Unix Checklist(中文).docVIP

Unix计算机安全Checklist 目 录 1 物理安全 1 1.1 控制台安全 1 1.2 数据安全 1 1.3 用户安全措施 1 2 网络安全 2 2.1 过滤 2 2.2 阻止spoofing 2 2.3 FTP安全 2 2.4 Modem安全 2 2.5 SATAN 能够发现这些问题 3 3 账号安全 3 3.1 密码安全 3 3.2 root账号 3 3.3 Guest账号 4 3.4 用户帐号 4 4 文件系统安全 4 4.1 NFS安全 4 4.2 设备安全 5 4.3 脚本安全 5 4.4 安全测试 5 4.5 安全书籍 6 4.6 安全站点 6 4.7 厂商链接 7 Unix计算机安全Checklist 该文档为系统管理员提供如何更好地提供系统安全，该文档不保证覆盖全部系统安全，对于任何人误用这些信息，本文档以及作者不承担任何责任。本文档以HP-UX为例讲解 如需了解更多内容，请参考/security.html。 物理安全 控制台安全 房间上锁 (限制钥匙数量) 没有其它途径可以进入房间 (包括地板和天花板) 数据安全 Backup存储在安全的地方制定合理的数据恢复计划 UPS确保电源稳定供应 保护网络线缆以防暴露 敏感信息文件柜上锁 销毁敏感的打印输出介质/磁带 用户安全措施 当离开桌面时锁屏 不要在桌面上记录密码暗示 小心使用xauth/xhost使得其他人不能读取屏幕 站点不提供欢迎标语（只有授权访问允许看到欢迎标语） 网络安全 过滤 关闭不使用的服务（inetd.conf） 产生访问控制列表/var/adm/inetd.sec表示那些主机可以建立连接 在路由器上过滤所有不必要的服务，只有必要的服务能够通过 需要TCP wrapper用于日志审计 如果网络连接Internet，使用防火墙 阻止spoofing 路由模式 关闭source routing 阻止外部网络使用内部地址发起队内网的连接和访问 NFS, hosts.equiv ....这些系统文件中描述有资格访问的主机名 如果可能，不使用hosts.equiv或.rhosts（cron） .rhost和.netrc文件的permission设置为600 FTP安全 确保/etc/ftpusers w/所有系统账号(uucp, bin. root ..) 设定最小permission和最小account 使用FTP日志，并查看日志 如果可能设定目录不可写入 Modem安全 所有的modems都应该有额外的密码 确保/etc/d_passwd的口令不能使用CRACK工具猜测出来 每个用户一个口令，确保口令不能使用CRACK工具猜测出来 所有的拨号modem都应记录断开连接 ( /etc/gettydefs的hupcl) SATAN 能够发现这些问题 账号安全 密码安全 所有账号都必须拥有口令 只有root UID是0 密码不可猜测（基于规则的crack） 不记录密码 办公桌上不存在密码描述 密码过期 一次性使用的密码 如果不使用NIS或NIS+，HP能够使用信任的系统软件包（SAM） 不存在.netrc文件 当存在不符合要求的登录请求时，关闭该帐号 root账号 root仅仅可以在控制台登录（/etc/securetty） 检查root . 文件，不能在path中应用. 限制用户数量 使用高强度口令 经常等出root shell；不要在不注意的情况下留下root shell 每隔3个月修改一次root口令只要某些人离开公司 使用普通用户登录使用su umasks如果可能设置为077 不在控制台操作时应使用全部路经。 不允许非root写入访问任何root路径的目录 在公共可写入目录中不存在tmp文件 Guest账号 必要情况下，限制时间 使用非标准名字-而不是guest 使用高强度口令 使用受限制shell umasks 如果可能设置为077 用户帐号 在中止该用户帐号后删除该帐号 账号不能共享 关闭不必要的账号，bin、sys、uucp umasks如果可能设置为077 如果可能使用受限制shell 文件系统安全 NFS安全 只有需要才运行NFS，应用最新的patch 小心使用/etc/exports(SUN ：/etc/dfs/dfstab) 如果可能设置为只读 如果可能不设置suid hostname使用全名 设备安全 s /dev/null, /dev/tty /dev/console设备文件可以由world写入，但不能执行 其他设备文件不可被常规用户读取和写入。 脚本安全 不要对setuid/setgid脚本执行写入操作；而是使用C语言做代替 脚本中的路径应该是绝对路径 最小化写入文件系统（es