{安全生产管理}某安全配置手册.pdfVIP

{安全生产管理}某安全配 置手册 Linux 安全配置手册 Linux 安全配置手册 综述 本文档以典型安装的 RedHatLinux 为对象撰写而成，其他版本均基本类似，根据具体情况进 行适当修改即可。 文档中的操作需要以 root 用户登录至控制台进行，不推荐使用网络远程的方式进行补丁及 配置修改等加固操作。 部分操作需要重新启动服务器才会生效，注意某些数据库等应用需要先停止应用，然后才可 以重新启动。 加固之前首先应对系统中的重要文件及可能修改的文件进行备份，可参照使用以下脚本： forfilein\ ftpuserspasswdshadow\ \ rc.d/init.d/functionsinittab\ sysconfig/sendmailsecurity/\ exports\ fstab.perms.rhosts\ .shostsX11Xservers\ X11xserverrcX11\ \ crontabmotdissue\ sharekdm/kdmrcX11\ securettysecurity/\ groupprofile\ bashrc\ ssh/sshd_configssh/ssh_config\ cups/{,vsftpd/}\ .bashrc.bash_profile\ .cshrc.tcshrc;do [-f$file]cp$file$file-preCIS done fordirinxinetd.drc[].d\ spool/croncron.*logrotate.dlog\ pam.dskel;do [-d$dir]cp-r$dir$dir-preCIS done 补丁 系统补丁 系统内核版本使用uname-a 查看。 软件版本和补丁使用 rpm-qa 查看。 使用 up2date 命令自动升级或去 ftp://.下载对应版本补丁手工单独安装。 其他应用补丁 除RedHat 官方提供的系统补丁之外，系统也应对根据开放的服务和应用进行补丁，如APACHE 、 PHP 、OPENSSL 、MYSQL 等应用进行补丁。 具体升级方法： 首先确认机器上安装了 gcc 及必要的库文件。 然后去应用的官方网站下载对应的源代码包，如*. 再解压 tarzxfv*. 再根据使用情况对编译配置进行修改，或直接采用默认配置 cd* ./configure 再进行编译和安装 make makeinstall 最小化xinetd 网络服务 停止默认服务 说明 ： Xinetd 是旧的 inetd 服务的替代，他提供了一些网络相关服务的启动调用方式。Xinetd 应 禁止以下默认服务的开放： chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimap imapsipop2ipop3krb5-telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncservers services 操作： 停止一个服务 chkconfig 服务名 off 打开一个服务 chkconfig 服务名 on 也可以使用 ntsysv 命令进行服务开关调整 其他 说明 ： 对于 xinet 必须开放的服务，应该注意服务软件的升级和安全配置，并推荐使用 SSH 和 SSL 对原明文的服务进行替换。如果条件允许，可以使用系统自带的 iptables 或 tcp-wrapper 功能对访问 IP 地址进行限制。 操作： Xinetd 、SSH 和 SSL 、防火墙配置参见对应系统的用户手册，此不详述。 最小化启动服务 设置 daemon 权限 unmask 说明： 默认系统 umask 至少为 022 ，以防止daemon 被其他低权限用户修改。 操作： vi 修改 rc.d/init.d 文件，umask 值为 022 。 同时检查rc.d/init.d 中其他启动脚本权限是否为755 。 关闭xinetd 服务 说明： 如果前面第二章关闭 xinetd 服务中所列的服务，都不需要开放，则可以直接关闭 xinetd 服 务。 操作： chkconfig--level12345xinetdoff 关闭邮件服务 说明： 1) 如果系统不需要作为邮件服务器，并不需要向外面发邮件，可以直接关闭邮件服务。 2) 如果不需要作为邮件服务器，但是允许用户发送邮件，可以设置