收藏
下载资源

linux安全配置手册

上传人:F****n 文档编号:93494250 上传时间:2019-07-23 格式:DOC 页数:30 大小:88KB
返回 下载 相关 举报
linux安全配置手册_第1页
第1页 / 共30页
linux安全配置手册_第2页
第2页 / 共30页
linux安全配置手册_第3页
第3页 / 共30页
linux安全配置手册_第4页
第4页 / 共30页
linux安全配置手册_第5页
第5页 / 共30页
点击查看更多>>
资源描述

《linux安全配置手册》由会员分享,可在线阅读,更多相关《linux安全配置手册(30页珍藏版)》请在金锄头文库上搜索。

1、Linux安全配置手册Linux安全配置手册综述本文档以典型安装的RedHat Linux为对象撰写而成,其他版本均基本类似,根据具体情况进行适当修改即可。文档中的操作需要以root用户登录至控制台进行,不推荐使用网络远程的方式进行补丁及配置修改等加固操作。部分操作需要重新启动服务器才会生效,注意某些数据库等应用需要先停止应用,然后才可以重新启动。加固之前首先应对系统中的重要文件及可能修改的文件进行备份,可参照使用以下脚本:for file in /etc/inetd.conf /etc/hosts.equiv /etc/ftpusers /etc/passwd /etc/shadow /et

2、c/hosts.allow /etc/hosts.deny /etc/proftpd.conf /etc/rc.d/init.d/functions /etc/inittab /etc/sysconfig/sendmail /etc/security/limits.conf /etc/exports /etc/sysctl.conf /etc/syslog.conf /etc/fstab /etc/security.console.perms /root/.rhosts /root/.shosts /etc/shosts.equiv /etc/X11/xdm/Xservers /etc/X11

3、/xinit/xserverrc /etc/X11/gdm/gdm.conf /etc/cron.allow /etc/cron.deny /etc/at.allow /etc/at.deny /etc/crontab /etc/motd /etc/issue /usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm.conf /etc/securetty /etc/security/access.conf /etc/lilo.conf /etc/grub.conf /etc/login.defs /etc/group /etc/profile /etc/csh

4、.login /etc/csh.cshrc /etc/bashrc /etc/ssh/sshd_config /etc/ssh/ssh_config /etc/cups/cupsd.conf /etc/,vsftpd/vsftpd.conf /etc/logrotate.conf /root/.bashrc /root/.bash_profile /root/.cshrc /root/.tcshrc /etc/vsftpd.ftpusers ; do -f $file & /bin/cp $file $file-preCISdonefor dir in /etc/xinetd.d /etc/r

5、c.d /var/spool/cron /etc/cron.* /etc/logrotate.d /var/log /etc/pam.d /etc/skel ; do -d $dir & /bin/cp -r $dir $dir-preCISdone补丁系统补丁系统内核版本使用uname -a查看。软件版本和补丁使用rpm -qa查看。使用up2date命令自动升级或去ftp:/下载对应版本补丁手工单独安装。其他应用补丁除RedHat官方提供的系统补丁之外,系统也应对根据开放的服务和应用进行补丁,如APACHE、PHP、OPENSSL、MYSQL等应用进行补丁。具体升级方法:首先确认机器上安装

6、了gcc及必要的库文件。然后去应用的官方网站下载对应的源代码包,如 *.tar.gz再解压tar zxfv *.tar.gz再根据使用情况对编译配置进行修改,或直接采用默认配置cd *./configure再进行编译和安装makemake install最小化xinetd网络服务停止默认服务说明:Xinetd是旧的inetd服务的替代,他提供了一些网络相关服务的启动调用方式。Xinetd应禁止以下默认服务的开放:chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap im

7、aps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services操作:停止一个服务chkconfig 服务名 off打开一个服务chkconfig 服务名 on也可以使用ntsysv命令进行服务开关调整其他说明:对于xinet必须开放的服务,应该注意服务软件的升级和安全配置,并推荐使用SSH和SSL对原明文的服务进行替换。如果条件允许,可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。操作:Xinetd、SSH和SSL、防火墙

8、配置参见对应系统的用户手册,此不详述。最小化启动服务设置daemon权限unmask说明:默认系统umask至少为022,以防止daemon被其他低权限用户修改。操作:vi修改/etc/rc.d/init.d文件,umask 值为022。同时检查/etc/rc.d/init.d中其他启动脚本权限是否为755。关闭xinetd服务说明:如果前面第二章关闭xinetd服务中所列的服务,都不需要开放,则可以直接关闭xinetd服务。操作:chkconfig -level 12345 xinetd off关闭邮件服务说明:1) 如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接关闭邮件服务。

9、2) 如果不需要作为邮件服务器,但是允许用户发送邮件,可以设置Sendmail不运行在daemon模式。操作:1) chkconfig -level 12345 sendmail off2) 编辑/etc/sysconfig/senmail文件增添以下行DAEMON=noQUEUE=1h设置cd /etc/sysconfig/bin/chown root:root sendmail/bin/chmod 644 sendmail关闭图形登录服务说明:一般来说,大部分软件的安装和运行都不需要图形环境。如果不需要图形环境进行登录和操作,可以关闭X Windows的运行。操作:cp /etc/init

10、tab /etc/inittab.bak编辑/etc/inittab文件修改id:5:initdefault:行为id:3:initdefault:chown root:root /etc/inittabchmod 0600 /etc/inittab如需要X Windows的时候,可运行startx命令启动图形界面。关闭X字体服务器说明:如果关闭了X Windows服务,则X font服务器服务也应该进行关闭。操作:chkconfig xfs off关闭其他默认启动服务说明:系统启动时会启动很多不必要的服务,这些不必要的服务均存在一定的安全隐患。一般可能存在以下不必要的服务:apmd cann

11、a FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups加固时,应根据机器具体配置使用和应用情况对开放的服务进行调整,关闭不需要的服务。服务运

12、行脚本一般都放在/etc/rc.d/rc*.d进行启动,可以使用chkconfig工具直接进行管理。对于必须通过/etc/rc.d/rc*.d开放的服务,应确保都已打上过最新的补丁。操作:chkconfig -level 12345 服务名 off如果关闭了特定的服务,也应该同时对这些服务在系统中的用户加以锁定或删除可能包括以下用户rpc rpcuser lp apache http httpd named dns mysql postgres squidusermod -L 要锁定的用户调整SMB服务说明:Samba服务器一般用来提供与Windows类似的文件和打印共享服务。除非十分必要,否

13、则应关闭SMB(Windows文件共享)服务。可采用以下方式开放SMB服务。操作:chkconfig smb on调整NFS服务器服务说明:NFS漏洞较多,经常被利用来取得未授权的文件或系统权限。除非十分必要,否则应关闭NFS服务。可采用以下方式开放SMB服务,并应该限制export文件系统的中的IP地址范围,以及增添只读权限。操作:chkconfig -level 345 nfs on调整NFS客户端服务说明:NFS客户端服务一般用来访问其他NFS服务器。除非十分必要,否则应关闭此服务。可采用以下方式开放此服务。操作:chkconfig -level 345 nfslock onchkcon

14、fig -level 345 autofs on调整NIS服务器服务说明:NIS用来提供基于UNIX的域管理和认证手段。除非十分必要,否则应关闭此服务。可采用以下方式开放此服务。操作:chkconfig ypserv onchkconfig yppasswdd on调整NIS客户端服务说明:NIS客户端用来访问其他NIS服务器。除非十分必要,否则应关闭此服务。可采用以下方式开放此服务。操作:chkconfig ypbind on调整RPC端口映射服务说明:RPC协议一般经过比较简单的或不经认证就可以得到一些非常敏感的信息。并且RPC系列服务都存在一些缓冲区溢出问题。在以下情况下可以考虑关闭RP

15、C端口映射服务:服务器不是NFS服务器或客户端;服务器不是NIS服务器或客户端;服务器没有运行其它依赖于RPC服务的第三方软件;服务器不运行图形界面(x-windows)。操作:chkconfig -level 345 portmap on调整netfs服务说明:此服务会作为客户端挂接网络中的磁盘。如果没有网络文件共享协议如NFS,NovellNetware或Windows文件共享使用,则可以关闭此服务。操作:chkconfig -level 345 netfs on调整打印机服务说明:UNIX打印服务存在较多的安全漏洞。如果系统不作为网络中的打印机服务器,则可以关闭此服务。如果必须使用此服务,首先应保证软件都经过最新的补丁,然和设置cupsd进程运行在非root用户和组。操作:if -e /etc/i

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 办公文档 > 事务文书

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号