Linux系统安全加固手册解剖.doc

密 级：商业秘密 LINUX评估加固手册 安氏领信科技发展有限公司 二〇〇七年五月  1、系统补丁的安装 3 2、帐户、口令策略的加固 3 2．1、删除或禁用系统无用的用户 3 2．2、口令策略的设置 4 2．3、系统是否允许root远程登录 4 2．4、root的环境变量设置 5 3、网络与服务加固 5 3．1、rc?.d中的服务的设置 5 3．2、/etc/inetd.conf中服务的设置 6 3．3、NFS的配置 8 3．4、SNMP的配置 8 3．5、Sendmail的配置 9 3．6、DNS（Bind）的配置 9 3．7、网络连接访问控制的设置 9 4、信任主机的设置 10 5、日志审核的设置 11 6、物理安全加固 11 7、系统内核参数的配置 12 8、选装安全工具 13 1、系统补丁的安装 RedHat使用RPM包实现系统安装的管理，系统没有单独补丁包（Patch）。如果出现新的漏洞，则发布一个新的RPM包，版本号（Version）不变，Release做相应的调整。因此检查RH Linux的补丁安装情况只能列出所有安装的软件，和RH网站上发布的升级软件对照，检查其中的变化。 通过访问官方站点下载最新系统补丁，RedHat公司补丁地址如下： /corp/support/errata/ rpm -qa 查看系统当前安装的rpm包 rpm -ivh package1 安装RPM包 rpm -Uvh package1 升级RPM包 rpm -Fvh package1 升级RPM包（如果原先没有安装，则不安装） 2、帐户、口令策略的加固 2．1、删除或禁用系统无用的用户 询问系统管理员，确认其需要使用的帐户 如果下面的用户及其所在的组经过确认不需要，可以删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwd groupdel 来锁定用户、删除组。 passwd -l user1锁定user1用户 passwd -u user1 解锁user1用户 groupdel lp 删除lp组。 2．2、口令策略的设置 RedHat Linux总体口令策略的设定分两处进行，第一部分是在/etc/login.defs文件中定义，其中有四项相关内容： PASS_MAX_DAYS 密码最长时效（天） PASS_MIN_DAYS 密码最短时效（天） PASS_MIN_LEN 最短密码长度 PASS_WARN_AGE 密码过期前PASS_WARN_AGE天警告用户 编辑/etc/login.defs文件，设定： PASS_MAX_DAYS=90 PASS_MIN_DAYS=0 PASS_MIN_LEN=8 PASS_WARN_AGE=30 另外可以在/etc/pam.d/system-auth文件中的cracklib项中定义口令强度： difok minlen dcredit ucredit lcredit ocredit 使用vi编辑/etc/pam.d/system-auth文件，设置cracklib的属性 #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_access.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= difok=4 minlen=12 dcredit=1 ucredit=2 lcredit=2