《LINUX安全配置手册》由会员分享,可在线阅读,更多相关《LINUX安全配置手册(43页珍藏版)》请在金锄头文库上搜索。
1、Linux安全配置手册Linuux安全全配置手手册综述本文档以以典型安安装的RRedHHat Linnux为为对象撰撰写而成成,其他他版本均均基本类类似,根根据具体体情况进进行适当当修改即即可。文档中的的操作需需要以rroott用户登登录至控控制台进进行,不不推荐使使用网络络远程的的方式进进行补丁丁及配置置修改等等加固操操作。部分操作作需要重重新启动动服务器器才会生生效,注注意某些些数据库库等应用用需要先先停止应应用,然然后才可可以重新新启动。加固之前前首先应应对系统统中的重重要文件件及可能能修改的的文件进进行备份份,可参参照使用用以下脚脚本:for fille iin /etcc/innet
2、dd.coonf /ettc/hhostts.eequiiv /etcc/fttpusserss /eetc/passswdd /eetc/shaadoww /eetc/hossts.alllow /etcc/hoostss.deeny /ettc/pprofftpdd.coonf /etcc/rcc.d/iniit.dd/fuuncttionns /etcc/innitttab /etcc/syyscoonfiig/ssenddmaiil /etcc/seecurrityy/liimitts.cconff /etcc/exxporrts /ettc/ssyscctl.connf /etcc/
3、syysloog.cconff /etcc/fsstabb /eetc/seccuriity.connsolle.ppermms /rooot/.rhoostss /rooot/.shoostss /eetc/shoostss.eqquivv /eetc/X111/xddm/XXserrverrs /etcc/X111/xxiniit/xxserrverrrc /ettc/XX11/gdmm/gddm.cconff /etcc/crron.alllow /ettc/ccronn.deeny /ettc/aat.aalloow /etcc/att.deeny /ettc/ccronntabb /
4、eetc/mottd /etcc/isssuee /usrr/shharee/coonfiig/kkdm/kdmmrc /ettc/XX11/gdmm/gddm.cconff /etcc/seecurrettty /etcc/seecurrityy/acccesss.cconff /eetc/lillo.cconff /etcc/grrub.connf /etcc/looginn.deefs /ettc/ggrouup /etcc/prrofiile /etcc/cssh.llogiin /etcc/cssh.ccshrrc /etcc/baashrrc /etcc/sssh/ssshdd_c
5、oonfiig /etcc/sssh/sssh_connfigg /etcc/cuups/cuppsd.connf /etcc/,vsfftpdd/vvsfttpd.connf /etcc/loogrootatte.cconff /rroott/.bbashhrc /rooot/.baash_proofille /rooot/.cshhrc /rooot/.tccshrrc /etcc/vssftppd.fftpuuserrs ; doo -ff $ffilee & /biin/ccp $fille $fille-ppreCCISdoneefor dirr inn /eetc/xinnetdd
6、.d /ettc/rrc0012334566.dd /varr/sppooll/crron /ettc/ccronn.* /ettc/llogrrotaate.d /varr/loog /etcc/paam.dd /eetc/skeel ; doo -dd $ddir & /binn/cpp -rr $ddir $diir-ppreCCISdonee补丁系统补丁丁系统内核核版本使使用unnamee -aa查看。软件版本本和补丁丁使用rrpm -qaa查看。使用upp2daate命命令自动动升级或或去fttp:/m下载对对应版本本补丁手手工单独独安装。其他应用用补丁除ReddHatt官方提提供的
7、系系统补丁丁之外,系系统也应应对根据据开放的的服务和和应用进进行补丁丁,如AAPACCHE、PPHP、OOPENNSSLL、MYYSQLL等应用用进行补补丁。具体升级级方法:首先确认认机器上上安装了了gccc及必要要的库文文件。然后去应应用的官官方网站站下载对对应的源源代码包包,如 *.ttar.gz再解压tar zxffv *.taar.ggz再根据使使用情况况对编译译配置进进行修改改,或直直接采用用默认配配置cd *./coonfiigurre再进行编编译和安安装makeemakee innstaall最小化xxineetd网网络服务务停止默认认服务说明:Xineetd是是旧的iinett
8、d服务务的替代代,他提提供了一一些网络络相关服服务的启启动调用用方式。Xinetd应禁止以下默认服务的开放:charrgenn chharggen-udpp cuups-lpdd daaytiime dayytimme-uudp echho eechoo-uddp eeklooginn fiingeer ggssfftp imaap iimapps iipopp2 iipopp3 kkrb55-teelneet kkloggin kshhelll kttalkk nttalkk poop3ss reexecc rllogiin rrsh rsyync serrverrs sservvicees
9、操作:停止一个个服务chkcconffig 服务名名 offf打开一个个服务chkcconffig 服务名名 onn也可以使使用nttsyssv命令令进行服服务开关关调整其他说明:对于xiinett必须开开放的服服务,应应该注意意服务软软件的升升级和安安全配置置,并推推荐使用用SSHH和SSSL对原原明文的的服务进进行替换换。如果果条件允允许,可可以使用用系统自自带的iiptaablees或ttcp-wraappeer功能能对访问问IP地地址进行行限制。操作:Xineetd、SSSH和和SSLL、防火火墙配置置参见对对应系统统的用户户手册,此此不详述述。最小化启启动服务务设置daaemoon权
10、限限unmmaskk说明:默认系统统umaask至至少为0022,以以防止ddaemmon被被其他低低权限用用户修改改。操作:vi修改改/ettc/rrc.dd/innit.d文件件,ummaskk 值为为0222。同时检查查/ettc/rrc.dd/innit.d中其其他启动动脚本权权限是否否为7555。关闭xiinettd服务务说明:如果前面面第二章章关闭xxineetd服服务中所所列的服服务,都都不需要要开放,则则可以直直接关闭闭xinnetdd服务。操作:chkcconffig -lleveel 1123445 xxineetd offf关闭邮件件服务说明:1) 如果系统统不需要要作为
11、邮邮件服务务器,并并不需要要向外面面发邮件件,可以以直接关关闭邮件件服务。2) 如果不需需要作为为邮件服服务器,但但是允许许用户发发送邮件件,可以以设置SSenddmaiil不运运行在ddaemmon模模式。操作:1) chkcconffig -lleveel 1123445 ssenddmaiil ooff2) 编辑/eetc/syssconnfigg/seenmaail文文件增添以下下行DAEMMON=noQUEUUE=11h设置cd /etcc/syyscoonfiig/binn/chhownn rooot:rooot ssenddmaiil/binn/chhmodd 6444 ssen
12、ddmaiil关闭图形形登录服服务说明:一般来说说,大部部分软件件的安装装和运行行都不需需要图形形环境。如如果不需需要图形形环境进进行登录录和操作作,可以以关闭XX Wiindoows的的运行。操作:cp /etcc/innitttab /ettc/iinitttabb.baak编辑/eetc/iniittaab文件件修改idd:5:iniitdeefauult:行为idd:3:iniitdeefauult:chowwn rroott:rooot /ettc/iinitttabbchmood 006000 /eetc/iniittaab如需要XX Wiindoows的的时候,可运行行staar
13、txx命令启启动图形形界面。关闭X字字体服务务器说明:如果关闭闭了X Winndowws服务务,则XX foont服服务器服服务也应应该进行行关闭。操作:chkcconffig xfss offf关闭其他他默认启启动服务务说明:系统启动动时会启启动很多多不必要要的服务务,这些些不必要要的服务务均存在在一定的的安全隐隐患。一一般可能能存在以以下不必必要的服服务:apmdd caannaa FrreeWWnn gpmm hppoj innnd iirdaa issdn kdccrottatee lvvs mmarss-nwwe ooki44daeemonn prrivooxy rsttatdd r
14、uuserrsd rwaalldd rwwhodd sppamaassaassiin wwinee nffs nnfsllockk auutoffs yypbiind ypsservv ypppassswddd pporttmapp smmb nnetffs llpd apaachee htttpdd tuux ssnmppd nnameed pposttgreesqll myysqlld wwebmmin kuddzu squuid cupps加固时,应应根据机机器具体体配置使使用和应应用情况况对开放放的服务务进行调调整,关关闭不需需要的服服务。服务运行行脚本一一般都放放在/eetc/rc.
15、d/rrc*.d进行行启动,可可以使用用chkkconnfigg工具直直接进行行管理。对于必须须通过/etcc/rcc.d/rc*.d开开放的服服务,应应确保都都已打上上过最新新的补丁丁。操作:chkcconffig -lleveel 1123445 服服务名 offf如果关闭闭了特定定的服务务,也应应该同时时对这些些服务在在系统中中的用户户加以锁锁定或删删除可能包括括以下用用户rppc rrpcuuserr lpp appachhe hhttpp htttpdd naamedd dnns mmysqql pposttgrees ssquiiduserrmodd -LL 要锁锁定的用用户调整SMMB服务务
