《Linux安全系统加固要求规范》由会员分享,可在线阅读,更多相关《Linux安全系统加固要求规范(16页珍藏版)》请在金锄头文库上搜索。
1、wordLINUX安全加固规X目录1概述52 安装53 用户某某安全Password and account security63.1 密码安全策略63.2 检查密码是否安全63.3 Password Shadowing63.4 管理密码63.5 其它74 网络服务安全(Network Service Security)7服务过滤Filtering894.3R 服务99文件104.6 /etc/services10114.8 NFS114.9Trivial ftp (tftp)114.10 Sendmail114.11 finger12124.13World Wide Web () d13安全
2、问题135系统设置安全(System Setting Security)14限制控制台的使用14系统关闭Ping14关闭或更改系统信息155.4 /etc/securetty文件15文件15禁止IP源路径路由15资源限制165.8 LILO安全165.9 Control-Alt-Delete 键盘关机命令17日志系统安全17修正脚本文件在“/etc/rc.d/init.d目录下的权限176文件系统安全(File System Security)18文件权限18控制mount上的文件系统18备份与恢复197其它19使用防火墙19使用第三方安全工具19参考191概述近几年来Internet变得更加
3、不安全了。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。 只要有值得偷窃的东西就会有想方法窃取它的人。Internet的今天比过去任何时候都更真实地表现出这一点,基于Linux的系统也不能摆脱这个“普遍规律而独善其身。因此,优秀的系统应当拥有完善的安全措施,应当足够巩固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题,本文将为你解释必须掌握的Linux安全知识。本文讲述了如何通过根
4、本的安全措施,使Linux系统变得可靠。2 安装使系统处于单独或隔离的网络中。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击安装完成后将下面软件卸载pumpapmdlsapnptoolsredhat-logosmt-stkernel-pcmcia-csSetserialredhat-releseejectlinuxconfkudzugdbcgetty_psraidtoolspciutilsmailcapsetconsolegnupg用下面的命令卸载这些软件:rootdeep#rpm e softwarename卸载它们之前最好停掉三个进程:3用户某某安全Password and a
5、ccount security3.1 密码安全策略l 口令至少为6位,并且包括特殊字符l 口令不要太简单,不要以你或者有关人的相关信息构成的密码,比如生日、某某的拼音或者缩写、单位的拼音或者英文简称等等。l 口令必须有有效期l 发现有人长时间猜想口令,需要更换口令检查密码是否安全可以使用以下几种工具检查自己的密码是否安全:l JOHN,crack等暴力猜想密码工具l 在线穷举工具,包括Emailcrk、流光等3.3 Password Shadowingl 使用shadow来隐藏密文现在已经是默认配置l 定期检查shadow文件,如口令长度是否为空。#awk -F: length($2)=0 p
6、rint $1 /etc/shadowl 设置文件属性和属主管理密码l 设置口令有效最长时限 编辑文件l 口令最短字符如linux默认为,可以通过编辑修改l 只允许特定用户使用su命令成为root。编辑文件,在文件头部加上:auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheelR中su文件已做了修改,直接去掉头两行的注释符就可以了rootdeep# usermod -G10 admin来将用户参加wheel组3.5 其它l 去除不必要的系统某某ro
7、otdeep# userdel admrootdeep# userdel lprootdeep# userdel syncrootdeep# userdel shutdownrootdeep# userdel haltrootdeep# userdel newsrootdeep# userdel uucprootdeep# userdel operatorrootdeep# userdel games(如果不使用 X Window,如此删除)rootdeep# userdel gopherrootdeep# userdel ftp 如果不使用ftp服务如此删除l 尽量不要在passwd文件中包
8、含个人信息,防止被finger之类程序泄露。l 修改shadow,passwd,gshadow文件不可改变位rootdeep# chattr +i /etc/passwdrootdeep# chattr +i /etc/shadowrootdeep# chattr +i /etc/grouprootdeep# chattr +i /etc/gshadowl 不要使用.netrc文件,可以预先生成$HOME/.netrc。设置为0000。touch /.rhosts ;chmod 0 /.rhosts l 使用ssh来代替等通用服务。传统的网络服务程序,如:ftp、pop和telnet在本质上都
9、是不安全的,因为它们在网络上用明文传送口令和数据。4 网络服务安全(Network Service Security)Linux系统对外提供强大、多样的服务,由于服务的多样性与其复杂性,在配置和管理这些服务时特别容易犯错误,另外,提供这些服务的软件本身也存在各种漏洞,所以,在决定系统对外开放服务时,必须牢记两个根本原如此:l 只对外开放所需要的服务,关闭所有不需要的服务。对外提供的服务越少,所面临的外部威胁越小。l 将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统的安全风险。在上述两个根本原如此下,还要进一步检查系统服务的功能和安全漏洞。这里针对主机所提
10、供的服务进展相应根本安全配置,某些常用服务的安全配置请参考相关文档。服务过滤Filteringl 在SERVER上禁止这些服务l 如果一定要开放这些服务,通过防火墙、路由指定信任IP访问。l 要确保只有真正需要的服务才被允许外部访问,并合法地通过用户的路由器过滤检查。尤其在下面的服务不是用户真正需要时候,要从路由器上将其过滤掉NAME PORT PROTOCOL echo 7 TCP/UDP systat 11 TCP netstat 15 TCP bootp 67 UDP tftp 69 UDP link 87 TCP supdup 95 TCP sunrpc 111 TCP/UDP new
11、s 144 TCP snmp 161 UDP xdmcp 177 UDP exec 512 TCP login 513 TCP shell 514 TCP printer 515 TCP biff 512 UDP who 513 UDP syslog 514 UDP uucp 540 TCP route 520 UDP openwin 2000 TCP nfs 2049 UDP/TCP x11 6000 to 6000+n TCP注意:有些UDP服务可以导致DOS攻击和远程溢出,如rpc.ypupdated rpcbindrpc.cmsd 100068rpc.statd 100024 rpc.
12、ttdbserver 100083sadmind 100232/10 l 配置完成以后,利用网络扫描器模拟入侵者从外部进展扫描测试。如利用nmap4.2l 确保文件权限设置为600l 确保文件属主设置为rootl 注释掉所有不需要的服务,需要重新启动inetd进程l 使用netstat an命令,查看本机所提供的服务。确保已经停掉不需要的服务4.3 R 服务不必使用R服务l 关闭R服务在文件中注释以下服务,并且重新启动inetd服务。在目录中删除exec512TCPRlogin513TCPRshell514TCPl 预先生成$HOME/.rhosts,文件,并且设置为0000,防止被写入+ +
13、。攻击者经常使用类似符号或者利用ROOTSHELL写入,并且远程打开受保护主机的R服务必须使用R服务l 使用更安全版本的r服务。如Wietse Venema的logdaemon程序等。l 在路由或者防火墙上禁止外部网络访问受保护主机的512,513 and 514 (TCP)端口。l 使用TCP WRAPPERS设置可访问受保护主机R服务的信任机器。4.4 Tcp_wrapper该软件的作用是在Unix平台上过滤TCP/UDP服务,它目前已被广泛用于监视并过滤发生在主机上的ftp、telnet、rsh、rlogin、tftp、finger等标准TCP/UDP服务。当系统安装TCP_wrapper之后,文件中的会被TCP_wrapper附带的tcpd程序取代。该程序截获来自客户
