主机系统加固检查方法.docVIP

主机系统加固检查方法 一、unix主机系统加固内容 1.1防止TCP序列号预测攻击(ip欺骗)将/etc/default/inetinit文件中的TCP_STRONG_ISS值由默认的1改变为2，防止TCP序列号预测攻击(ip欺骗)： TCP_STRONG_ISS=2 防止某些缓冲溢出攻击 /etc/system中增加如下设置来防止某些缓冲溢出攻击： set noexec_user_stack=1 set noexec_user_stack_log=1 3使用默认路由在/etc/defaultrouter文件中增加缺省网关的IP地址，使动态路由无效： touch /etc/notrouter 设定用户自动logoff的值/etc/default/login中设定用户自动logoff的值——TIMEOUT值，如： TIMEOUT=300 5在/etc/default/login中确保root只能本地登录，并要求口令认证 console=/dev/console PASSREQ=YES 对尝试登录失败记录 touch /var/adm/loginlog chmod 600 /var/adm/loginlog chgrp sys /var/adm/loginlog /etc/default/login文件设置： SYSLOG_FAILED_LOGINS=0 7在/etc/default/login中设定严格的系统UMASK UMASK=022 修改/etc/inetd.conf文件中的内容，关闭不必要的系统服务（视具体情况决定）包括telnet和ftprpc.rwalld、rpc.rusersd、rpc.rquotad、rpc.ttdbserverd、rpc.sadmin、rpc.rstatd、rpc.rsprayd、rpc.cmsd、gssd、kcms_server、finger、echo、lpd、time、daytime、chargen、discard、comsat、uucp、rsh、rlogin、rexec”#”注释掉该行即可。 1.9审查/etc/rc?.d中相关的启动服务脚本，关闭不必要的服务（视具体情况决定），如果不运行X Windows，也可以同时将rpcbind服务关闭(S71rpc) # cd /etc/rc2.d mv –i S70uucp s70uucp_old //将要关闭的服务启动文件名改为由小写s开头即可。 1.10检查系统中所有的.rhosts，.netrc，hosts.equiv等文件，确保没有存在潜在的信任主机和用户关系，使这些文件内容为空cp /dev/null /.rhosts chown root:root /.rhosts chmod 000 /.rhosts （/.shosts /.netrc /etc/hosts.equiv的处理方法同/.rhosts。） 在/etc/pam.conf配置文件中注销rhosts_auth开头的行，从而禁用rlogin和rsh。 为管理员设定口令策略： Sun Solaris的限制，口令的长度最大只能是8位，应当确保口令是字母、数字和特殊符号的组合，长度为8位。 /etc/default/passwd文件： MAXWEEKS=13 MINWEEKS= PASSLENGTH=8 12设定系统日志和审计行为 /etc/syslog.conf中对系统用户的登陆行为进行日志纪录 对系统守护进程的情况进行日志纪录 设定日志纪录行为等级并且设定访问权限 有条件的话中指定另一台机器作为loghost 在/etc/syslog.conf中添加： /var/adm/kern.log /var/adm/user.log /var/adm/mail.log /var/adm/daemon.log /var/adm/auth.log /var/adm/syslog.log 创建日志文件的命令如下： # cd /var/adm #touch kern.log #chmod 600 kern.log #chown root:sys kern.log 1.13设置系统登录提示和警告 #echo ‘BANNER=”ONLY Authorized users only! \n “’ /etc/default/telnetd #echo ‘umask 002\nBANNER=”ONLY Authorized users only! \n”’ /etc/default/ftpd #echo ‘ATTENTION: You have logge