconfig netfs off如果不需要文件共享可禁止该脚本8 关闭打印机守护进程chkconfig lpd off如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录.9 关闭启动时运行的 X

5、 Serversed s/id:5:initdefault:/id:3:initdefault:/ /etc/inittab.newmv /etc/inittab.new /etc/inittabchown root:root /etc/inittabchmod 0600 /etc/inittab对于专门的服务器没有理由要运行X Server, 比如专门的 Web服务器10 关闭Mail Serverchkconfig postfix off多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务11 关闭Web Serverch

6、kconfig httpd off可能的话,禁止该服务.12 关闭SNMPchkconfig snmpd off如果必需运行SNMP的话,应该更改缺省的community string13 关闭DNS Serverchkconfig named off可能的话,禁止该服务14 关闭 Database Serverchkconfig postgresql offLinux下常见的数据库服务器有Mysql, Postgre, Oracle等, 没有必要的话,应该禁止这些服务15 关闭路由守护进程chkconfig routed offchkconfig gated off组织里仅有极少数的机器才需

7、要作为路由器来运行.大多数机器都使用简单的”静态路由”, 并且它不需要运行特殊的守护进程16 关闭Webmin远程管理工具 Webmin是一个远程管理工具, 它有糟chkconfig webmin off 糕的认证和会话管理历史, 所以应该谨慎使用17 关闭Squid Web Cachechkconfig squid off如果必需使用, 应该谨慎配置18 可能的话禁止inetd/xinetdchkconfig inetd off 或chkconfig xinetd off如果没有网络服务通过inetd/xinetd运行则可以禁止它们19 设置守护进程掩码cd /etc/rc.d/init.d

8、if grep -l umask functions = ; thenecho umask 022 functionsfi系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件3.核心调整设置项 注释:1 禁止core dump:cat /etc/security/limits.conf* soft core 0* hard core 0END_ENTRIES允许core dump会耗费大量的磁盘空间.2 限制NFS客户端使用特权端口:perl -i.orig -pe next if (/s*#/ | /s*$/);($res, hst) = split( );forea

9、ch $ent (hst) undef(%set);($optlist) = $ent = /(.*?)/;foreach $opt (split(/,/, $optlist) $set$opt = 1;delete($setinsecure);$setsecure = 1;$ent = s/(.*?)/;$ent .= ( . join(, keys(%set) . );$hst0 = (secure) unless (hst);$_ = $rest . join( , hst) . n; /etc/exports可以防止非特权用户发起的automouted NFS攻击.3 网络参数调整:c

10、at /etc/sysctl.confnet.ipv4.ip_forward = 0net.ipv4.conf.all.accept_source_route = 0详见: http:/ = 4096net.ipv4.conf.all.rp_filter = 1END_SCRIPTcat /etc/sysctl.confnet.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0END_SCRIPTchown root:ro

11、ot /etc/sysctl.confchmod 0600 /etc/sysctl.confhttp:/ 注释:1 捕捉发送给AUTH 和AUTHPRIV facility的消息到日志文件/var/log/secure:if grep -c auth. /etc/syslog.conf -eq 0 thenecho -e auth.*tttt/var/log/secure /etc/syslog.conffiif grep -c authpriv. /etc/syslog.conf eq 0 thenecho -e authpriv.*tttt/var/log/secure /etc/syslog.conffitouch /var/log/securechown root:root /var/log/securechmod 600 /var/log/secure.syslog中的AUTH 和AUTHPRIV facility包含了大量安全相关的信息, 不是所有Linux发布都记录这些日志信息.应该把这些信息记录到/var/lo

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 中学教育 > 职业教育

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号