LINUX安全实施手册.docVIP

LINUX安全实施手册 2014年8月6日 目 录 1概述 3 2 安装 3 3 用户帐号安全Password and account security 4 3.1 密码安全策略 4 3.2 检查密码是否安全 4 3.3 Password Shadowing 4 3.4 管理密码 4 3.5 其它 5 4 网络服务安全(Network Service Security) 5 4.1服务过滤Filtering 6 4.2 /etc/inetd.conf 6 4.3 R 服务 7 4.4 Tcp_wrapper 7 4.5 /etc/hosts.equiv 文件 8 4.6 /etc/services 8 4.7 /etc/aliases 8 4.8 NFS 9 4.9 Trivial ftp (tftp) 9 4.10 Sendmail 9 4.11 finger 10 4.12 UUCP 10 4.13 World Wide Web (WWW) – httpd 10 4.14 FTP安全问题 11 5 系统设置安全(System Setting Security) 12 5.1限制控制台的使用 12 5.2系统关闭Ping 12 5.3关闭或更改系统信息 12 5.4 /etc/securetty文件 13 5.5 /etc/host.conf文件 13 5.6禁止IP源路径路由 13 5.7资源限制 13 5.8 LILO安全 14 5.9 Control-Alt-Delete 键盘关机命令 14 5.10日志系统安全 15 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 15 6 文件系统安全(File System Security) 15 6.1文件权限 15 6.2控制mount上的文件系统 16 6.3备份与恢复 16 7 其它 16 7.1使用防火墙 16 7.2使用第三方安全工具 16 1概述 ?近几年来Internet变得更加不安全了。网络的通信量日益加大，越来越多的重要交易正在通过网络完成，与此同时数据被损坏、截取和修改的风险也在增加。? Internet的今天比过去任何时候都更真实地体现出这一点，基于Linux的系统也不能摆脱这个“普遍规律”而独善其身。因此，优秀的系统应当拥有完善的安全措施，应当足够坚固、能够抵抗来自Internet的侵袭，这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是，如果你不适当地运用Linux的安全工具，它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题，本文将为你解释必须掌握的Linux安全知识。? 2 安装 使系统处于单独（或隔离）的网络中。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击 安装完成后将下面软件卸载 pump apmd lsapnptools redhat-logos mt-st kernel-pcmcia-cs Setserial redhat-relese eject linuxconf kudzu gd bc getty_ps raidtools pciutils mailcap setconsole gnupg 用下面的命令卸载这些软件： [root@deep]#rpm –e softwarename 卸载它们之前最好停掉三个进程： [root@deep]# /etc/rc.d/init.d/apmd stop [root@deep]# /etc/rc.d/init.d/sendmail stop [root@deep]# /etc/rc.d/init.d/kudzu stop 3．用户帐号安全Password and account security 3.1 密码安全策略 口令至少为6位，并且包括特殊字符 口令不要太简单，不要以你或者有关人的相关信息构成的密码，比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等。 口令必须有有效期 发现有人长时间猜测口令，需要更换口令 3.2 检查密码是否安全 可以使用以下几种工具检查自己的密码是否安全: JOHN,crack等暴力猜测密码工具 Emailcrk、 3.3 Password Shadowing 使用shadow来隐藏密文（现在已经是默认配置） 定期检查shadow文件，如口令长度是否为空。 #awk -F: length($2)==0 {print $1} /etc/shadow 设置文件属性和属主 3.4 管理密码 设置口令有效最长时限 （编辑/etc/login.defs文件） 口令最短字符　（如linux默认为５，可以通过编辑/etc/logi