2022年Linux操作系统脆弱性识别用例 .pdf

1.1 LINUX操作系统脆弱性识别1.1.1 账号管理、认证授权1.1.1.1 共享账号检查目的检查是否禁止不同用户间共享账号检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用 cat /etc/passwd命令查看输出结果；2、与相关负责人交流账户设置情况。检查结果漏洞等级加固建议1、应按照不同的用户分配不同的账号，避免不同用户间共享账号，避免用户账号和设备间通信使用的账号共享。2、为用户创建账号：#useradd username #创建账号#passwd username #设置密码3、修改权限：#chmod 750 directory # 其中 750为设置的权限， 可根据实际情况设置相应的权限， directory 是要更改权限的目录；4、用以上命令为不同的用户分配不同的账号，设置不同的口令及权限信息等。1.1.1.2 账号删除及默认帐号shell变量更改检查目的检查是否删除或锁定系统不需要的默认帐号、及是否更改危险帐号缺省的shell变量检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用cat /etc/passwd 命令查看当前用户列表；2、使用cat /etc/shadow 命令查看当前密码配置。检查结果漏洞等级加固建议1、# userdel lp # groupdel lp 2、修改一些系统账号的shell变量，例如 uucp,ftp和news等，还有一些仅仅需要 FTP功能的账号，一定不要给他们设置/bin/bash或者 /bin/sh等Shell变量。可以在/etc/passwd中将它们的 shell变量设为 /bin/false或者 /dev/null等，也可以使用usermod -s /dev/null username命令来更改 username的shell为/dev/null 。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 1 页，共 23 页 - - - - - - - - - 1.1.1.3 删除不必要的系统用户组检查目的检测系统中是否已经删除不必要的用户组检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）more /etc/group检查结果漏洞等级加固建议删除系统中不必要的用户和组，锁定无关的组1.1.1.4 用户远程登录检查目的检查是否限制具备超级管理员权限的用户远程登录检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用 cat /etc/securetty命令查看输出结果；2、使用 cat /etc/ssh/sshd_config命令查看输出结果。3、显示 PermitRootLogin no 。检查结果漏洞等级加固建议1、远程执行管理员权限操作，应先以普通权限用户远程登录后，再切换到超级管理员权限账号后执行相应操作。2、SSH：#vi /etc/ssh/sshd_config 把 PermitRootLogin yes 改为 PermitRootLogin no 3、重启 sshd服务#service sshd restart 4、CONSOLE ：在 /etc/securetty文件中配置： CONSOLE = /dev/tty01 1.1.1.5 系统账号检查目的检查是否对系统账号进行登录限制检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用 cat /etc/passwd命令查看帐号状态；2、禁止登陆账号的shell显示为/sbin/nologin 。检查结果漏洞等级加固建议1、确保系统账号仅被守护进程和服务使用，不应直接由该账号登录。（ 1）禁止用户登录：vi /etc/passwd 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 2 页，共 23 页 - - - - - - - - - 例：修改lynn:x:500:500:/home/lynn:/sbin/bash 更改为lynn:x:500:500:/home/lynn:/sbin/nologin （ 2）禁止所有用户登录（除root以外的用户不能登录）：touch /etc/nologin （ 3）禁止交互登录的系统账号，比如daemon,bin,sys、adm、lp、uucp、nuucp、smmsp等。1.1.1.6 空口令用户检查目的检查是否禁止空口令用户检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用cat /etc/passwd 命令查看帐号状态；2、使用awk -F: ($2 = )print $1 /etc/passwd 命令。检查结果漏洞等级加固建议1、awk -F: ($2 = )print $1 /etc/passwd 2、用 root用户登陆 Linux 系统，执行 passwd命令，给用户增加口令。1.1.1.7 口令长度限制检查目的检查对于采用静态口令认证技术的设备，口令长度是否至少8位检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用 cat /etc/login.defs 命令查看输出结果；2、显示 PASS_MIN_LEN 8 。检查结果漏洞等级加固建议1、# vi /etc/login.defs 2、PASS_MIN_LEN 1.1.1.8 口令立即修改检查目的口令是否可以被立即修改检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）more /etc/login.defs检查结果漏洞等级加固建议1、PASS_MIN_DAYS 0 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 3 页，共 23 页 - - - - - - - - - 1.1.1.9 口令生存期限制检查目的检查对于采用静态口令认证技术的设备，帐户口令的生存期是否不长于90天检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用 cat /etc/login.defs 命令查看输出结果；2、显示PASS_MAX_DAYS 90。检查结果漏洞等级加固建议1、# vi /etc/login.defs 2、PASS_MAX_DAYS 90 1.1.1.10 口令过期提醒检查目的检查是否设置口令到期前多少天开始通知用户口令即将到期检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用 cat /etc/login.defs 命令查看输出结果；2、显示PASS_WARN_AGE 7 。检查结果漏洞等级加固建议1、# vi /etc/login.defs 2、PASS_WARN_AGE 7 1.1.1.11 用户最小权限检查目的检查是否在设备权限配置能力内，根据用户的业务需要，配置其所需的最小权限检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用ls al /etc/ 查看关键目录的权限；2、显示如下：rootlocalhost sysconfig# ls -al /etc/passwd | grep .-.-.- -rw-r-r- 1 root 1647 3? 7 19:05 /etc/passwd rootlocalhost sysconfig# ls -al /etc/group | grep .-.-.- -rw-r-r- 1 root 624 3? 7 19:04 /etc/group rootlocalhost sysconfig# ls -al /etc/shadow | grep .- -r- 1 root 1140 3? 7 19:06 /etc/shadow 检查结果漏洞等级加固建议1、通过 chmod命令对目录的权限进行实际设置。/etc/passwd 必须所有用户都可读，root用户可写 rw-r r名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 4 页，共 23 页 - - - - - - - - - /etc/shadow 只有 root可读 r- /etc/group 必须所有用户都可读，root用户可写 rw-r r2、使用如下命令设置：chmod 644 /etc/passwd chmod 600 /etc/shadow chmod 644 /etc/group 3、如果是有写权限，就需移去组及其它用户对/etc的写权限（特殊情况除外），执行命令#chmod -R go-w /etc 1.1.1.12 用户缺省访问权限检查目的检查是否控制用户缺省访问权限检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用如下命令：more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc 2、检查是否包含umask值，且显示 umask 027。检查结果漏洞等级加固建议1、设置默认权限：vi /etc/profile vi /etc/csh.login vi /etc/csh.cshrc vi /etc/bashrc 在末尾增加 umask 027 2、修改文件或目录的权限，例如下：#chmod 444 dir ; # 修改目录 dir的权限为所有人都为只读。备注：1、如果用户需要使用一个不同于默认全局系统设置的umask，可以在需要的时候通过命令行设置，或者在用户的shell启动文件中配置。umask的默认设置一般为022，这给新创建的文件默认权限755（777-022=755），这会给文件所有者读、写权限，但只给组成员和其他用户读权限。2、umask的计算： umask是使用八进制数据代码设置的，对于目录，该值等于八进制数据代码777减去需要的默认权限对应的八进制数据代码值；对于文件，该值等于八进制数据代码666减去需要的默认权限对应的八进制数据代码值。1.1.1.13 系统命令行数检查目的检查系统命令行数是否保存为30条检测依据名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 5 页，共 23 页 - - - - - - - - - 检测对象检测方法工具检测 /人工核查检查流程（流程图）检查/etc/profile ISTFILESIZE=30 检查结果漏洞等级加固建议vi /etc/profile ISTFILESIZE=30 HISESIZE=30 1.1.1.14 资源限制检查目的检查是否限制用户对系统资源的使用检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用/etc/security/limits.conf 命令查看输出结果；2、显示包含：hard core 0 * hard rss 5000 * hard nproc 20 的定义3、使用/etc/pam.d/login 命令查看输出结果；4、显示包含：session required /lib/security/pam_limits.so 检查结果漏洞等级加固建议1、编辑 limits.conf文件vi /etc/security/limits.conf 2、加入或改变下面这些行：* soft core 0 * hard core 0 * hard rss 5000 * hard nproc 20 3、如果限制 limitu 用户组对主机资源的使用，加入：limitu soft core 0 limitu hard nproc 30 limitu - maxlogins 5 说明： core 0表示禁止创建core文件； nproc 20表示把最多进程数限制到20； rss 5000表示除了 root之外，其他用户都最多只能用5M 内存。上面这些都只对登录到系统中的用户有效。通过以上限制，能更好地控制系统中的用户对进程、core文件和内存的使用情况。星号*表示的是所有登录到系统中的用户。3、编辑 /etc/pam.d/login文件在文件末尾加入下面这一行：名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 6 页，共 23 页 - - - - - - - - - session required /lib/security/pam_limits.so 说明：加入这一行后 /etc/pam.d/login文件是这样的：#%PAM-1.0 auth required /lib/security/pam_securetty.so auth required /lib/security/pam_pwdb.so shadow nullok auth required /lib/security/pam_nologin.so account required /lib/security/pam_pwdb.so password required /lib/security/pam_cracklib.so password required /lib/security/pam_pwdb.so nullok use_authtok md5 shadow session required /lib/security/pam_pwdb.so session required /lib/security/pam_limits.so #session optional /lib/security/pam_console.sodaemon 4、统计进程数量ps ax | grep httpd | wc -l 1.1.1.15 目录权限检查目的检查是否设置目录权限检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用ls l 命令；2、显示/etc/init.d/* 下的文件权限750以下。检查结果漏洞等级加固建议1、查看重要文件和目录权限：ls l 2、更改权限：对于重要目录，建议执行如下类似操作：# chmod -R 750 /etc/init.d/* 这样只有 root可以读、写和执行这个目录下的脚本。1.1.1.16 关键文件属性检查目的检查是否设置关键文件的属性检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用如下命令：# lsattr /var/log/messages # lsattr /var/log/messages.* # lsattr /etc/shadow # lsattr /etc/passwd # lsattr /etc/group 2、判断关键文件属性。检查结果漏洞等级名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 7 页，共 23 页 - - - - - - - - - 加固建议1、# chattr +a /var/log/messages # chattr +i /var/log/messages.* # chattr +i /etc/shadow # chattr +i /etc/passwd # chattr +i /etc/group 2、建议管理员对关键文件进行特殊设置（不可更改或只能追加等）。1.1.1.17 别名设置检查目的检查是否为 ls和rm设置别名检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、查看当前 shell：# echo $SHELL （ 1）如果是 csh：# vi /.cshrc （ 2）如果是 bash：# vi /.bashrc 显示如下：alias ls ls -aol alias rm = rm i 检查结果漏洞等级加固建议1、查看当前 shell：# echo $SHELL （ 1）如果是 csh：# vi /.cshrc （ 2）如果是 bash：# vi /.bashrc 加入：alias ls ls -aol alias rm rm -i 2、重新登录之后查看是否生效。1.1.1.18 PAM 检查目的检查是否使用 PAM 时禁止任何人 su为root 检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）使用 PAM 时已禁止任何人su为root 检查结果漏洞等级加固建议1、编辑 su文件 (vi /etc/pam.d/su) ，在开头添加下面两行：auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 8 页，共 23 页 - - - - - - - - - 说明：这表明只有wheel组的成员可以使用su命令成为 root用户。2、可以把用户添加到wheel组，以使它可以使用su命令成为 root用户。添加方法为：# chmod G10 username 1.1.1.19 TMP 目录权限检查目的检查是否设置 TMP 目录权限检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用ls -al / | grep tmp 查看输出结果；2、显示如下：drwxrwxrwt 7 root 4096 May 11 20:07 tmp/ 检查结果漏洞等级加固建议1、Chmod +t /tmp 说明： T或 T（Sticky）：/tmp和 /var/tmp目录供所有用户暂时存取文件，亦即每位用户皆拥有完整的权限进入该目录，去浏览、删除和移动文件。1.1.2 日志配置要求1.1.2.1 登录认证服务记录检查目的检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用 cat /etc/syslog.conf 查看输出结果；2、显示：authpriv.* /var/log/secure 检查结果漏洞等级加固建议1、cat /etc/syslog.conf # The authpriv file has restricted access. 2、authpriv.* /var/log/secure 3、* auth, authpriv ：主要认证有关机制，例如telnet, login, ssh 等需要认证的服务都是使用此一机制。1.1.2.2 系统安全事件记录检查目的检查是否设置系统安全事件的记录检测依据检测对象检测方法工具检测 /人工核查检查流程使用 cat /etc/syslog.conf 命令查看。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 9 页，共 23 页 - - - - - - - - - （流程图）检查结果漏洞等级加固建议1、修改配置文件vi /etc/syslog.conf ，配置如下类似语句：*.err;kern.debug;daemon.notice; /var/adm/messages 2、定义为需要保存的设备相关安全事件。1.1.2.3 SSH、SU 登录日志检查目的检查是否对 ssh、su登录日志进行记录检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用如下命令：cat /etc/syslog.conf ps elf | grep syslog cat /var/log/secure 2、显示：authpriv.* /var/log/secure ps elf | grep syslog 存在进程检查结果漏洞等级加固建议1、# vi /etc/syslog.conf 2、加入：# The authpriv file has restricted access. authpriv.* /var/log/secure 3、重新启动 syslogd：# /etc/rc.d/init.d/syslog restart 1.1.2.4 CRON 行为日志检查目的检查是否对所有的cron行为进行审计检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用cat /etc/syslog.conf | grep cron 命令查看输出结果；2、显示 cron.* 。检查结果漏洞等级加固建议1、vi /etc/syslog.conf # Log cron stuff 2、Cron.* /var/log/cron 1.1.2.5 FTPD 审计检查目的检查是否增加 ftpd审计功能检测依据名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 10 页，共 23 页 - - - - - - - - - 检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用如下命令：cat /etc/inetd.conf cat /etc/syslog.conf 2、显示：ftpd -l -r -A S ftp.* /var/log/ftpd 检查结果漏洞等级加固建议1、# vi /etc/inetd.conf ftp stream tcp nowait root /usr/libexec/ftpd ftpd -l -r -A -S 说明：-l 成功 /失败的 ftp会话被 syslog记录-r 使ftpd为只读模式，任何命令都不能更改文件系统-A 允许 anonymous用户登录， /etc/ftpwelcome 是欢迎信息-S 对anonymous ftp传输进行记录2、在 /etc/syslog.conf中，增加：ftp.* /var/log/ftpd 3、使日志产生到/var/log/ftpd 文件4、重新启动 inetd进程：# kill -1 cat /var/run/inetd.pid 1.1.3 IP 协议安全要求1.1.3.1 SSH 加密传输检查目的检查是否使用 SSH加密传输检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用 # ps elf | grep ssh命令查看 SSH服务状态；2、显示有 SSH进程。检查结果漏洞等级加固建议从http:/ 下载 SSH并安装到系统。1.1.3.2 访问控制列表检查目的检查是否设置访问控制列表检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、查看 /etc/hosts.allow 和/etc/hosts.deny 2个文件的配置状态；2、显示配置访问控制。检查结果名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 11 页，共 23 页 - - - - - - - - - 漏洞等级加固建议1、使用 TCP_Wrappers可以使系统安全面对外部入侵。最好的策略就是阻止所有的主机（在/etc/hosts.deny文件中加入 ALL:ALLALL, PARANOID ），然后再在 /etc/hosts.allow 文件中加入所有允许访问的主机列表。2、编辑 hosts.deny文件vi /etc/hosts.deny 加入下面该行：# Deny access to everyone. ALL: ALLALL, PARANOID 3、编辑 hosts.allow 文件vi /etc/hosts.allow 加入允许访问的主机列表，比如：ftp: 202.54.15.99 说明：202.54.15.99和 是允许访问 ftp服务的 IP地址和主机名称。tcpdchk程序是 TCP_Wrapper 设置检查程序。它用来检查你的TCP_Wrapper设置，并报告发现的潜在的和真实的问题。4、设置完后，运行下面这个命令：# tcpdchk 1.1.3.3 主机解析地址顺序检查目的检查是否更改主机解析地址的顺序检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用 cat /etc/host.conf命令查看输出结果；2、显示：order bind,hosts nospoof on 检查结果漏洞等级加固建议1、 /etc/host.conf 说明了如何解析地址。编辑 /etc/host.conf 文件：vi /etc/host.conf 2、加入下面该行：# Lookup names via DNS first then fall back to /etc/hosts. order bind,hosts # We have machines with multiple IP addresses. multi on # Check for IP address spoofing nospoof on 说明：第一项设置首先通过DNS解析 IP地址，然后通过hosts文件解析。第二项设置检测 /etc/hosts文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的IP欺骗。名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 12 页，共 23 页 - - - - - - - - - 1.1.3.4 SYNCOOKIE 检查目的检查是否打开syncookie 检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用cat /proc/sys/net/ipv4/tcp_syncookies 命令；2、显示值为 1。检查结果漏洞等级加固建议1、# echo 1 /proc/sys/net/ipv4/tcp_syncookies 2、可以加入 /etc/rc.d/rc.local 中。1.1.3.5 ICMP 请求检查目的检查是否响应ICMP 请求检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用cat /proc/sys/net/ipv4/icmp_echo_ignore_all 命令；2、返回 1。检查结果漏洞等级加固建议# echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 1.1.3.6 防 SYN 攻击检查目的检查是否提高未连接队列大小检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用sysctl net.ipv4.tcp_max_syn_backlog 命令；2、显示值为 2048。检查结果漏洞等级加固建议sysctl -w net.ipv4.tcp_max_syn_backlog=2048 1.1.4 服务配置要求1.1.4.1 关闭无效服务检查目的检查是否关闭无效服务检测依据名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 13 页，共 23 页 - - - - - - - - - 检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用cat /etc/inetd.conf 命令查看输出结果；2、在 /etc/inetd.conf 文件中禁止下列不必要的基本网络服务：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth, sendmail, nfs 3、标记用户用途，定期建立用户列表，比较是否有非法用户。检查结果漏洞等级加固建议1、取消所有不需要的服务，编辑 /etc/inetd.conf文件， 通过注释取消所有不需要的服务（在该服务项目之前加一个#）。2、更改 /etc/inetd.conf权限为 600，只允许 root来读写该文件。# chmod 600 /etc/inetd.conf 3、确定 /etc/inetd.conf文件所有者为 root。# chown root /etc/inetd.conf 4、编辑/etc/inetd.conf 文件vi /etc/inetd.conf 5、取消不需要的服务，如：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth 等等。6、给 inetd进程发送一个 HUP 信号# killall -HUP inetd 7、用 chattr命令把 /ec/inetd.conf 文件设为不可修改# chattr +i /etc/inetd.conf 备注：/etc/inetd.conf 文件中只开放需要的服务。对于启用的网络服务，使用 TCP Wrapper增强访问控制和日志审计功能。建议使用 xinetd代替 inetd，前者在访问控制和日志审计方面有较大的增强。这样可以防止对inetd.conf的任何修改（以外或其他原因）。唯一可以取消这个属性的只有root。如果要修改 inetd.conf 文件，首先要取消不可修改属性：# chattr -i /etc/inetd.conf portmap（如果启动使用nfs等需要 rpc的服务，建议关闭portmap服务cups服务（ Common Unix Printing Service ，用于打印，建议关闭）named服务（除非主机是dns服务器，否则关闭named服务）apache（http）服务xfs（X Font Service ）服务vsftpd lpd 1.1.4.2 禁止不需要启动的服务检查目的检查是否禁止系统不需要启动的服务检测依据检测对象检测方法工具检测 /人工核查、访谈名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 14 页，共 23 页 - - - - - - - - - 检查流程（流程图）1、查看/etc/rc.d/rc0-9.d 脚本目录下的文件find /etc/rc?.d/ -name S* 2、判断/etc/rc.d/rc0-9.d 下脚本文件名的状态检查结果漏洞等级加固建议1、进入相应目录，将脚本开头大写S改为小写 s即可。如：# cd /etc/rc.d/rc6.d # mv S45dhcpd s45dhcpd 1.1.4.3 开机启动服务检查目的检查是否禁止系统开机时不需要启动的服务检测依据检测对象检测方法工具检测 /人工核查、访谈检查流程（流程图）1、使用cat /etc/rc.d/init.d/* 查看并记录当前的配置。检查结果漏洞等级加固建议1、# cd /etc/rc.d/init.d 2、在不需要开机自动运行的脚本第一行写入：exit 0 则开机时该脚本exit 0 之后的内容不会执行。3、需要更改的服务包括：identd lpd linuxconf netfs portmap routed rstatd rwalld rwhod sendmail ypbind yppasswdd ypserv 4、具体操作时根据主机的角色请于管理员确认后再实施。1.1.4.4 加固 snmp服务检查目的检查是否加固 snmp服务检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用如下命令：ps elf | grep snmp cat /etc/snmp/snmpd.conf 2、/etc/snmp/snmpd.conf 中：com2sec notConfigUser default xxxxx view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc access notConfigGroup any noauth exact mib2 none none 3、ps elf | grep snmp 查看是否有服务检查结果漏洞等级名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 15 页，共 23 页 - - - - - - - - - 加固建议1、chkconfig snmpd off chkconfig snmptrapd off /etc/rc.d/init.d/snmpd stop /etc/rc.d/init.d/snmptrapd stop 2、如果需要 SNMP服务如下方式修改/etc/snmp/snmpd.conf文件：（ 1）修改默认的 community string com2sec notConfigUser defaultpublic （ 2）将 public 修改为你才知道的字符串（ 3）把下面的 #号去掉#view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc （ 4）把下面的语句access notConfigGroup any noauth exact systemview none none 改成：access notConfigGroup any noauth exact mib2 none none （ 5）重启 snmpd服务#/etc/rc.d/init.d/snmpd restart 1.1.4.5 ssh默认端口检查目的检查是否修改 ssh默认端口检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用cat /etc/ssh/sshd_config 命令查看输出结果；2、判断port 字段。检查结果漏洞等级加固建议1、Vi /etc/ssh/sshd_config 2、修改Port 22 修改成其他端口，迷惑非法试探者Linux 下SSH默认的端口是22， 为了安全考虑， 现修改 SSH的端口为 1433，修改方法如下：/usr/sbin/sshd -p 1433 1.1.4.6 禁用 X-windows系统检查目的检查是否禁用 X-windows 系统启动检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）more /etc/inittab 检查结果漏洞等级名师资料总结 - - -精品资料欢迎下载 - - - - - - - - - - - - - - - - - - 名师精心整理 - - - - - - - 第 16 页，共 23 页 - - - - - - - - - 加固建议id:5:initdefault: 将数值 5修改为 3，禁止 X-Window 启动时启动1.1.5 Banner 与屏幕保护1.1.5.1 隐藏系统提示信息检查目的检查是否隐藏系统提示信息检测依据检测对象检测方法工具检测 /人工核查检查流程（流程图）1、使用如下命令：cat /etc/rc.d/rc.local cat /etc/issue 2、显示已注释住处信息。检查结果漏洞等级加固建议1、在缺省情况下， 当登录到 linux 系统，它会告诉该 linux 发行版的名称、版本、内核版本、服务器的名称。2、编辑 /etc/rc.d/rc.local 文件，在下面显示的这些行前加一个#，把输出信息的命令注释掉。