收藏
下载资源

Linux系统安全系统加固手册簿

上传人:s9****2 文档编号:478151208 上传时间:2023-11-10 格式:DOC 页数:14 大小:148.50KB
返回 下载 相关 举报
Linux系统安全系统加固手册簿_第1页
第1页 / 共14页
Linux系统安全系统加固手册簿_第2页
第2页 / 共14页
Linux系统安全系统加固手册簿_第3页
第3页 / 共14页
Linux系统安全系统加固手册簿_第4页
第4页 / 共14页
Linux系统安全系统加固手册簿_第5页
第5页 / 共14页
点击查看更多>>
资源描述

《Linux系统安全系统加固手册簿》由会员分享,可在线阅读,更多相关《Linux系统安全系统加固手册簿(14页珍藏版)》请在金锄头文库上搜索。

1、word密级:商业秘密LINUX评估加固手册安氏领信科技开展某某二一九年九月目 录1、系统补丁的安装32、某某、口令策略的加固321、删除或禁用系统无用的用户322、口令策略的设置423、系统是否允许root远程登录424、root的环境变量设置53、网络与服务加固531、rc?.d中的服务的设置532、中服务的设置633、NFS的配置834、SNMP的配置835、Sendmail的配置936、DNSBind的配置937、网络连接访问控制的设置94、信任主机的设置105、日志审核的设置116、物理安全加固117、系统内核参数的配置128、选装安全工具131、系统补丁的安装RedHat使用RPM

2、包实现系统安装的管理,系统没有单独补丁包Patch。如果出现新的漏洞,如此发布一个新的RPM包,版本号Version不变,Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件,和RH上发布的升级软件对照,检查其中的变化。通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下:.redhat./corp/support/errata/rpm -qa 查看系统当前安装的rpm包rpm -ivh package1 安装RPM包rpm -Uvh package1 升级RPM包rpm -Fvh package1 升级RPM包如果原先没有安装,如此不安装2、某某

3、、口令策略的加固21、删除或禁用系统无用的用户询问系统管理员,确认其需要使用的某某如果下面的用户与其所在的组经过确认不需要,可以删除。lp, sync, shutdown, halt, news, uucp, operator, games, gopher修改一些系统某某的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的某某,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。passwd

4、-l user1锁定user1用户passwd -u user1 解锁user1用户groupdel lp 删除lp组。22、口令策略的设置RedHat Linux总体口令策略的设定分两处进展,第一局部是在/etc/login.defs文件中定义,其中有四项相关内容:PASS_MAX_DAYS 密码最长时效天PASS_MIN_DAYS 密码最短时效天PASS_MIN_LEN 最短密码长度PASS_WARN_AGE 密码过期前PASS_WARN_AGE天警告用户编辑/etc/login.defs文件,设定:PASS_MAX_DAYS=90PASS_MIN_DAYS=0PASS_MIN_LEN=8

5、PASS_WARN_AGE=30另外可以在/etc/pam.d/system-auth文件中的cracklib项中定义口令强度:difokminlendcreditucreditlcreditocredit使用vi编辑/etc/pam.d/system-auth文件,设置cracklib的属性# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth sufficient /lib/security/pam_unix.so likeauth nullokp

6、assword required /lib/security/pam_cracklib.so retry=3 type= difok=4 minlen=12 dcredit=1 ucredit=2 lcredit=2 ocredit=1password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadow23、系统是否允许root远程登录RedHat在文件/etc/securetty中定义root用户可以登录的端口;默认其中只包含vc/1-11和tty1-11,即root用户只能从本地登录。24、root的环境变量

7、设置系统的环境变量在如下文件中设置:Bash:/etc/profile/.bash_profile/.bash_login/.profile/.bashrc/etc/bashrcTcsh/Csh:/.tcshrc或/.cshrc/.history/.login/.cshdirsprintenv 查看用户的环境变量检查环境变量PATH,确保其中不包含本地目录.。3、网络与服务加固31、rc?.d中的服务的设置RedHat的服务主要由/etc/inittab和/etc/rc?.d/S*文件启动,事实上,/etc/inittab的主要任务是为每一个runlevel指定启动文件,从而启动/etc/rc

8、?.d/S*文件。例如,在默认的运行级别3中系统将运行/etc/rc3.d/目录中所有S打头的文件。runlevel 检查当前运行级别第一项为哪一项pre-runlevel,第二项是当前的runlevelchkconfig list 检查所有级别中启动的服务情况chkconfig list |grep 3:on 检查某一级别例如级别3中启动的服务chkconfig sendmail off 将sendmail从启动目录中除去检查以下服务,如果不需要,关闭之在/etc/inittab中注释掉;否如此,参照3.3 3.4 3.5 3.6进展配置:portmap启动rpcbind/portmap服务

9、nfslock 启动rpc.lockd和rpc.statdd 启动apachenamed 启动bindsendmail 启动sendmailsmb 启动samba服务snmpd 启动snmp服务snmptrapd 启动snmp trap服务nfs 启动nfs服务由INETD启动的服务在文件/etc/inetd.conf定义。建议关闭由inetd启动的所有服务;如果有管理上的需要,可以打开telnetd、ftpd、rlogind、rshd等服务。可从/etc/inetd.conf中删除的服务在/etc/inetd.conf中注释掉:shellkshellloginkloginexecsatuuc

10、pbootpsfingersystatnetstattftptalkntalkechodiscardchargendaytimetimesatwebsminstsrvimap2pop3kfclixmqueryRedHat Linux 7.3以后使用了新版本的xinetd取代了老版本的inetd,在配置方面最大的不同在于使用了/etc/xinetd.d/配置目录取代了/etc/inetd.conf配置文件。每一项服务/etc/xinetd.d/中都有一个相应的配置文件,例如telnetd的配置文件是/etc/xinetd.d/telnet。查看每一个配置文件disable属性的定义yes/no就

11、可以确定该服务是否启动默认是yes。使用vi编辑/etc/xinetd.d/中的配置文件,在不需要启动的服务配置文件中添加disable=yes。建议关闭所有服务,如果管理需要,如此可以打开telnetd和ftpd服务。使用vi编辑/etc/xinetd.d/rlogin文件,控制rlogin服务的启动状态# default: on# description: rlogind is the server for the rlogin(1) program. The server # provides a remote login facility with authentication bas

12、ed on # privileged port numbers from trusted hosts.service logindisable = yes socket_type = stream wait = no user = root log_on_success += USERID log_on_failure += USERID33、NFS的配置NFS系统的组成情况:nfsd NFS服务进程,运行在服务器端,处理客户的读写请求mountd 加载文件系统服务进程,运行在服务器端,处理客户加载nfs文件系统的请求/etc/exports 定义服务器对外输出的NFS文件系统/etc/fst

13、ab 定义客户端加载的NFS文件系统如果系统不需要NFS服务,可以使用chkconfig关闭NFS服务;如果不能关闭,使用showmount -e或直接查看/etc/exports文件检查输出的文件系统是否必要,以与属性是否妥当readonly等。chkconfig -list nfs 显示NFS服务是否在系统启动时启动/etc/init.d/nfs start|stop 启动|停止nfs服务showmount -e 显示本机输出的NFS文件系统mount 显示本机加载的文件系统包括NFS文件系统34、SNMP的配置如果系统不需要SNMP服务,可以关闭该服务使用chkconfig命令;如果不能

14、关闭,需要在/etc/snmpd.conf中指定不同的munity name。chkconfig -list snmpd显示snmpd服务是否在系统启动时启动chkconfig snmpd off 将snmpd服务从启动目录中去掉/etc/init.d/snmpd start|stop 启动|停止snmpd服务35、Sendmail的配置如果系统不需要Sendmail服务,可以关闭该服务使用chkconfig命令;如果不能关闭,将sendmail服务升级到最新,并在其配置文件/etc/sendmail.cf中指定不同banner参见示例。chkconfig -list sendmail显示sendmail服务是否在系统启动时启动chkconfig sendmail off 将sendmail服务从启动目录中去掉/etc/init.d/sendmail start|stop 启动|停止sendmail服务36、DNSBind的配置

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 建筑/环境 > 施工组织

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号