Linux 系统平安加固手册平安补丁:安装操作系统提供商公布的最新的平安补丁各常见的Linux 公布平安信息的web 地址: RedHatLinux:CalderaOpenLinux: ConectivaLinux: DebianGNU/Linux: MandrakeLinux: LinuxPPC:y/ S.u.S.E.:YellowDogLinux:2.网络和系统效劳:确保只有确实需要的效劳在运行:先把所有通过ineted/xineted 运行的网络效劳关闭,再翻开确实需要的效劳尽大多数通过inetd/xinetd 运行的网络效劳都能够被禁止,比方echo,exec,login,shell,who,finger 等.关于telnet,r 系列效劳,ftp 等,强烈建议使用SSH 来代替.2设置xinetd 访咨询操纵〞default{}〞块中参加如下行:only_from=<net>/<num_bit><net>/<num_bit>…每个<net>/<num_bit>(比方192.168.1.0/24)对表示答应的源地址关闭NFS 效劳器进程: 运行chkconfignfsoff NFS 通常存在漏洞会导致未授权的文件和系统访咨询. 2 关闭NFS 客户端进程: 运行chkconfignfslockoff chkconfigautofsoff3 关闭NIS 客户端进程: chkconfigypbindoff NIS 系统在设计时就存在平安隐患4 关闭NIS 效劳器进程: 运行chkconfigypservoff chkconfigyppasswdoff5关闭其它基于RPC 的效劳: 运行chkconfigportmapoff基于RPC 的效劳通常特别脆弱或者缺少平安的认证,然而还可能共享敏感信息.除非确实必需,否那么应该完全禁止基于RPC 的效劳.6关闭SMB 效劳运行chkconfigsmboff除非确实需要和Windows 系统共享文件,否那么应该禁止该效劳.7 禁止Netfs足本chkconfignetfsoff假如不需要文件共享可禁止该足本8 关闭打印机守护进程chkconfiglpdoff 假如用户从来不通过该机器打印文件那么应该禁止该效劳.Unix的打印效劳有糟糕的平安记录.9 关闭启动时运行的XServersed's/id:5:initdefault:/id:3:initdefault:/'\mv/etc/inittab.new/etc/inittabchownroot:root/etc/inittabchmod0600/etc/inittab 关于专门的效劳器没有理由要运行XServer,比方专门的Web效劳器10 关闭MailServerchkconfigpostfixoff 多数Unix/Linux系统运行Sendmail作为邮件效劳器,而该软件历史上出现过较多平安漏洞,如无必要,禁止该效劳11 关闭WebServerchkconfigdoff可能的话,禁止该效劳.12 关闭SNMPchkconfigsnmpdoff 假如必需运行SNMP的话,应该更改缺省的communitystring13 关闭DNSServerchkconfignamedoff可能的话,禁止该效劳14 关闭DatabaseServerchkconfigpostgresqloff Linux下常见的数据库效劳器有Mysql,Postgre,Oracle等,没有必要的话,应该禁止这些效劳15 关闭路由守护进程chkconfigroutedoffchkconfiggatedoff 〞静态路由〞,同时它不需要运行特别的守护进程16 关闭Webmin远程治理工具chkconfigwebminoff Webmin是一个远程治理工具,它有糟糕的认证和会话治理历史,因此应该慎重使用17 关闭SquidWebCachechkconfigsquidoff假如必需使用,应该慎重配置chkconfiginetdoff或chkconfigxinetdoff么能够禁止它们19 设置守护进程掩码if["`grep-lumaskfunctions`"=""];thenecho"umask022">>functionsfi 系统缺省的umask值应该设定为022以防止守护进程创立所有用户可写的文件3.核心调整:禁止coredump:cat<<END_ENTRIES*softcore0*hardcore0END_ENTRIES答应coredump会消耗大量的磁盘空间.2 限制NFS客户端使用特权端口:perl-i.orig-pe\'nextif(/^\s*#/||/^\s*$/);($res,@hst)=split("");foreach$ent(@hst){undef(%set);($optlist)=$ent=~/\((.*?)\)/;foreach$opt(split(/,/,$optlist)){$set{$opt}=1;}delete($set{"insecure"});$set{"secure"}=1;$ent=~s/\(.*?\)//;$ent.="(".join(",",keys(%set)).")";}$hst[0]="(secure)"unless(@hst);$_="$res\t".join("",@hst)."\n";'\/etc/exports 能够防止非特权用户发起的automoutedNFS攻击.3 网络参数调整:net.ipv4.ip_forward=0net.ipv4.conf.all.accept_source_route=0net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1END_SCRIPTcat<<END_SCRIPT>>/etc/sysctl.confnet.ipv4.conf.all.send_redirects=0net.ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept_redirects=0END_SCRIPT 详见:或24.日志系统:捕捉发送给AUTH和AUTHPRIVfacility的消息到日志文件/var/log/secure:if[`grep-c'auth\.'/etc/syslog.conf`-eq0]thenecho-e"auth.*\t\t\t\t/var/log/secure"\fiif[`grep-c'authpriv\.'/etc/syslog.conf`eq0]thenecho-e"authpriv.*\t\t\t\t/var/log/secure"\ .syslog中的AUTH和AUTHPRIVfacility包含了大量平安相关的信息,不是所有Linux公布都记录这些日志信息.应该把这些信息记录到/var/log/secure文件中(该文件仅超级用户可读)fitouch/var/log/securechownroot:root/var/log/securechmod600/var/log/secure5.文件/名目访咨询许可权限:对/etc/fstab中的可移动介质增加〞nosuid〞选项:awk'($2~/^\/m.*\/(floppy|cdrom)$/&&\$3!="supermount")\{$4=sprintf("%s,nosuid",$4)};\{print}'/emv/etc/fstab.new/etc/fstabchownroot:root/etc/fstabchmod0644/etc/fstab2 禁止一般用户来mount可移动文件系统:cd/etc/securityegrep-v'(floppy|cdrom)'console.perms\mv/etc/fstab.new/etc/fstabchownroot:rootconsole.perms/etc/fstabchmod0644/etc/fstab 在基于Linux的公布中一般用户在操纵台上有更大的权限,能够使用CD-ROM和软盘驱动器.甚至在一些公布,比方MandrakeLinux 上当在机器上插进软盘或光碟时系统会通过supermount来自动mount这些驱动器.3 对passwd,shadow,和group文件设置正确的许可权限:cd/etcchownroot:rootpasswdshadowgroupchmod644passwdgroupchmod400shadow 这些文件的属主和组应该为root,passwd和group文件的许可权限应该为644,shadow 文件的许可权限应该为4004 对临时名目设置粘着位:chmod+t/tmpfind/var-typed-perm-0222-xdev-execchmod+t{}\;临时名目不设置粘着位会导致一般用户能够任意删除其它用户建立的临时文件5 查寻未认证的SUID/SGID可程序:forpartin\`awk'($3=="ext2"||$3==“ext3〞)\{print$2}'/etc/fstab`dofind$part\(-perm-04000-o-perm-02000\)\-typef-xdev-printdone6.系统访咨询,认证和授权::forfilein`echo/etc/pam.d/*`;dogrep-vrhosts_auth$file>${file}.newmv${file}.new$filechownroot:root$filechmod644$filedone2 删除: /etc/hosts.equiv文件为系统上的所有用户设置全局信任关系,于.rhost的作用类似.3 校验/etc/ftpusers文件的内容,确认root和系统用户存在在该文件中/etc/ftpusers文件列出了所有禁止使用ftp的用户的名单,通常root和系统用户都应该禁止使用ftp4 限制at/cron给授权的用户:cd/etc/ Cron.allow和at.allow文件列出了答应答应crontab和at命令的用户名单,在多数系统上通常只有系统治理员才需要运行这些命令5 Crontab文件限制访咨询权限:chownroot:root/etc/crontabchmod400/etc/crontabchown-Rroot:root/var/spool/cronchmod-Rgo-rwx/var/spool/cronchown-Rroot:root/etc/cron.*chmod-Rgo-rwx/etc/cron.*系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行)来访咨询,一个一般用户能够修改crontab文件会导致他能够以超级用户身份执行任意程序6 建立恰当的警告banner:echo"Authorizedusesonly.Allactivitymaybe\monitoredandreported.">>/etc/motdchownroot:root/etc/motdchmod644/etc/motdecho"Authorizedusesonly.Allactivitymaybe\monitoredandreported.">>/etc/issueecho"Authorizedusesonly.Allactivitymaybe\ 改变登录banner能够隐躲操作系统类型和版本号和其它系统信息,这些信息能够会对攻击者有用.END7 限制root登录到系统操纵台:cat<<END_FILE>/etc/securettytty1tty2tty3tty4tty5tty6END_FILEchownroot:root/etc/securettychmod400/etc/securetty 通常应该以一般用户身份访咨询系统,然后通过其它授权机制(比方su命令和sudo)来获得更高权限,如此做至少能够对登录事件进行跟踪8 设置LILO/GRUB口令:在/etc/lilo.conf文件的开头参加如下行:restrictedpassword=<password>以root身份执行如下命令:lilo关于GRUB:参加本行到/etc/grub.conf:password<password>以root身份执行如下命令:能够有助于防止基于操纵台的物理攻击7.用户账号和环境:往除或锁定系统账号:foruserinuucpoperatordo/usr/sbin/userdel$userdone foruserinadmaliasapacheaxfrdnsbi ndaemondhcpd\ dnscachednslogftpgamesgdmgopherh althtdigident\ lpmailmailnullnamednewsnobodynsc dpostfix\ postgresqmaildqmaillqmailpqmailq qmailrqmails\ Uucp和operator账号通常是不需要的,能够把它们从passwd和shadow文件中删除,其它账号视具体情况而定.要锁定一个账号,能够把该账号的shell改为一个无效的shell,比方/dev/nullrpcrpcusersquidsympasynctinydnsx fsdo/usr/sbin/usermod-L-s/dev/null$userdone验证没有遗留下来的’+’条目存在于passwd,shadow,group文件中:grep^+:/etc/passwd/etc/shadow/etc/group 这些条目可能会给攻击者提供一个途径来取得系统的访咨询权限,假如存在的化应该删除2 验证是否有账号存在空口令的情况:awk-F:'($2==""){print$1}'/etc/shadow 所有账号应该有一个强口令或者使用类似〞NP〞或〞*LOCKED*〞的口令字串来锁定账号3 检查除了root以外是否还有其它账号的UID为0:awk-F:'($3==0){print$1}'/etc/passwd 任何UID为0的账号在系统上都具有超级用户权限.4 检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的名目超级用户的$PATH设置中假如存在这些名目可能会导致超级用户误执行一个特洛伊木马5 删除属于root用户的具有潜在危险的文件:rm-f/.[rs]hosts/.netrc/root/.[rs]hosts/root/.netrc /.rhost,/.netrc或/root/.rhost,/root/.netrc文件都具有潜在的危险6 用户的home名目许可权限是否为755或更严格的限制:fordirin\`awk-F:'($3>=500){print$6}'/etc/passwd`dochmodgo-w$dirdone 用户home名目的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限7 是否有用户的点文件是所有用户可读的:fordirin\`awk-F:'($3>=500){print$6}'/etc/passwd`doforfilein$dir/.[A-Za-z0-9]*doif[-f$file];thenchmodo-w$file Unix/Linux下通常以〞.〞开头的文件是用户的配置文件,假如存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限fidonedone8 删除:fordirin`cut-f6-d:/etc/passwd`dorm-f$dir/.netrcdone.netrc文件中可能会包含未加密的口令9 为用户设置适宜的缺省umask值:cd/etcforfileinprofilecsh.logincsh.cshrcbashrcdoif[`grep-cumask$file`-eq0];thenecho"umask022">>$filefichownroot:root$filechmod444$filedone 为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.8.要害平安工具的安装:安装SSH SSH是一个使用加密连接的平安的远程治理/数据传输协议.它能够用来替代telnet,r命令,ftp等传统的不平安的协议/命令.SSH的最新实现软件能够在下载2 安装NTP NTP(网络时刻协议)用于使网络上的多个系统间的时刻同步,精确的系统时刻有利于保证系统日志的正确性.。
