中国移动安全安全加固培训资料.pptVIP

* * * * * 执行：echo $PATH | egrep (^|:)(\.|:|$)，检查是否包含父目录， 执行：find `echo $PATH | tr : ` -type d \( -perm -002 -o -perm -020 \) -ls，检查 是否包含组目录权限为 777 的目录 * umask命令允许你设定文件创建时的缺省模式，对应每一类用户(文件属主、同组用户、其他用户)存在一个相应的umask值中的数字。对于文件来说，这一数字的最大值分别是6。系统不允许你在创建一个文本文件时就赋予它执行权限，必须在创建后用chmod命令增加这一权限。目录则允许设置执行权限，这样针对目录来说，umask中各个数字最大可以到7。 该命令的一般形式为：umask nnn 其中nnn为umask置000 – 777 如：umask值为022，则默认目录权限为755，默认文件权限为644 * * * 执行以下命令检查目录和文件的权限设置情况： ls –l /etc/ ls –l /etc/rc.d/init.d/ ls –l /tmp ls –l /etc/inetd.conf ls –l /etc/passwd ls –l /etc/shadow ls –l /etc/group ls –l /etc/security ls –l /etc/services ls -l /etc/rc*.d 用下面的命令查找系统中所有的 SUID和 SGID 程序，执行： for PART in `grep -v ^# /etc/fstab | awk ($6 != 0) {print $2 }`; do find $PART \( -perm -04000 -o -perm -02000 \) -type f -xdev -print Done * * * * * * * UNIX/Linux通用安全加固方案 帐号 文件权限 服务 日志审计 系统状态 系统服务 守护进程与服务的区别 守护进程 进程的一种特殊状态 不绑定至任何Terminal 父进程是init 服务 相对守护进程，“服务”的概念更为抽象 为用户提供一种功能的应用 可能包含一个或多个守护进程 例 服务名：SSH Server 进程名：sshd 系统服务 inetd 一些轻量级的服务，由inetd集中处理 已不能满足现状 # inetd.conf echo stream tcp6 nowait root internal echo dgram udp6 wait root internal daytime stream tcp6 nowait root internal daytime dgram udp6 wait root internal ………… ………… 系统服务 加固要点 服务 → 进程 → 端口 ipfw TCPWrapper libwrap ; configure --with-libwrap=libwrap_path hosts.allow ; hosts.deny 停止不必要的inetd服务 停止不必要的服务 /etc/rc3.d/S88xxx stop mv /etc/rc3.d/S88xxx /etc/rc3.d/K88xxx Snmp配置 Snmp安全配置 如果打开了SNMP协议，snmp团体字设置不能使用默认的团体字。 查看配置文件/etc/snmp/snmpd.conf，应禁止使用public、private默认团体字，使用用户自定义的团体字。例如将以下设置中的public替换为用户自定义的团体字： com2sec notConfigUser default public 如无必要，管理员应禁止使用snmp服务 Openssh配置 检查系统openssh安全配置，禁止使用协议1和使用root直接登录 编辑sshd_config文件，设置： Protocol 2 StrictModes yes PermitRootLogin no PrintLastLog yes PermitEmptyPasswords no UNIX/Linux通用安全加固方案 帐号 文件权限 服务 日志审计 系统状态 启用syslog记录所有日志 配置文件：/etc/syslog.conf #vi /etc/syslog.conf authpriv.* /var/log/sec