《LINUX安全实施手册》由会员分享,可在线阅读,更多相关《LINUX安全实施手册(16页珍藏版)》请在金锄头文库上搜索。
1、LINUX安全实施手册2014年8月6日目录1概述32 安装33 用户帐号安全Password and account security43.1 密码安全策略43.2 检查密码是否安全43.3 Password Shadowing43.4 管理密码43.5 其它54 网络服务安全(Network Service Security)54.1服务过滤Filtering64.2/etc/inetd.conf64.3R 服务74.4Tcp_wrapper74.5/etc/hosts.equiv 文件84.6 /etc/services84.7/etc/aliases84.8 NFS94.9Trivia
2、l ftp (tftp)94.10 Sendmail94.11 finger104.12UUCP104.13World Wide Web (WWW) httpd104.14FTP安全问题115系统设置安全(System Setting Security)125.1限制控制台的使用125.2系统关闭Ping125.3关闭或更改系统信息125.4 /etc/securetty文件135.5 /etc/host.conf文件135.6禁止IP源路径路由135.7资源限制135.8 LILO安全145.9 Control-Alt-Delete 键盘关机命令145.10日志系统安全155.11修正脚本文
3、件在“/etc/rc.d/init.d”目录下的权限156文件系统安全(File System Security)156.1文件权限156.2控制mount上的文件系统166.3备份与恢复167其它167.1使用防火墙167.2使用第三方安全工具161概述近几年来Internet变得更加不安全了。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。 只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比过去任何时候都更真实地体现出这一点,基于Linux的系统也不能摆脱这个“普遍规律”而独善其身。因此,优秀的系统应当拥有完善的安全
4、措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题,本文将为你解释必须掌握的Linux安全知识。本文讲述了如何通过基本的安全措施,使Linux系统变得可靠。2 安装使系统处于单独(或隔离)的网络中。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击安装完成后将下面软件卸载pumpapmdlsapnptoolsredhat-logosmt-stkernel-pcmcia-csSetserialredhat-reles
5、eejectlinuxconfkudzugdbcgetty_psraidtoolspciutilsmailcapsetconsolegnupg用下面的命令卸载这些软件:rootdeep#rpm e softwarename卸载它们之前最好停掉三个进程:rootdeep# /etc/rc.d/init.d/apmd stoprootdeep# /etc/rc.d/init.d/sendmail stoprootdeep# /etc/rc.d/init.d/kudzu stop3用户帐号安全Password and account security3.1 密码安全策略l 口令至少为6位,并且包括特
6、殊字符l 口令不要太简单,不要以你或者有关人的相关信息构成的密码,比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等。l 口令必须有有效期l 发现有人长时间猜测口令,需要更换口令3.2 检查密码是否安全可以使用以下几种工具检查自己的密码是否安全:l JOHN,crack等暴力猜测密码工具l 在线穷举工具,包括Emailcrk、流光等3.3 Password Shadowingl 使用shadow来隐藏密文(现在已经是默认配置)l 定期检查shadow文件,如口令长度是否为空。#awk -F: length($2)=0 print $1 /etc/shadowl 设置文件属性和属主3
7、.4 管理密码l 设置口令有效最长时限 (编辑/etc/login.defs文件)l 口令最短字符(如linux默认为,可以通过编辑/etc/login.defs修改)l 只允许特定用户使用su命令成为root。编辑/etc/pam.d/su文件,在文件头部加上:auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheelRed hat 7.0中su文件已做了修改,直接去掉头两行的注释符就可以了rootdeep# usermod -G10 admin来将
8、用户加入wheel组3.5 其它l 清除不必要的系统帐户rootdeep# userdel admrootdeep# userdel lprootdeep# userdel syncrootdeep# userdel shutdownrootdeep# userdel haltrootdeep# userdel newsrootdeep# userdel uucprootdeep# userdel operatorrootdeep# userdel games (如果不使用 X Window,则删除)rootdeep# userdel gopherrootdeep# userdel ftp (
9、如果不使用ftp服务则删除)l 尽量不要在passwd文件中包含个人信息,防止被finger之类程序泄露。l 修改shadow,passwd,gshadow文件不可改变位rootdeep# chattr +i /etc/passwdrootdeep# chattr +i /etc/shadowrootdeep# chattr +i /etc/grouprootdeep# chattr +i /etc/gshadowl 不要使用.netrc文件,可以预先生成$HOME/.netrc。设置为0000。touch /.rhosts ;chmod 0 /.rhosts l 使用ssh来代替telnet
10、d,ftpd.pop等通用服务。传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据。4 网络服务安全(Network Service Security)Linux系统对外提供强大、多样的服务,由于服务的多样性及其复杂性,在配置和管理这些服务时特别容易犯错误,另外,提供这些服务的软件本身也存在各种漏洞,所以,在决定系统对外开放服务时,必须牢记两个基本原则:l 只对外开放所需要的服务,关闭所有不需要的服务。对外提供的服务越少,所面临的外部威胁越小。l 将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统
11、的安全风险。在上述两个基本原则下,还要进一步检查系统服务的功能和安全漏洞。这里针对主机所提供的服务进行相应基本安全配置,某些常用服务的安全配置请参考相关文档。4.1服务过滤Filteringl 在SERVER上禁止这些服务l 如果一定要开放这些服务,通过防火墙、路由指定信任IP访问。l 要确保只有真正需要的服务才被允许外部访问,并合法地通过用户的路由器过滤检查。尤其在下面的服务不是用户真正需要时候,要从路由器上将其过滤掉NAME PORT PROTOCOL echo 7 TCP/UDP systat 11 TCP netstat 15 TCP bootp 67 UDP tftp 69 UDP
12、link 87 TCP supdup 95 TCP sunrpc 111 TCP/UDP news 144 TCP snmp 161 UDP xdmcp 177 UDP exec 512 TCP login 513 TCP shell 514 TCP printer 515 TCP biff 512 UDP who 513 UDP syslog 514 UDP uucp 540 TCP route 520 UDP openwin 2000 TCP nfs 2049 UDP/TCP x11 6000 to 6000+n TCP 注意:有些UDP服务可以导致DOS攻击和远程溢出,如rpc.ypup
13、dated rpcbindrpc.cmsd 100068rpc.statd 100024 rpc.ttdbserver 100083sadmind 100232/10 l 配置完成以后,利用网络扫描器模拟入侵者从外部进行扫描测试。如利用nmap4.2 /etc/inetd.confl 确保文件权限设置为600l 确保文件属主设置为rootl 注释掉所有不需要的服务,需要重新启动inetd进程l 使用netstat an命令,查看本机所提供的服务。确保已经停掉不需要的服务4.3 R 服务不必使用R服务l 关闭R服务,Red hat 6.2在/etc/inetd.conf文件中注释以下服务,并且重新启动inetd服务。Red hat 7.0在/etc/xinetd.d目录中删除exec512TCPR
