《Linux项目加固清单》由会员分享,可在线阅读,更多相关《Linux项目加固清单(29页珍藏版)》请在金锄头文库上搜索。
1、 红科网安(北京)科技有限公司 Linux主机加固清单一、加固主机列表本次安全加固服务的对象包括:编号IP地址操作系统用途或服务服务器填写规则:编号统一使用“型号_地址缩写_数字”型号(H主机;D设备),数字使用三位数字顺序号。二、加固方案2.1 H-YT-001基本信息设备所在地正式域名/主机名外部IP地址内部IP地址网关域名服务器操作系统版本号硬件信息中央处理器内存外部存储设备应用服务信息名称应用服务及版本情况其他信息安全补丁情况其他情况2.1.1操作系统加固方案2.1.1.1补丁安装编号:Linux-01002 Linux-01005 Linux-02001名称:补丁安装系统当前状态:
2、实施方案:补丁地址:https:/ rpm -Fvh 文件名实施目的:可以使系统版本为最新并解决安全问题实施风险:请慎重对系统打补丁,补丁安装应当先在测试机上完成。补丁安装可能导致系统或摹写服务无法工作正常。在下载补丁包时,一定要对签名进行核实,防止执行特洛伊木马。是否实施:(客户填写)2.1.1.2帐号、口令策略修改编号:Linux-03001 Linux-03002 Linux-03003Linux-03004 Linux-03005名称:去除不需要的帐号、修改默认帐号的shell变量系统当前状态:实施方案:# userdel lp# groupdel lp如果下面这些系统默认帐号不需要的
3、话,建议删除。lp, sync, shutdown, halt, news, uucp, operator,games, gopher 修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等,也可以使用usermod -s /dev/null username命令来更改username的shell为/dev/null。实施目的:删除系统不需要的默认帐号、更改危险帐号缺省的she
4、ll变量实施风险:首先应当明确系统的角色,避免误删除默认帐号。是否实施:(客户填写)编号:Linux-03008名称:使root PATH环境变量中不包含当前目录“.”系统当前状态:实施方案:如果root PATH环境变量中包含当前目录“.”# vi /etc/profile去除“:.”部分实施目的:防止root执行恶意特洛伊木马,减少安全隐患。实施风险:无是否实施:(客户填写)编号:Linux-03008名称:对root为ls、rm设置别名系统当前状态:未为ls、rm设置别名实施方案:查看当前shell:# echo $SHELL如果是csh:# vi /.cshrc如果是bash:# vi
5、 /.bashrc加入alias ls ls -aolalias rm rm -i重新登录之后查看是否生效。实施目的:为ls设置别名使得root可以清楚的查看文件的属性(包括不可更改等特殊属性)。为rm设置别名使得root在删除文件时进行确认,避免误操作。实施风险:无是否实施:(客户填写)编号:Linux-03006名称:缺省密码长度限制系统当前状态:实施方案:# vi /etc/login.defs把下面这行PASS_MIN_LEN 5 改为PASS_MIN_LEN 8实施目的:防止系统弱口令的存在,减少安全隐患。实施风险:无是否实施:(客户填写)编号:Linux-03007名称:超时自动注
6、销登录系统当前状态:实施方案:在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户,那将会带来很大的安全隐患,应该让系统自动注销。通过修改账户中“TMOUT”参数,可以实现此功能。TMOUT按秒计算。编辑profile文件(vi /etc/profile),在“HISTFILESIZE=”后面加入下面这行: TMOUT=300 300,表示300秒,也就是表示5分钟。这样,如果系统中登录的用户在5分钟内都没有动作,那么系统会自动注销这个账户。也可以在个别用户的“.bashrc”文件中添加该值,以便系统对该用户实行特殊的自动注销时间。 改变这项设置后,必
7、须先注销用户,再用该用户登录才能激活这个功能。实施目的:避免管理员忘记注销登录,减少安全隐患。实施风险:无是否实施:(客户填写)编号:Linux-03012名称:限制用户对主机资源的使用系统当前状态:实施方案:# vi /etc/security/limits.conf如果限制limitu用户组对主机资源的使用,加入:limitu soft core 0limitu hard nproc 30limitu - maxlogins 5具体限制请于管理员确认后再进行实施。实施目的:Linux可以限制用户对主机资源的使用,比如限制用户使用的CPU或内存等,可以有效的防止本地DoS攻击。实施风险:无是
8、否实施:(客户填写)编号:Linux-03005名称:使用pasword shadowing系统当前状态:实施方案:# /usr/sbin/pwconv5实施目的:确保系统中帐号密码存在于/etc/shadow,而不直接存在于/etc/passwd。实施风险:无是否实施:(客户填写)编号:Linux-03011名称:保证bash shell保存少量的(或不保存)命令系统当前状态:实施方案:“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。建议把“/etc/profile”文件中的“HI
9、STFILESIZE”和“HISTSIZE”行的值设为一个较小的数,比如30。编辑profile文件(vi /etc/profile),把下面这行改为: HISTFILESIZE=30 HISTSIZE=30在“/etc/skel/.bash_logout” 文件中添加下面这行“rm -f $HOME/.bash_history” 。这样,当用户每次注销时,.bash_history文件都会被删除。编辑.bash_logout文件(vi /etc/skel/.bash_logout) ,添加下面这行:rm -f $HOME/.bash_history实施目的:保存较少的命令条数,减少安全隐患。
10、实施风险:不要把HISTSIZE置零,那样就无法使用上下健来调用历史命令了。是否实施:(客户填写)编号:Linux-03010名称:使用PAM禁止任何人su为root系统当前状态:实施方案:编辑su文件(vi /etc/pam.d/su),在开头添加下面两行: auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 这表明只有wheel组的成员可以使用su命令成为root用户。你可以把用户添加到wheel组,以使它可以使用su命令成为root用户。添加方法为
11、:# chmod G10 username实施目的:避免任何人可以su为root,减少安全隐患。实施风险:无是否实施:(客户填写)2.1.1.3网络与服务加固编号:Linux-04007名称:禁止/etc/rc.d/init.d下某些脚本的执行系统当前状态:实施方案:# cd /etc/rc.d/init.d在不需要开机自动运行的脚本第一行写入 exit 0。则开机时该脚本exit 0之后的内容不会执行。需要更改的服务包括:identd lpd linuxconf netfsportmap routed rstatdrwalld rwhodsendmail ypbind yppasswdd y
12、pserv具体操作时根据主机的角色请于管理员确认后再实施。实施目的:禁止系统开机时不需要启动的服务,减少安全隐患。防止黑客获取更多的系统信息。实施风险:无是否实施:(客户填写)编号:Linux-04009 Linux-04011名称:禁止/etc/rc.d/rc0-9.d下不需要运行的脚本系统当前状态:实施方案:进入相应目录,将脚本开头大写S改为小写s即可。如:# cd /etc/rc.d/rc6.d# mv S45dhcpd s45dhcpd实施目的:禁止系统不需要启动的服务,减少安全隐患。防止黑客获取更多的系统信息。实施风险:无是否实施:(客户填写)编号:Linux-04004 Linux
13、-04008名称:(x)inetd服务系统当前状态:实施方案:取消所有不需要的服务,编辑“/etc/inetd.conf”文件,通过注释取消所有你不需要的服务(在该服务项目之前加一个“#”) 。 第一步: 更改“/etc/inetd.conf”权限为600,只允许root来读写该文件。# chmod 600 /etc/inetd.conf 第二步: 确定“/etc/inetd.conf”文件所有者为root。 # chown root /etc/inetd.conf第三步: 编辑 /etc/inetd.conf文件(vi /etc/inetd.conf),取消不需要的服务,如:ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。把不需要的服务关闭可以使系统的危险性降低很多。 第四步: 给inetd进程发送一个HUP信号: # killall -HUP
