- 1、本文档共27页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
LINUX 常用的安全加固措施
Zhiwei Zhong — Technical Consultant zhiwei.zhong@
1 ?2009 HP Confidential
议题
– 1、Linux安全加固概述
– 2、Linux常用的安全加固措施(以SuSE Linux为例)
– 3、Linux安全加固的后续检查
2 ?2009 HP Confidential
1、Linux安全加固概述
– 对Linux系统进行安全加固目的在于使系统在操作系统级别具备较强抵
御非法入侵的能力,以确保系统的稳定运行。
– 必须明确:
安全加固是有一定风险的操作,可能的风险包括应用程序不能正常使用、
停机、甚至是系统被破坏无法使用。 这些风险一般是由于对业务系统运行状况调查不清、加固方案不准确导
致,也有因为实施过程中的误操作引起。
– 因此要求:
现场实施工程师必须清楚研究本主机业务系统要求,对安全加固措施进
行认真评估取舍;在加固前实施备份,在加固后全面测试,才能确保既
提高操作系统安全性,又使业务系统可靠运行。
3 ?2009 HP Confidential
2、SuSE Linux常用的安全加固措施
– 2.1物理安全和BIOS安全设置
– 记录进出机房的人员名单,安全级别要求较高的主机所在机房,考虑安
装录像监视系统、身份识别门禁系统等。 主机及控制台应避免让非维护人员接触,如给机柜上锁。
– 系统安装完毕后在BIOS中设置不从软盘、CD-ROM启动,防止未经授
权的从这些设备引导,避开Linux口令认证直接访问文件系统;要求严
格的可以考虑移除软驱、CD-ROM。
– 在BIOS中设置管理员口令、开机口令,并设置启动时需要进行口令认
证。以防止未经授权进入、更改BIOS配置。
– 主机的关闭应由维护人员登陆系统,执行正式关机操作方可。因此,应
屏蔽使用CTRL+ALT+DEL键的关机功能,具体方法为:
编辑/etc/inittab文件,将如下行
ca::ctrlaltdel:/sbin/shutdown -t3 -r now行首加“#”号进行注释,
即修改为 #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
4 ?2009 HP Confidential
2、SuSE Linux常用的安全加固措施
– 2.2系统安装及初始系统的备份
– 系统安装时应根据组件最小化的要求,不安装系统运行不需要使用的组
件。操作系统环境安装完成,立即打上系统软件的最新补丁,以堵塞安
全漏洞。
– 所有补丁安装完毕,应对操作系统做完整备份,并保存到安全位置。
– 除此之外,还可以执行如下命令,备份一份setuid、setgid文件列表:
– # find / -type f \( -perm -04000 -o -perm -02000 \) -exec ls
-lg {} \; > origin_suid_sgid_filelist.txt
– 以便日后检查时,与变更后的setuid、setgid文件列表进行比较,发现
存在的不安全的文件权限变动情况。
5 ?2009 HP Confidential
2、SuSE Linux常用的安全加固措施
– 2.3用户帐号和环境变量管理
2.3.1 确认系统只存在一个超级用户:
检查/etc/passwd文件,确认只存在一个UID为0的账号。默认情况
下该账号名为root。
2.3.2 禁用或删除不必要的帐号、用户组:
删除系统中所有不用的缺省用户和组账户(比如adm, lp, sync,
shutdown, halt, news, uucp, operator, games, ftp等)。
如果某些用户当前不需要使用,但未来可能需要用到,可以先将该帐 户进行禁用(将文件中该帐号的默认/bin/bash改为/bin/false)。
6 ?2009 HP Confidential
2、SuSE Linux常用的安全加固措施
– 2.3用户帐号和环境变量管理
– 2.3.3 限制root用户可以登陆系统的tty设备:
建议只允许root在一个tty设备上登陆,如果需要从其它tty设备上登陆,
可以先使用普通用户登陆,而后使用”su”命令把身份转换为”root”。
编辑/etc/securetty文件,将不希望以root登陆的TTY设备注释掉,如:
? tty1
? #tty2
? #tty3
? #tty4
? #tty5
? #tty6
? #tty7
? #tty8
这意味着root用户只能从tty1设备上登陆系统。
7 ?2009 HP Confidential
2、SuSE Linux常用的安全加固措施
– 2.3用户帐号和环境变量管理
– 2.3.
文档评论(0)