linux系统安全加固手册 09.docVIP

Linux系统安全加固手册 1.安装最新安全补丁: 项目: 注释: 1 安装操作系统提供商发布的最新的安全补丁 各常见的Linux发布安全信息的web地址: RedHat Linux: HYPERLINK /support/ /support/ Caldera OpenLinux: HYPERLINK /support/security/ /support/security/ Conectiva Linux: HYPERLINK .br/atualizacoes/ .br/atualizacoes/ Debian GNU/Linux: HYPERLINK /security/ /security/ Mandrake Linux: HYPERLINK /en/fupdates.php3 /en/fupdates.php3 LinuxPPC: HYPERLINK /support/updates/security/ /support/updates/security/ S.u.S.E. : HYPERLINK http://www.suse.de/security/index.html http://www.suse.de/security/index.html Yellow Dog Linux : HYPERLINK /resources/errata.shtml /resources/errata.shtml 2.网络和系统服务: inetd/xinetd网络服务: 设置项 注释: 1 确保只有确实需要的服务在运行: 先把所有通过ineted/xineted运行的网络服务关闭,再打开确实需要的服务 绝大多数通过inetd/xinetd运行的网络服务都可以被禁止,比如echo, exec, login, shell,who,finger等.对于telnet, r系列服务, ftp等, 强烈建议使用SSH来代替. 2 设置xinetd访问控制 在/etc/xinetd.conf文件的”default {}”块中加入如下行: only_from=net/num_bit net/num_bit … 每个net/num_bit(比如/24)对表示允许的源地址 启动服务: 设置项 注释: 1 关闭NFS服务器进程: 运行 chkconfig nfs off NFS通常存在漏洞会导致未授权的文件和系统访问. 2 关闭NFS客户端进程: 运行 chkconfig nfslock off chkconfig autofs off 3 关闭NIS客户端进程: chkconfig ypbind off NIS系统在设计时就存在安全隐患 4 关闭NIS服务器进程: 运行 chkconfig ypserv off chkconfig yppasswd off 5 关闭其它基于RPC的服务: 运行 chkconfig portmap off 基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁止基于RPC的服务. 6 关闭SMB服务 运行 chkconfig smb off 除非确实需要和Windows系统共享文件,否则应该禁止该服务. 7 禁止Netfs脚本 chkconfig netfs off 如果不需要文件共享可禁止该脚本 8 关闭打印机守护进程 chkconfig lpd off 如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录. 9 关闭启动时运行的 X Server sed s/id:5:initdefault:/id:3:initdefault:/ \ /etc/inittab /etc/inittab.new mv /etc/inittab.new /etc/inittab chown root:root /etc/inittab chmod 0600 /etc/inittab 对于专门的服务器没有理由要运行X Server, 比如专门的Web服务器 10 关闭Mail Server chkconfig postfix off 多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务 11 关闭Web Server chkconfig httpd off 可能的话,禁止该服务. 12 关闭SNMP chkconfig snmpd off 如果必需运行SNMP的话,应该更改缺省的community string 13 关闭DNS Server chkconfig named off 可能的话,禁止该服务 14 关闭 Database Server chkconfig pos