linux主机安全加固方案.docVIP

目 录 LINUX加固方案 1 1.安装最新安全补丁 4 2.网络和系统服务 4 3.核心调整 6 4.日志系统 7 5.文件/目录访问许可权限 7 6.系统访问, 认证和授权 8 7.用户账号和环境 10 8.关键安全工具的安装 11  1.安装最新安全补丁 项目: 注释: 1 安装操作系统提供商发布的最新的安全补丁 各常见的Linux发布安全信息的web地址: RedHat Linux: /support/ Caldera OpenLinux: /support/security/ Conectiva Linux: .br/atualizacoes/ Debian GNU/Linux: /security/ Mandrake Linux: /en/fupdates.php3 LinuxPPC: /support/updates/security/ S.u.S.E. : http://www.suse.de/security/index.html Yellow Dog Linux : /resources/errata.shtml 2.网络和系统服务 inetd/xinetd网络服务: 设置项 注释: 1 确保只有确实需要的服务在运行: 先把所有通过ineted/xineted运行的网络服务关闭,再打开确实需要的服务 绝大多数通过inetd/xinetd运行的网络服务都可以被禁止,比如echo, exec, login, shell,who,finger等.对于telnet, r系列服务, ftp等, 强烈建议使用SSH来代替. 2 设置xinetd访问控制 在/etc/xinetd.conf文件的”default {}”块中加入如下行: only_from=net/num_bit net/num_bit … 每个net/num_bit(比如/24)对表示允许的源地址 启动服务: 设置项 注释: 1 关闭NFS服务器进程: 运行 chkconfig nfs off NFS通常存在漏洞会导致未授权的文件和系统访问. 2 关闭NFS客户端进程: 运行 chkconfig nfslock off chkconfig autofs off 3 关闭NIS客户端进程: chkconfig ypbind off NIS系统在设计时就存在安全隐患 4 关闭NIS服务器进程: 运行 chkconfig ypserv off chkconfig yppasswd off 5 关闭其它基于RPC的服务: 运行 chkconfig portmap off 基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁止基于RPC的服务. 6 关闭SMB服务 运行 chkconfig smb off 除非确实需要和Windows系统共享文件,否则应该禁止该服务. 7 禁止Netfs脚本 chkconfig netfs off 如果不需要文件共享可禁止该脚本 8 关闭打印机守护进程 chkconfig lpd off 如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录. 9 关闭启动时运行的 X Server sed s/id:5:initdefault:/id:3:initdefault:/ \ /etc/inittab /etc/inittab.new mv /etc/inittab.new /etc/inittab chown root:root /etc/inittab chmod 0600 /etc/inittab 对于专门的服务器没有理由要运行X Server, 比如专门的Web服务器 10 关闭Mail Server chkconfig postfix off 多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务 11 关闭Web Server chkconfig httpd off 可能的话,禁止该服务. 12 关闭SNMP chkconfig snmpd off 如果必需运行SNMP的话,应该更改缺省的community string 13 关闭DNS Server chkconfig named off 可能的话,禁止该服务 14 关闭 Database Server chkconfig postgresql off Linux下常见的数据库服务器有Mysql, Postgre, Oracle等, 没有必要的话,应该禁止这些服务 15 关闭路由守护进程 chkconfig routed off chkconfig gated o