LINUX安全配置手冊

1、LINUX 安全配置手冊綜述本文檔以典型安裝的 RedHat Linux 為對象撰寫而成，其他版本均差不 多類似，按照具體情形進行適當修改即可文檔中的操作需要以 root 用戶登錄至操縱臺進行，不舉薦使用網(wǎng)絡遠 程的方式進行補丁及配置修改等加固操作。 部分操作需要重新啟動服務器才會生效，注意某些數(shù)據(jù)庫等應用需要 先停止應用，然后才能夠重新啟動。加固之前第一應對系統(tǒng)中的重要文件及可能修改的文件進行備份，可 參照使用以下腳本：for file in /etc/inetd.conf /etc/hosts.equiv/etc/ftpusers /etc/passwd /etc/shadow /etc/

2、hosts.allow /etc/hosts.deny /etc/proftpd.conf /etc/rc.d/init.d/functions /etc/inittab /etc/sysconfig/sendmail /etc/security/limits.conf /etc/exports /etc/sysctl.conf /etc/syslog.conf /etc/fstab /etc/security.console.perms /root/.rhosts /root/.shosts /etc/shosts.equiv /etc/X11/xdm/Xservers /etc/X11/x

3、init/xserverrc /etc/X11/gdm/gdm.conf /etc/cron.allow /etc/cron.deny /etc/at.allow /etc/at.deny /etc/crontab /etc/motd /etc/issue /usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm.conf /etc/securetty /etc/security/access.conf /etc/lilo.conf /etc/grub.conf /etc/login.defs /etc/group /etc/profile /etc/csh.l

4、ogin /etc/csh.cshrc /etc/bashrc /etc/ssh/sshd_config /etc/ssh/ssh_config /etc/cups/cupsd.conf /etc/,vsftpd/vsftpd.conf /etc/logrotate.conf /root/.bashrc /root/.bash_profile /root/.cshrc /root/.tcshrc /etc/vsftpd.ftpusers ; do -f $file && /bin/cp $file $file-preCIS done for dir in /etc/xinetd

5、.d /etc/rc0123456.d /var/spool/cron /etc/cron.* /etc/logrotate.d /var/log/etc/pam.d /etc/skel ; do -d $dir && /bin/cp -r $dir $dir-preCIS done 補丁系統(tǒng)補丁 系統(tǒng)內(nèi)核版本使用 uname -a 查看。 軟件版本和補丁使用 rpm -qa 查看。其他應用補丁除 RedHat 官方提供的系統(tǒng)補丁之外， 系統(tǒng)也應對按照開放的服務和應 用進行補丁，如 APACHE、 PHP、OPENSSL、MYSQL 等應用進行補丁。 具體升級方法：第一確認機器

6、上安裝了 gcc 及必要的庫文件。 然后去應用的官方網(wǎng)站下載對應的源代碼包，如 *.tar.gz 再解壓tar zxfv *.tar.gz 再按照使用情形對編譯配置進行修改，或直截了當采納默認配置 cd *./configure 再進行編譯和安裝 makemake install最小化 xinetd 網(wǎng)絡服務停止默認服務講明：Xinetd 是舊的 inetd 服務的替代，他提供了一些網(wǎng)絡有關服務的啟動調(diào) 用方式。 Xinetd 應禁止以下默認服務的開放：操作： 停止一個服務 chkconfig 服務名 off打開一個服務chkconfig 服務名 on也能夠使用 ntsysv 命令進行服務開關

7、調(diào)整其他講明：關于 xinet 必須開放的服務，應該注意服務軟件的升級和安全配置，并 舉薦使用 SSH和 SSL對原明文的服務進行替換。如果條件承諾，能夠使用 系統(tǒng)自帶的 iptables或 tcp-wrapper功能對訪咨詢 IP 地址進行限制。操作：Xinetd、SSH和 SSL、防火墻配置參見對應系統(tǒng)的用戶手冊， 此不詳述。 最小化啟動服務設置 daemon權限 unmask講明：默認系統(tǒng) umask 至少為 022，以防止 daemon被其他低權限用戶修改。操作：vi修改/etc/rc.d/init.d文件， umask 值為 022。同時檢查 /etc/rc.d/init.d 中其他

8、啟動腳本權限是否為 755。關閉 xinetd 服務講明：如果前面第二章關閉 xinetd 服務中所列的服務，都不需要開放，則能 夠直截了當關閉 xinetd 服務。操作：chkconfig -level 12345 xinetd off關閉郵件服務講明： 如果系統(tǒng)不需要作為郵件服務器，并不需要向別處發(fā)郵件，能夠直截 了當關閉郵件服務。如果不需要作為郵件服務器，然而承諾用戶發(fā)送郵件，能夠設置 Send mail 不運行在 daemon模式。操作：chkconfig -level 12345 sendmail off 編輯 /etc/sysconfig/senmail文件 增加以下行DAEMON

9、=no QUEUE=1h 設置 cd /etc/sysconfig/bin/chown root:root sendmail /bin/chmod 644 sendmail 關閉圖形登錄服務講明： 一樣來講，大部分軟件的安裝和運行都不需要圖形環(huán)境。如果不需要 圖形環(huán)境進行登錄和操作，能夠關閉 X Windows 的運行。操作：cp /etc/inittab /etc/inittab.bak編輯 /etc/inittab 文件修改 id:5:initdefault: 行為 id:3:initdefault:chown root:root /etc/inittabchmod 0600 /etc/i

10、nittab如需要 X Windows 的時候，可運行 startx 命令啟動圖形界面。 關閉 X 字體服務器講明：如果關閉了 X Windows 服務，則 X font 服務器服務也應該進行關閉 操作：chkconfig xfs off 關閉其他默認啟動服務 講明：系統(tǒng)啟動時會啟動專門多不必要的服務，這些不必要的服務均存在一 定的安全隱患。一樣可能存在以下不必要的服務：apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nw e oki4daemon privoxy rstatd rusersd rwalld rwhod

11、 spamassassinw ine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache htt pd tux snmpd named postgresql mysqld webmin kudzu squid cups 加固時，應按照機器具體配置使用和應用情形對開放的服務進行調(diào)整， 關閉不需要的服務。服務運行腳本一樣都放在 /etc/rc.d/rc*.d 進行啟動，能夠使用 chkconfig 工具直截了當進行治理。關于必須通過 /etc/rc.d/rc*.d 開放的服務，應確保都已打上過最新的補 丁。

12、操作：chkconfig -level 12345 服務名 off 如果關閉了特定的服務，也應該同時對這些服務在系統(tǒng)中的用戶加以 鎖定或刪除可能包括以下用戶 rpc rpcuser lp apache http httpd named dns mysql postgres squidusermod -L 要鎖定的用戶調(diào)整 SMB 服務講明：Samba服務器一樣用來提供與 Windows 類似的文件和打印共享服務。 除非十分必要，否則應關閉 SMB （ Windows 文件共享）服務?？刹杉{以下 方式開放 SMB 服務。操作：chkconfig smb on調(diào)整 NFS 服務器服務講明：NFS

13、漏洞較多，經(jīng)常被利用來取得未授權的文件或系統(tǒng)權限。除非十 分必要，否則應關閉 NFS服務?？刹杉{以下方式開放 SMB 服務，并應該 限制 export文件系統(tǒng)的中的 IP 地址范疇，以及增加只讀權限。操作：chkconfig -level 345 nfs on調(diào)整 NFS 客戶端服務講明：NFS 客戶端服務一樣用來訪咨詢其他 NFS 服務器。除非十分必要，否 則應關閉此服務?？刹杉{以下方式開放此服務。操作：chkconfig -level 345 nfslock onchkconfig -level 345 autofs on調(diào)整 NIS 服務器服務講明：NIS 用來提供基于 UNIX 的域治

14、理和認證手段。 除非十分必要， 否則應 關閉此服務?？刹杉{以下方式開放此服務。操作：chkconfig ypserv onchkconfig yppasswdd on調(diào)整 NIS 客戶端服務講明：NIS 客戶端用來訪咨詢其他 NIS 服務器。除非十分必要，否則應關閉 此服務。可采納以下方式開放此服務。操作：chkconfig ypbind on調(diào)整 RPC 端口映射服務講明：RPC 協(xié)議一樣通過比較簡單的或不經(jīng)認證就能夠得到一些專門敏銳的 信息。同時 RPC 系列服務都存在一些緩沖區(qū)溢出咨詢題。在以下情形下能夠考慮關閉 RPC 端口映射服務： 服務器不是 NFS 服務器或客戶端； 服務器不是

15、NIS 服務器或客戶端；服務器沒有運行其它依靠于 RPC 服務的第三方軟件； 服務器不運行圖形界面( x-windows )。操作：chkconfig -level 345 portmap on 調(diào)整 netfs 服務 講明： 此服務會作為客戶端掛接網(wǎng)絡中的磁盤。如果沒有網(wǎng)絡文件共享協(xié)議 如 NFS， NovellNetware 或 Windows 文件共享使用，則能夠關閉此服務。操作：chkconfig -level 345 netfs on 調(diào)整打印機服務講明：UNIX 打印服務存在較多的安全漏洞。 如果系統(tǒng)不作為網(wǎng)絡中的打印機 服務器，則能夠關閉此服務。如果必須使用此服務，第一應保證軟件

16、都通 過最新的補丁，然和設置 cupsd進程運行在非 root 用戶和組。操作：if -e /etc/init.d/cups ; then chkconfig cups onsed 's/#User lp/User lp/' /etc/cups/cupsd.conf >/etc/cups/cupsd.conf.new sed 's/#Group sys/Group sys/'/etc/cups/cupsd.conf.new >/etc/cups/cupsd.conf rm -f /etc/cups/cupsd.conf.new /bin/chown

17、lp:sys /etc/cups/cupsd.conf /bin/chmod 600 /etc/cups/cupsd.conf fichkconfig hpoj onchkconfig lpd on調(diào)整 Web 服務器服務講明：如果服務器必須開放 Web，則需要作如下設置。應注意 web 名目權限 設置，不要承諾名目 list 。操作：chkconfig apahce on或chkconfig httpd on調(diào)整 SNMP 服務講明：簡單網(wǎng)絡治理協(xié)議 SNMP 一樣用來監(jiān)控網(wǎng)絡上主機或設備的運行情 形。如果必須打開，則必須更換默認通訊字。操作：chkconfig snmpd on編輯 /et

18、c/snmp/snmpd.confcom2sec notConfigUser default public修改 public 為其他一個足夠復雜的密碼。調(diào)整 DNS 服務器服務講明：DNS 服務器服務用來為其他機器提供 DNS 解析，一樣來講都能夠關掉。 如果必須進行開放，則必須升級至最新版本，并舉薦設置 chroot 環(huán)境，還 需要注意限制 DNS 配置文件中的區(qū)域傳輸?shù)仍O置（加密碼或加 IP 地址限 制）。操作：chkconfig named on調(diào)整 SSHD 服務器服務 講明：SSHD服務器服務用來提供 SSH Server的服務。如果必須進行開放， 則必須升級至最新版本，并舉薦設置

19、chroot 環(huán)境，還需要注意限制 SSH配 置文件中的區(qū)域傳輸?shù)仍O置， 需要在 SSHD 配置文件中禁用 ssh1方式連接， 因 ssh1 方式連接是非完全加密。操作：如使用 Openssh，則檢查 /etc/ssh/sshd_configgrep Protocol /etc/ssh/sshd_configgrep Protocol /etc/ssh2/sshd2_config調(diào)整 SQL 服務器服務講明： 如果不需要數(shù)據(jù)庫服務，則能夠關閉此服務。如果必須進行開放，則 注意修改數(shù)據(jù)庫用戶的密碼，并增加數(shù)據(jù)庫用戶 IP 訪咨詢限制。操作：chkconfig postgresql onchkco

20、nfig mysqld on調(diào)整 Webmin 服務講明：Webmin是一個通過 HTTP協(xié)議操縱 linux 的工具，一樣舉薦使用 SSH 進行系統(tǒng)治理而不要使用此工具。操作：chkconfig webmin on調(diào)整 Squid 服務講明：Squid 服務是客戶端與服務器之間的代理服務。 Squid 服務已顯現(xiàn)過專 門多安全漏洞，同時如果設置不當?shù)脑挘赡軐е卤焕脕碜鳛閮?nèi)外網(wǎng)之 間的跳板。如果不需要，則能夠關閉此服務。如果必須打開，則需要設置 承諾訪咨詢的地址列表及認證。操作：chkconfig squid on調(diào)整 kudzu 硬件探測服務講明：Kudzu 服務是 linux 的硬件探

21、測程序， 一樣設置為啟動系統(tǒng)的時候運行 他會檢測系統(tǒng)中的硬件的改變，同時會提示進行配置等。未經(jīng)授權的新設 備存在的一定的安全風險，系統(tǒng)啟動時操縱臺就能夠配置任何新增加的設 備。如果不需要經(jīng)常的改動硬件，則需要進行關閉。能夠在增加新設備時 手工運行 /etc/rc.d/init.d/kudzu 啟動此服務。操作：chkconfig -level 345 kudzu on 內(nèi)核參數(shù)網(wǎng)絡參數(shù)調(diào)整講明：Linux 支持的對網(wǎng)絡參數(shù)進行調(diào)整。 具體參數(shù)詳細講明，可參見 http:/lxr.linux.no/source/Documentation/networking/ip-sysctl.txt 。操作

22、：編輯 /etc/sysctl.conf增加net.ipv4.tcp_max_syn_backlog = 4096net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net.ipv4.conf.default.rp_filter = 1 net.ipv4.conf.default.accept_source_route= net.ipv4.con

23、f.default.accept_redirects = 0 net.ipv4.conf.default.secure_redirects = 0/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf 更多的網(wǎng)絡參數(shù)調(diào)整講明： 如果系統(tǒng)不作為在不同網(wǎng)絡之間的防火墻或網(wǎng)關時，可進行如下設置。 具體參數(shù)詳細講明，可參見 http:/lxr.linux.no/source/Documentation/networking/ip-sysctl.txt操作：編輯 /etc/sysctl.conf增加net.ipv4.ip

24、_forward = 0net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf日志 系統(tǒng)認證日志配置講明：不是所有版本的 linux 都會在日之中記錄登陸信息。 一樣需要對這些重 要的安全有關的信息進行儲存， （如成功或失敗 su，失敗的登陸， root 登陸 等）。這些將會被記錄在 /var/log/secure 文件里。操作：編輯 /etc/syslog.

25、conf確認有如下行authpriv.* /var/log/securetouch /var/log/secure/bin/chown root:root /var/log/secure/bin/chmod 600 /var/log/secureFTP 進程日志配置講明：系統(tǒng)默認會記錄 wu-ftpd 和 vsftpd 所有的連接和文件傳輸。 以下將會確 認所有法發(fā)送到服務期的命令將會被記錄。 wu-ftpd 將會把安全有關的或是 策略邊界的行為經(jīng)歷文件傳輸記錄到 syslog 里，默認位于 /var/log/xferlog 。操作：編輯 /etc/xinetd.d/wu-ftpd 文件確認有

26、如下行server_args = -l -a -d/bin/chown root:root wu-ftpd/bin/chmod 644 wu-ftpd編輯/etc/vsftpd.conf或/etc/vsftpd/vsftpd.conf 文件確認有如下行xferlog_std_format=NOlog_ftp_protocol=YESlog_ftp_protocol=YES/bin/chmod 0600 vsftpd.conf/bin/chown root:root vsftpd.conf確認系統(tǒng)日志權限講明：愛護系統(tǒng)日志文件可不能被非授權的用戶所修改。操作：cd /var/log/bin/ch

27、mod o-w boot.log* cron* dmesg ksyms* httpd/*maillog* messages* news/* pgsql rpmpkgs* samba/* scrollkeeper.log secure* spooler* squid/* vbox/* wtmp /bin/chmod o-rx boot.log* cron* maillog* messages* pgsql secure* spooler* squid/*/bin/chmod g-w boot.log* cron* dmesg httpd/* ksyms* maillog* messages* p

28、gsql rpmpkgs* samba/* scrollkeeper.log secure* spooler*/bin/chmod g-rx boot.log* cron* maillog* messages* pgsql secure* spooler*/bin/chmod o-w gdm/ httpd/ news/ samba/ squid/ vbox/bin/chmod o-rx httpd/ samba/ squid/bin/chmod g-w gdm/ httpd/ news/ samba/ squid/ vbox/bin/chmod g-rx httpd/ samba/bin/ch

29、own -R root:root ./bin/chgrp utmp wtmp/bin/chown -R news:news news/bin/chown postgres:postgres pgsql/bin/chown -R squid:squid squid 文件/名目權限/etc/fstab 中適當分區(qū)增加“ nodev”選項講明：在我們已知不包含設備的分區(qū)增加 nodev 參數(shù)，防止用戶掛接分區(qū)中 未授權設備。此項加固要比較慎重。操作：編輯 /etc/fstab文件在非/的 ext2 和 ext3 分區(qū)后增加 nodev參數(shù)/bin/chown root:root /etc/fstab

30、/bin/chmod 0644 /etc/fstab/etc/fstab 中移動設備增加“ nosuid”“nodev”選項 講明： 可移動的媒體可能導致惡意的程序進入系統(tǒng)。能夠?qū)⑦@些文件系統(tǒng)設 置 nosuid 選項，此選項能夠防止用戶使用 CD-ROM 或軟盤將設置了 SUID 的程序帶到系統(tǒng)里。參照上節(jié)，這些文件系統(tǒng)也應當設置 nodev 選項。操作：編輯 /etc/fstab文件在 floppy 和 cdrom 分區(qū)后增加 nosuid,nodev 參數(shù)/bin/chown root:root /etc/fstab /bin/chmod 0644 /etc/fstab禁止用戶掛接可移動

31、文件系統(tǒng) 講明：PAM 模塊中的 pam console 參數(shù)給操縱臺的用戶臨時的額外特權。其 配置位于 /etc/security/console.perms文件。默認設置承諾操縱臺用戶操縱能 夠與其他主機共享的軟盤和 CD-ROM 設備。這些可移動媒體存在著一定的 安全風險。以下禁止這些設備的額外特權。操作：編輯 /etc/security/console.perms文件 修改其中的 console 行，刪除以下設備之外的行 /sound|fb|kbd|joystick|v4l|mainboard|gpm|scanner/bin/chown root:root console.perms/

32、bin/chmod 0600 console.perms 檢查 passwd，shadow和 group 文件權限 講明：檢查以下文件的默認權限。操作：cd /etc /bin/chown root:root passwd shadow group/bin/chmod 644 passwd group/bin/chmod 400 shadow 全局可寫名目應當設置粘滯位 講明：當一個名目設置了粘滯位之后，只有文件的屬主能夠刪除此名目中的 文件。設置粘滯位能夠防止用戶覆蓋其他用戶的文件。如 /tmp 名目。操作：find / -xdev -type d -perm -0002 -a ! -per

33、m -1000 -print 找出未授權的全局可寫名目講明： 全局可寫文件能夠被任意用戶修改。全局可寫文件可能造成一些腳本 或程序被惡意修改后造成更大的危害，一樣應拒絕其他組的用戶的寫權限操作：find / -perm -0002 -type f -xdev -printchmod o-w <filename>找出未授權的 SUID/SGID 文件講明： 治理員應當檢查沒有其他非授權的 SUID/SGID 在系統(tǒng)內(nèi)。操作：find / -perm -04000 -o -perm -02000 -type f -xdev -print 找出專門和隱藏的文件講明： 入侵者容易將惡意文件

34、放在這名目中或命名如此的文件名。關于檢查 出來的數(shù)據(jù)需要核對與否系統(tǒng)自身的文件。操作：find / -name ". " -exec ls -ldb ;find / -name ".*" -exec ls -ldb ;系統(tǒng)訪咨詢，授權和認證刪除.rhosts文件講明：R 系列服務（ rlogin ，rsh，rcp）使用 .rhosts文件，它使用基于網(wǎng)絡地址 或主機名的遠端機算計弱認證 （專門容易被偽造）。如果必須使用 R 系列服 務，則必須保證 .rhosts文件中沒有“ +”，同時同時指定對方系統(tǒng)和用戶名。 如果有防火墻，則應該在過濾外部網(wǎng)段至內(nèi)部的

35、全部 R 系列服務訪咨詢。 同時需要保證 .rhosts 文件僅能夠被所有者讀?。?600）。操作：for file in /etc/pam.d/* ; dogrep -v rhosts_auth $file > $file.new/bin/mv $file.new $file/bin/chown root:root $file/bin/chmod 644 $filedone創(chuàng)建危險文件的鏈接講明：防止創(chuàng)建危險的 /root/.rhosts，/root/.shosts，/etc/hosts.equiv和 /etc/shosts. equiv 文件。操作：/bin/rm /root/.rh

36、ostsln -s /dev/null /root/.rhosts/bin/rm /root/.shostsln -s /dev/null /root/.shosts/bin/rm /etc/hosts.equiv ln -s /dev/null /etc/hosts.equiv/bin/rm /etc/shosts.equivln -s /dev/null /etc/shosts.equiv創(chuàng)建 ftpuser 文件講明：/etc/ftpusers和/etc/vsftp.ftpusers文件里的用戶列表里的用戶將拒絕通過 WU-FTPD 和 vsftpd訪咨詢系統(tǒng)。 通常情形下， 應當不承諾

37、一些系統(tǒng)用戶訪 咨詢 FTP，同時任何時候都不應當使用 root 用戶訪咨詢 FTP。/etc/vsftpd.user類似上述功能。操作：for name in cut -d: -f1 /etc/passwddoif id -u $name -lt 500 thenecho $name >> /etc/ftpusersfidone/bin/chown root:root /etc/ftpusers/bin/chmod 600 /etc/ftpusersif -e /etc/vsftpd.conf | -e /etc/vsftpd/vsftpd.conf ; then/bin/rm

38、-f /etc/vsftpd.ftpusers/bin/cp /etc/ftpusers /etc/vsftpd.ftpusersfi關閉 X-Windows 的開放端口講明：X 服務器在 6000/tcp 監(jiān)聽遠端客戶端的連接。 X-Windows 使用相對不 安全的認證方式，取得 X 認證的用戶專門容易就能夠操縱整臺服務器。刪除選項中的“ -nolisten tcp”能夠使 X 服務器不再監(jiān)聽 6000/tcp 端口操作：if -e /etc/X11/xdm/Xservers ; thencd /etc/X11/xdmawk '($1 ! /#/ && $3 = &

39、quot;/usr/X11R6/bin/X") $3 = $3 " -nolisten tcp" ; print ' Xservers > Xservers.new /bin/mv Xservers.new Xservers /bin/chown root:root Xservers /bin/chmod 444 Xservers fiif -e /etc/X11/gdm/gdm.conf ; then cd /etc/X11/gdm awk -F= '($2 /X$/) printf("%s -nolisten tcpn"

40、;, $0); next ; print ' gdm.conf > gdm.conf.new /bin/mv gdm.conf.new gdm.conf /bin/chown root:root gdm.conf /bin/chmod 644 gdm.conf fiif -d /etc/X11/xinit ; thencd /etc/X11/xinitif -e xserverrc ; then awk '/X/ && !/#/ print $0 " :0 -nolisten tcp $" next ; print ' xser

41、verrc > xserverrc.new /bin/mv xserverrc.new xserverrc else cat <<END >xserverrc #!/bin/bashexec X :0 -nolisten tcp $ENDfi/bin/chown root:root xserverrc/bin/chmod 755 xserverrcfi限制只有授權用戶能夠訪咨詢 at/cron 講明：cron.allow 和 at.allow 能夠指定承諾運行 crontab和 at 命令的用戶列表 一樣直應該承諾治理員有權益運行打算任務。操作：cd /etc/bin/

42、rm -f cron.deny at.denyecho root >cron.allowecho root >at.allow/bin/chown root:root cron.allow at.allow/bin/chmod 400 cron.allow at.allow限制 crontab 文件的權限 講明：系統(tǒng)的 crontab 文件應該只能被 cron daemon（以超級用戶權限運行） 和 crontab 命令（ SUID ）。操作：/bin/chown root:root /etc/crontab/bin/chmod 400 /etc/crontab/bin/chown

43、 -R root:root /var/spool/cron/bin/chmod -R go-rwx /var/spool/cron/bin/chown -R root:root /etc/cron.*/bin/chmod -R go-rwx /etc/cron.*創(chuàng)建警示 BANNER講明：創(chuàng)建警示 BANNER 能夠?qū)阂夤粽呋驀L試者起到警示作用 操作：創(chuàng)建操縱臺和 X 模式 BANNER if "egrep -l Authorized /etc/motd" = "" ; then echo "Authorized uses only. A

44、ll activity may be monitored and reported." >>/etc/motd fiif "egrep -l Authorized /etc/issue" = "" ; then echo "Authorized uses only. All activity may be monitored and reported." >>/etc/issue fiif "egrep -l Authorized /etc/" = "" ; t

45、hen echo "Authorized uses only. All activity may be monitored and reported." >>/etc/ fi/bin/chown root:root /etc/motd /etc/issue /etc/ /bin/chmod 644 /etc/motd /etc/issue /etc/ if -e /etc/X11/xdm/kdmrc ; then cd /etc/X11/xdm awk '/GreetString=/ print "GreetString=Authorized

46、uses only!" next ; print ' kdmrc >kdmrc.new/bin/mv kdmrc.new kdmrc /bin/chown root:root kdmrc /bin/chmod 644 kdmrc fiif -e /etc/X11/gdm/gdm.conf ; then cd /etc/X11/gdmawk '/Greeter=/ && /gdmgreeter/ printf("#%sn", $0); next ;/#Greeter=/ && /gdmlogin/ $1 = &q

47、uot;Greeter=/usr/bin/gdmlogin" ;/Welcome=/ print "Welcome=Authorized uses only!" next ; print ' gdm.conf >gdm.conf.new/bin/mv gdm.conf.new gdm.conf/bin/chown root:root gdm.conf/bin/chmod 644 gdm.conffi習慣 TCP Wrappers創(chuàng)建“ authorized only ”的網(wǎng)絡服務 BANNER mkdir /etc/banners ; cd /etc

48、/bannersif -e /usr/doc/tcp_wrappers-7.6/Banners.Makefile ; then file=/usr/doc/tcp_wrappers-7.6/Banners.Makefile elsefile=/usr/share/doc/tcp_wrappers-7.6/Banners.Makefileficp $file Makefileecho "Authorized uses only. All activity may bemonitored and reported." > prototypemakecd /etc/xine

49、td.dif -f $file ; thenawk '( $1 = "" ) print ' $file >$file.new/bin/mv $file.new $filefi donefor file in wu-ftpd gssftp ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.ftpd" ; print ' $file >$file.new/bin/mv $file.new $filefi

50、donefor file in rsh kshell ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /etc/banners/in.rshd" ; print ' $file >$file.new/bin/mv $file.new $filefidonefor file in rlogin klogin eklogin ; doif -f $file ; thenawk '( $1 = "" ) print "banner = /e

51、tc/banners/in.rlogind" ; print ' $file >$file.new/bin/mv $file.new $filefi ; donekshell rlogin klogin ekloginrlogin klogin eklogin創(chuàng)建 vsftpd 的“ authorized only”BANNER cd /etcif -d vsftpd ; thencd vsftpdfi if -e vsftpd.conf ; thenecho "ftpd_banner=Authorized uses only. All activity ma

52、y be monitored and reported." >> vsftpd.conf fi配置 xinetd 訪咨詢操縱講明：配制 xinetd 使用簡單的訪咨詢操縱和日志。操作：在/etc/xinetd.conf 插入“ defaults”段 only_from=<net>/<num_bits> <net>/<num_bits><net>/<num_bits>使用承諾使用的網(wǎng)絡和掩碼。 示例：only_from=/24 將會限制只有 /24的網(wǎng)絡能夠訪

53、咨 詢。限制 root 只能在操縱臺登錄講明：root 應該限制在只承諾操縱臺登陸， 一樣情形下應該使用一樣權限用戶 進行操作，僅在必要時 su成為 root 進行操作。操作：/bin/cp /dev/null /etc/securettyfor i in 1 2 3 4 5 6; doecho tty$i >>/etc/securettyecho vc/$i >>/etc/securettydoneecho console >>/etc/securetty/bin/chown root:root /etc/securetty/bin/chmod 400 /

54、etc/securetty設置 LILO/GRUB 密碼講明： 默認情形下，任何本地用戶都能夠在操縱臺重新啟動機器，并專門容 易就能夠操縱正常的啟動進程。 LILO 和 GRUB 密碼能夠在系統(tǒng)啟動時要求 密碼。注意以下操作只應當設置與十分注重本地安全的情形下。操作：LILO增加下列行到 /etc/lilo.conf restricted password=<password> <password>更換為自己指定的密碼。以 root 身份執(zhí)行以下命令/bin/chown root:root /etc/lilo.conf/bin/chmod 600 /etc/lilo.c

55、onfliloGRUB增加下列行到 /etc/grub.conf password <password> 以 root 身份執(zhí)行以下命令 /bin/chown root:root /etc/grub.conf /bin/chmod 600 /etc/grub.conf設置單用戶默認認證講明：Linux 默認能夠在啟動時鍵入“ linux single”進入到單用戶模式。 單用戶模式能夠不使用密碼就能夠進行一些治理員操作，一樣用來復 原不記得 root 密碼等。不加密碼的單用戶模式可能導致能夠本地接觸到服 務器的用戶直截了當操縱系統(tǒng)。操作：cd /etcif "grep -

56、l sulogin inittab" = "" ; thenawk ' print ;/id:0123456sS:initdefault:/ print ":S:wait:/sbin/sulogin" 'inittab >inittab.new/bin/mv inittab.new inittab/bin/chown root:root inittab/bin/chmod 644 inittabfi限制 NFS 客戶端特權端口講明：設置 secure參數(shù)能夠使本地系統(tǒng)的 NFS 服務器進程拒絕沒有使用特權 端口(小于 10

57、24)的 NFS 客戶端訪咨詢。那個設置可不能阻礙 NFS 操作 員的操作，然而會拒絕非授權用戶的自動的 NFS 攻擊。操作：增加/etc/exports文件中的 secure選項，能夠使用以下 perl 腳本perl -i.orig -pe'next if (/s*#/ | /s*$/);($res, hst) = split(" ");foreach $ent (hst) undef(%set);($optlist) = $ent = /(.*?)/;foreach $opt (split(/,/, $optlist) $set$opt = 1;delete($

58、set"insecure");$set"secure" = 1;$ent = s/(.*?)/;$ent .= "(" . join(",", keys(%set) . ")"$hst0 = "(secure)" unless (hst);$_ = "$rest" . join(" ", hst) . "n"'/etc/exports 用戶帳戶和環(huán)境 系統(tǒng)無用帳戶 講明： 系統(tǒng)中的非使用人員帳號應當被鎖定，同時設置他們的 shell 為非 /etc/s hells 里面的(即沒有默認能夠登陸的 shell，如 /dev/null )。操作： 以下腳本鎖定全部非 root 用戶 for name in cut -d