CISP-UNIX操作系统安全概述.ppt

* * * * * * * * * /u2/68904/showart_1802555.html * * * * * * * * * * * * * * Linux其它安全配置 禁止ping响应 在/etc/rc.d/rc.local文件中增加如下一行 ： echo 1＞ /proc/sys/net/ipv4/icmp_echo_ignor_all 清除历史命令 设置系统不记录每个人执行过的命令，就在/etc/profile里设置： HISTFILESIZE=0 HISTSIZE=0  * Linux其它安全配置 禁止不使用的SUID/SGID程序 查找root-owned程序中使用s位的程序： # find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} \; 用下面命令禁止选中的带有s位的程序： # chmod a-s [program] * Linux其它安全配置 设置sendmail的基本安全 禁止relay 禁止vrfy、expn 命令 限制邮件大小 修改sendmail的欢迎提示 升级版本 设置DNS的基本安全 配置TCP_WRAPPERS 访问列表 * * 五、如何加强UNIX系统安全性 安全设置 启动项安全设置 设置帐号安全 系统服务安全设置 网络安全设置 其它安全配置 应用服务安全要点 系统升级 应用服务安全要点 DNS FTP TELNET MAIL Web Tcp_wrapper * Bind服务器安全配置 基本安全配置 Bind服务器的访问控制 * Bind服务器安全配置 基本安全配置 隐藏版本信息 在options节中增加自定义的BIND版本信息，可隐藏BIND服务器的真正版本号。 例如： version?Who?knows?;? //?version?9.9.9;?  此时如果通过DNS服务查询BIND版本号时，返回的信息就是Who?knows?。? * Bind服务器安全配置 基本安全配置 named进程启动选项 -r：关闭域名服务器的递归查询功能（缺省为打开）。该选项可在配置文件的options中使用recursion选项覆盖。 -u 和-g ：定义域名服务器运行时所使用的UID和GID,这用于丢弃启动时所需要的root特权。 * Bind服务器安全配置 Bind服务器的访问控制: 限制查询 限制区域传输 关闭递归查询 * Bind服务器安全配置 /etc/named.conf options { directory “/var/named”; allow-query /24; //限制查询 allow-transfer { ; /24; //限制区域传输 recursion no; //关闭递归查询 }; }; * Ftp安全要点 用ftpusers限制ftp用户 ftpusers文件包含了所有在password文件中存在,但不允许登陆系统ftp的用户名称。 建议关闭匿名FTP模式 FTP服务暴露系统敏感信息 编辑/etc/default/ftpd文件，在文件中的加进以下一项 BANNER=XXXX(XXXX可以任意改变为任何一个版本信息)将该系统版本信息屏蔽. 用SCP代替ftp * TELNET 改变TELNET登录的提示 编辑/etc/motd文件 避免显示系统和版本信息 编辑/etc/inetd.conf文件： telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h 加-h表示telnet不显示系统信息。 推荐使用ssh代替不安全的telnet * Sendmail安全配置 关掉expn和vrfy命令 修改文件/etc/sendmail.cf，将 O?PrivacyOptions=authwarnings改为 O?PrivacyOptions=authwarnings,novrfy,noexpn? /etc/aliases的权限设为644 #Chmod 644 /etc/aliases 从/etc/aliases里删除decode别名 * Sendmail安全配置 限制可以审核邮件队列内容的人 通常情