没有合适的资源?快使用搜索试试~ 我知道了~
安全指南__LINUX安全配置[借鉴].pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 54 浏览量
2021-10-12
03:35:04
上传
评论
收藏 61KB PDF 举报
温馨提示
试读
36页
安全指南__LINUX安全配置[借鉴].pdf
资源推荐
资源详情
资源评论
1
目录
1. 范围 .......................................................................................................................... 3
2. 术语和定义 ............................................................................................................... 3
3. 安全配置 ................................................................................................................... 3
3.1 综述 .................................................................................................................... 3
3.2 补丁 .................................................................................................................... 5
3.2.1 系统补丁 .................................................................................................... 5
3.2.2 其他应用补丁 ............................................................................................. 5
3.3 最小化 xinetd 网络服务 ........................................................................................ 5
3.3.1 停止默认服务 ............................................................................................. 5
3.3.2 其他........................................................................................................... 6
3.4 最小化启动服务 .................................................................................................. 6
3.4.1 设置 daemon 权限 unmask ......................................................................... 6
3.4.2 关闭 xinetd 服务 ......................................................................................... 7
3.4.3 关闭邮件服务 ............................................................................................. 7
3.4.4 关闭图形登录服务 ...................................................................................... 7
3.4.5 关闭 X 字体服务器 ...................................................................................... 8
3.4.6 关闭其他默认启动服务 ............................................................................... 8
3.4.7 调整 SMB 服务 ........................................................................................... 9
3.4.8 调整 NFS服务器服务 .................................................................................. 9
3.4.9 调整 NFS客户端服务 .................................................................................. 9
3.4.10 调整 NIS 服务器服务 ............................................................................... 10
3.4.11 调整 NIS 客户端服务 ............................................................................... 10
3.4.12 调整 RPC端口映射服务 ........................................................................... 10
3.4.13 调整 netfs 服务 ....................................................................................... 11
3.4.14 调整打印机服务 ..................................................................................... 11
3.4.15 调整 Web 服务器服务 ............................................................................. 11
3.4.16 调整 SNMP 服务 ..................................................................................... 12
3.4.17 调整 DNS服务器服务 .............................................................................. 12
3.4.18 调整 SSHD服务器服务 ............................................................................ 12
3.4.19 调整 SQL服务器服务 .............................................................................. 13
3.4.20 调整 Webmin 服务 .................................................................................. 13
3.4.21 调整 Squid 服务 ...................................................................................... 13
3.4.22 调整 kudzu 硬件探测服务 ........................................................................ 14
3.5 内核参数 ........................................................................................................... 14
3.5.1 网络参数调整 ........................................................................................... 14
3.5.2 更多的网络参数调整 ................................................................................ 15
3.6 日志 ................................................................................................................ 15
3.6.1 系统认证日志配置 .................................................................................... 15
2
3.6.2 FTP进程日志配置 ..................................................................................... 16
3.6.3 确认系统日志权限 ................................................................................... 17
3.7 文件 /目录权限 ................................................................................................... 18
3.7.1 /etc/fstab 中适当分区增加“ nodev”选项 .................................................. 18
3.7.2 /etc/fstab 中移动设备增加“ nosuid ”“ nodev”选项 .................................. 18
3.7.3 禁止用户挂接可移动文件系统 ................................................................. 18
3.7.4 检查 passwd,shadow 和 group 文件权限 ................................................. 19
3.7.5 全局可写目录应设置粘滞位 ..................................................................... 19
3.7.6 找出未授权的全局可写目录 ..................................................................... 20
3.7.7 找出未授权的 SUID/SGID文件 .................................................................. 20
3.7.8 找出异常和隐藏的文件 ............................................................................ 20
3.8 系统访问,授权和认证 ..................................................................................... 20
3.8.1 删除 .rhosts 文件 ...................................................................................... 20
3.8.2 创建危险文件的链接 ............................................................................... 21
3.8.3 创建 ftpuser 文件 ..................................................................................... 22
3.8.4 关闭 X-Windows 的开放端口 .................................................................... 22
3.8.5 限制只有授权用户可以访问 at/cron ......................................................... 24
3.8.6 限制 crontab 文件的权限 .......................................................................... 24
3.8.7 创建警示 BANNER .................................................................................... 25
3.8.8 配置 xinetd 访问控制 ............................................................................... 28
3.8.9 限制 root 只能在控制台登录 .................................................................... 28
3.8.10 设置 LILO/GRUB密码 .............................................................................. 29
3.8.11 设置单用户默认认证 ............................................................................. 30
3.8.12 限制 NFS客户端特权端口 ...................................................................... 30
3.9 用户帐户和环境 ................................................................................................ 31
3.9.1 系统无用帐户 .......................................................................................... 31
3.9.2 确认没有空密码帐户 ............................................................................... 32
3.9.3 设置活动帐户的过期时间 ........................................................................ 32
3.9.4 确认没有 “ +”存在于 passwd,shadow 和 group 文件 .................................. 33
3.9.5 确认没有 root 之外的 UID 0 帐户 .............................................................. 33
3.9.6 删除 root 路径中的“ .”或其他全局可写目录 ........................................... 33
3.9.7 用户主目录应为 755 或更少权限 .............................................................. 34
3.9.8 没有用户 .开头的文件全局可写 ................................................................ 34
3.9.9 删除用户 .netrc 文件 ................................................................................. 35
3.9.10 设置用户的默认 umask .......................................................................... 35
3.9.11 禁止 core dumps .................................................................................... 36
3
1.范围
本部分规定了网络系统中所使用的 LINUX 操作系统所应遵循的安全配置指
南。
2.术语和定义
Xinetd
Xinetd 是旧的 inetd 服务的替代,他提供了一些网络相关服务的启动调用方
式。
X
X Window 系统(也常称为 X11 或 X)是一种以位图方式显示的软体视窗系
统。最初是 1984 年麻省理工学院的研究, 之后变成 UNIX、类 UNIX、以及 OpenVMS
等操作系统所一致适用的标准化软体工具套件及显示架构的运作协定。
3.安全配置
3.1 综述
本文档以典型安装的 RedHat Linux为对象撰写而成,其他版本均基本类似,
根据具体情况进行适当修改即可。
文档中的操作需要以 root 用户登录至控制台进行,不推荐使用网络远程的
方式进行补丁及配置修改等加固操作。
部分操作需要重新启动服务器才会生效, 注意某些数据库等应用需要先停止
应用,然后才可以重新启动。
加固之前首先应对系统中的重要文件及可能修改的文件进行备份, 可参照使
用以下脚本:
for file in /etc/inetd.conf /etc/hosts.equiv \
4
/etc/ftpusers /etc/passwd /etc/shadow /etc/hosts.allow \
/etc/hosts.deny /etc/proftpd.conf \
/etc/rc.d/init.d/functions /etc/inittab \
/etc/sysconfig/sendmail /etc/security/limits.conf \
/etc/exports /etc/sysctl.conf /etc/syslog.conf \
/etc/fstab /etc/security.console.perms /root/.rhosts \
/root/.shosts /etc/shosts.equiv /etc/X11 /xdm/Xservers \
/etc/X11/xinit/xserverrc /etc/X11 /gdm/gdm.conf \
/etc/cron.allow /etc/cron.deny /etc/at.allow \
/etc/at.deny /etc/crontab /etc/motd /etc/issue \
/usr/share/config/kdm/kdmrc /etc/X11 /gdm/gdm.conf \
/etc/securetty /etc/security/access.conf /etc/lilo.conf \
/etc/grub.conf /etc/login.defs /etc/group /etc/profile \
/etc/csh.login /etc/csh.cshrc /etc/bashrc \
/etc/ssh/sshd_config /etc/ssh/ssh_config \
/etc/cups/cupsd.conf /etc/{,vsftpd/}vsftpd.conf \
/etc/logrotate.conf /root/.bashrc /root/.bash_profile \
/root/.cshrc /root/.tcshrc /etc/vsftpd.ftpusers ; do
[ -f $file ] && /bin/cp $file $file-preCIS
done
for dir in /etc/xinetd.d /etc/rc[0123456].d \
/var/spool/cron /etc/cron.* /etc/logrotate.d /var/log \
/etc/pam.d /etc/skel ; do
[ -d $dir ] && /bin/cp -r $dir $dir-preCIS
done
5
3.2 补丁
3.2.1 系统补丁
系统内核版本使用 uname -a 查看。
软件版本和补丁使用 rpm -qa 查看。
使用 up2date 命令自动升级或去 http://mirrors.kernel.org/ (2009-3-17 测试可
用)下载对应版本补丁手工单独安装。
3.2.2 其他应用补丁
除 RedHat 官方提供的系统补丁之外,系统也应对根据开放的服务和应用进
行补丁,如 APACHE、PHP、OPENSSL、MYSQL等应用进行补丁。
具体升级方法:
首先确认机器上安装了 gcc 及必要的库文件。
然后去应用的官方网站下载对应的源代码包,如 *.tar.gz
再解压
tar zxfv *.tar.gz
再根据使用情况对编译配置进行修改,或直接采用默认配置
cd *
./configure
再进行编译和安装
make
make install
3.3 最小化 xinetd 网络服务
3.3.1 停止默认服务
说明:
Xinetd 是旧的 inetd 服务的替代,他提供了一些网络相关服务的启动调用方
剩余35页未读,继续阅读
资源评论
czq131452007
- 粉丝: 2
- 资源: 12万+
下载权益
C知道特权
VIP文章
课程特权
开通VIP
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功