LINUX操作系统加固V0.4讲稿.docVIP

LINUX操作系统加固手册 2015年4月 目　录 1 账号管理、认证授权 3 1.1 账号 3 1.1.1 SHG-LINUX-01-01-01 3 1.1.2 SHG-LINUX-01-01-02 4 1.1.3 SHG-LINUX-01-01-03 5 1.1.4 SHG-LINUX-01-01-04 6 1.2 口令 6 1.2.1 SHG-LINUX-01-02-01 6 1.2.2 SHG-LINUX-01-02-02 7 1.2.3 SHG-LINUX-01-02-03 8 1.3 文件与授权 9 1.3.1 SHG-LINUX-01-03-01 9 1.3.2 SHG-LINUX-01-03-02 11 2 日志配置 13 2.1.1 SHG-LINUX-02-01-01 13 2.1.2 SHG-LINUX-02-01-02 14 3 通信协议 16 3.1 IP协议安全 16 3.1.1 SHG-LINUX-03-01-01 16 4 设备其他安全要求 17 4.1 服务进程和启动 17 4.1.1 SHG-LINUX-04-01-01 17 4.1.2 SHG-LINUX-04-01-02 20 4.1.3 SHG-LINUX-04-01-03 22 4.2 BANNER 23 4.2.1 SHG-LINUX-04-03-01 23 4.3 屏幕保护 24 4.3.1 SHG-LINUX-04-03-01 24 账号管理、认证授权 账号 SHG-LINUX-01-01-01 编号 SHG--01-01-01 名称 为不同的管理员分配不同的账号 实施目的 根据不同类型用途设置不同的帐户账号，提高系统安全。 问题影响 账号混淆，权限不明确，存在用户越权使用的可能。 系统当前状态 cat /etc/passwd 记录当前用户列表 实施步骤 1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中75为设置的权限，可根据实际情况设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。 回退方案 删除新增加的帐户 判断依据 标记用户用途，定期建立用户列表，比较是否有非法用户 实施风险 高 重要等级 ★★★ 备注 SHG-LINUX-01-01-02 编号 SHG-LINUX-01-01-02 名称 删除或锁定无效账号 实施目的 删除或锁定无效的账号，减少系统安全隐患。 问题影响 允许非法利用系统默认账号 系统当前状态 实施步骤 1 # userdel lp # groupdel lp 如果下面这些系统默认帐号不需要的话，建议删除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系统帐号的shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令来更改username的shell为/dev/null。 回退方案 SHELL 判断依据 如上述用户不需要，则锁定。 实施风险 高 重要等级 ★★★ 备注 SHG-LINUX-01-01-0 编号 SHG-LINUX-01-01-0 名称 为空口令用户设置密码 实施目的 禁止空口令用户，存在空口令是很危险的，用户不用口令认证就能进入系统。 问题影响 用户被非法利用 系统当前状态 cat /etc/passwd awk -F: ($2 == ){print $1} /etc/passwd 实施步骤 awk -F: ($2 == ){print $1} /etc/passwd root用户登陆Linux系统，执行passwd命令，给用户增加口令。 例如：passwd test test。 回退方案 oot身份设置用户口令，取消口令 如做了口令策略则失败 判断依据 登陆系统判断at /etc/passwd 实施风险 高 重要等级 ★ 备注 SHG-LINUX-01-01-0 编号 SHG-LINUX-01-01-0 名称 root之外UID为0的用户