linux主机安全加固方案.docVIP

目录

TOC\o1-3\h\z\uLINUX加固方案 1

1.安装最新平安补丁 4

2.网络和系统效劳 4

3.核心调整 6

4.日志系统 7

5.文件/目录访问许可权限 7

6.系统访问,认证和授权 8

7.用户账号和环境 10

8.关键平安工具的安装 11

1.安装最新平安补丁

工程:

注释:

1

安装操作系统提供商发布的最新的平安补丁

各常见的Linux发布平安信息的web地址:

RedHatLinux:

CalderaOpenLinux:

ConectivaLinux:

DebianGNU/Linux:

MandrakeLinux:

LinuxPPC:

S.u.S.E.:

YellowDogLinux:

2.网络和系统效劳

inetd/xinetd网络效劳:

设置项

注释:

1

确保只有确实需要的效劳在运行:

先把所有通过ineted/xineted运行的网络效劳关闭,再翻开确实需要的效劳

绝大多数通过inetd/xinetd运行的网络效劳都可以被禁止,比方echo,exec,login,shell,who,finger等.对于telnet,r系列效劳,ftp等,强烈建议使用SSH来代替.

2

设置xinetd访问控制

在/etc/xinetd.conf文件的”default{}”块中参加如下行:

only_from=net/num_bitnet/num_bit…

每个net/num_bit(比方/24)对表示允许的源地址

启动效劳:

设置项

注释:

1

关闭NFS效劳器进程:

运行chkconfignfsoff

NFS通常存在漏洞会导致未授权的文件和系统访问.

2

关闭NFS客户端进程:

运行chkconfignfslockoff

chkconfigautofsoff

3

关闭NIS客户端进程:

chkconfigypbindoff

NIS系统在设计时就存在平安隐患

4

关闭NIS效劳器进程:

运行chkconfigypservoff

chkconfigyppasswdoff

5

关闭其它基于RPC的效劳:

运行chkconfigportmapoff

基于RPC的效劳通常非常脆弱或者缺少平安的认证,但是还可能共享敏感信息.除非确实必需,否那么应该完全禁止基于RPC的效劳.

6

关闭SMB效劳

运行chkconfigsmboff

除非确实需要和Windows系统共享文件,否那么应该禁止该效劳.

7

禁止Netfs脚本

chkconfignetfsoff

如果不需要文件共享可禁止该脚本

8

关闭打印机守护进程

chkconfiglpdoff

如果用户从来不通过该机器打印文件那么应该禁止该效劳.Unix的打印效劳有糟糕的平安记录.

9

关闭启动时运行的XServer

seds/id:5:initdefault:/id:3:initdefault:/\

/etc/inittab/etc/inittab.new

mv/etc/inittab.new/etc/inittab

chownroot:root/etc/inittab

chmod0600/etc/inittab

对于专门的效劳器没有理由要运行XServer,比方专门的Web效劳器

10

关闭MailServer

chkconfigpostfixoff

多数Unix/Linux系统运行Sendmail作为邮件效劳器,而该软件历史上出现过较多平安漏洞,如无必要,禁止该效劳

11

关闭WebServer

chkconfigdoff

可能的话,禁止该效劳.

12

关闭SNMP

chkconfigsnmpdoff

如果必需运行SNMP的话,应该更改缺省的communitystring

13

关闭DNSServer

chkconfignamedoff

可能的话,禁止该效劳

14

关闭DatabaseServer

chkconfigpostgresqloff

Linux下常见的数据库效劳器有Mysql,Postgre,Oracle等,没有必要的话,应该禁止这些效劳

15

关闭路由守护进程

chkconfigroutedoff

chkconfiggatedoff

组织里仅有极少数的机器才需要作为路由器来运行.大多数机器都使用简单的”静态路由”,并且它不需要运行特殊的守护进程

16

关闭Webmin远程管理工具

chkconfigwebminoff

Webmin是一个远程管理工具,它有糟糕的认证和会话管理历史,所以应