linux系统安全加固手册 094213.docx

《linux系统安全加固手册 094213.docx》由会员分享，可在线阅读，更多相关《linux系统安全加固手册 094213.docx（17页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Linuux系统统安全加加固手册册1.安装装最新安安全补丁丁:项目:注释:1安装操作作系统提提供商发发布的最最新的安安全补丁丁各常见的的Linnux发发布安全全信息的的webb地址:RedHHat Linnux: htttp:/wwww.reddhatt.coom/ssuppportt/Caldderaa OppenLLinuux: htttp:/wwww.ccaldderaasysstemms.ccom/suppporrt/ssecuuritty/Coneectiiva Linnux: htttp:/wwww.connecttivaa.coom.bbr/aatuaalizzacooes/De

2、biian GNUU/Liinuxx: htttp:/wwww.debbiann.orrg/ssecuuritty/Manddrakke LLinuxx: hhttpp:/wwww.liinuxx-maandrrakee.coom/een/ffupddatees.pphp33LinuuxPPPC: htttp:/wwww.llinuuxpppc.ccom/suppporrt/uupdaatess/seecurrityy/S.u.S.EE. : htttp:/wwww.susse.dde/ssecuuritty/iindeex.hhtmllYelllow Dogg Liinuxx : htttp

3、:/wwww.yyelllowddogllinuux.ccom/ressourrcess/errratta.sshtmml2.网络络和系统统服务:inettd/xxineetd网网络服务务:设置项注释:1确保只有有确实需需要的服服务在运运行:先把所有有通过iinetted/xinneteed运行行的网络络服务关关闭,再再打开确确实需要要的服务务绝大多数数通过iinettd/xxineetd运运行的网网络服务务都可以以被禁止止,比如如echho, exeec, loggin, shhelll,whho,ffingger等等.对于于tellnett, rr系列服服务, ftpp等, 强烈建建议使用

4、用SSHH来代替替.2设置xiinettd访问问控制在/ettc/xxineetd.connf文件件的”deffaullt ”块中加加入如下下行:onlyy_frrom=/ / 每个/(比比如1992.1168.1.00/244)对表表示允许许的源地地址启动服务务:设置项注释:1关闭NFFS服务务器进程程:运行 cchkcconffig nfss offfNFS通通常存在在漏洞会会导致未未授权的的文件和和系统访访问.2关闭NFFS客户户端进程程:运行 cchkcconffig nfsslocck ooffchkcconffig auttofss offf3关闭NIIS客户户端进程程:chkcc

5、onffig ypbbindd offfNIS系系统在设设计时就就存在安安全隐患患4关闭NIIS服务务器进程程:运行 cchkcconffig ypsservv offfchkcconffig ypppassswd offf5关闭其它它基于RRPC的的服务:运行 cchkcconffig porrtmaap ooff基于RPPC的服服务通常常非常脆脆弱或者者缺少安安全的认认证,但但是还可可能共享享敏感信信息.除除非确实实必需,否则应应该完全全禁止基基于RPPC的服服务.6关闭SMMB服务务运行 cchkcconffig smbb offf除非确实实需要和和Winndowws系统统共享文文件,否

6、否则应该该禁止该该服务.7禁止Neetfss脚本chkcconffig nettfs offf如果不需需要文件件共享可可禁止该该脚本8关闭打印印机守护护进程chkcconffig lpdd offf如果用户户从来不不通过该该机器打打印文件件则应该该禁止该该服务.Uniix的打打印服务务有糟糕糕的安全全记录.9关闭启动动时运行行的 XX Seerveersed s/id:5:iinittdeffaullt:/id:3:iinittdeffaullt:/ /eetc/iniittaab.nnewmv /etcc/innitttab.neww /eetc/iniittaabchowwn rroott

7、:rooot /ettc/iinitttabbchmood 006000 /eetc/iniittaab对于专门门的服务务器没有有理由要要运行XX Seerveer, 比如专专门的WWeb服服务器10关闭Maail Serrverrchkcconffig posstfiix ooff多数Unnix/Linnux系系统运行行Senndmaail作作为邮件件服务器器, 而而该软件件历史上上出现过过较多安安全漏洞洞,如无无必要,禁止该该服务11关闭Weeb SServverchkcconffig htttpd offf可能的话话,禁止止该服务务.12关闭SNNMPchkcconffig snmmpd

8、 offf如果必需需运行SSNMPP的话,应该更更改缺省省的coommuunitty sstriing13关闭DNNS SServverchkcconffig nammed offf可能的话话,禁止止该服务务14关闭 DDataabasse SServverchkcconffig posstgrresqql ooffLinuux下常常见的数数据库服服务器有有Myssql, Poostggre, Orraclle等, 没有有必要的的话,应应该禁止止这些服服务15关闭路由由守护进进程chkcconffig rouutedd offfchkcconffig gatted offf组织里仅仅有极少少数

9、的机机器才需需要作为为路由器器来运行行.大多多数机器器都使用用简单的的”静态路路由”, 并并且它不不需要运运行特殊殊的守护护进程16关闭Weebmiin远程程管理工工具chkcconffig webbminn offfWebmmin是是一个远远程管理理工具,它有糟糟糕的认认证和会会话管理理历史, 所以以应该谨谨慎使用用17关闭Sqquidd Weeb CCachhechkcconffig squuid offf如果必需需使用, 应该该谨慎配配置18可能的话话禁止iinettd/xxineetdchkcconffig ineetd offf 或chkcconffig xinnetdd offf如

10、果没有有网络服服务通过过ineetd/xinnetdd运行则则可以禁禁止它们们19设置守护护进程掩掩码cd /etcc/rcc.d/iniit.ddif greep -l uumassk ffuncctioons = ; thhenechoo uumassk 0022 fuuncttionnsfi系统缺省省的ummaskk 值应应该设定定为0222以避避免守护护进程创创建所有有用户可可写的文文件3.核心心调整:设置项注释:1禁止coore dummp:cat /eetc/seccuriity/limmitss.coonf* sooft corre 00* haard corre 00END_E

11、NTTRIEES允许coore dummp会耗耗费大量量的磁盘盘空间.2限制NFFS客户户端使用用特权端端口:perll -ii.orrig -pee nexxt iif (/s*#/ | /ss*$/);($rees, hsst) = sspliit( );foreeachh $eent (hhst) undeef(%sett);($opptliist) = $ennt = /(.*?)/;foreeachh $oopt (spplitt(/,/, $opptliist) $sett$oopt = 1;deleete($seetinssecuure);$settssecuure = 1;$e

12、ntt = s/(.*?)/;$entt .= ( . jooin(, kkeyss(%sset) . );$hstt0 = (ssecuure) uunleess (hhst);$_ = $resst . joiin( , hhst) . nn; /etcc/exxporrts可以防止止非特权权用户发发起的aautoomouutedd NFFS攻击击.3网络参数数调整:cat /eetc/syssctll.coonfnet.ipvv4.iip_fforwwardd = 0net.ipvv4.cconff.alll.aacceept_souurcee_rooutee = 0net.ipvv4.

13、ttcp_maxx_syyn_bbackklogg = 40996net.ipvv4.cconff.alll.rrp_ffiltter = 11END_SCRRIPTTcat /eetc/syssctll.coonfnet.ipvv4.cconff.alll.ssendd_reedirrectts = 0net.ipvv4.cconff.alll.aacceept_reddireectss = 0net.ipvv4.cconff.deefauult.accceptt_reedirrectts = 0END_SCRRIPTTchowwn rroott:rooot /ettc/ssyscctl.c

14、onnfchmood 006000 /eetc/syssctll.coonf详见: htttp:/wwww.llinuuxhqq.coom/kkernnel/v2.4/ddoc/nettworrkinng/iip-ssyscctl.txtt.httml或htttp:/wwww.llinuuxhqq.coom/kkernnel/v2.2/dooc/nnetwworkkingg/ipp-syyscttl.ttxt.htmml4.日志志系统:设置项注释:1捕捉发送送给AUUTH 和AUUTHPPRIVV faacillityy的消息息到日志志文件/varr/loog/ssecuure:if ggre

15、pp -cc aauthh. /eetc/sysslogg.coonf -eeq 00 thennechoo -ee aauthh.*ttttt/vvar/logg/seecurre /eetc/sysslogg.coonffiif ggrepp -cc aauthhpriiv. /etcc/syysloog.cconff eeq 00 thennechoo -ee aauthhpriiv.*ttttt/varr/loog/ssecuure /eetc/sysslogg.coonffitoucch /varr/loog/ssecuurechowwn rroott:rooot /vaar/llo

16、g/seccureechmood 6600 /vaar/llog/seccuree.sysslogg中的AAUTHH 和AAUTHHPRIIV ffaciilitty包含含了大量量安全相相关的信信息, 不是所所有Liinuxx发布都都记录这这些日志志信息.应该把把这些信信息记录录到/vvar/logg/seecurre文件件中(该该文件仅仅超级用用户可读读)5.文件件/目录录访问许许可权限限:检查项注释:1对/ettc/ffstaab中的的可移动动介质增增加”nossuidd”选项:awk ($2 /mm.*/(fflopppy|cdrrom)$/ & $3 != suppermmounnt)

17、 $44 = sprrinttf(%s,nossuidd, $4) ; prrintt /eetc/fsttab /eetc/fsttab.newwmv /etcc/fsstabb.neew /etcc/fsstabbchowwn rroott:rooot /ettc/ffstaabchmood 006444 /eetc/fsttab可以移动动介质是是引入恶恶意代码码的一个个重要途途径.该该设置可可以防止止普通用用户通过过CDRROM或或软盘引引入SUUID程程序2禁止普通通用户来来mouunt可可移动文文件系统统:cd /etcc/seecurrityyegreep -v (fllopppy

18、|ccdroom) coonsoole.perrms coonsoole.perrms.newwmv cconssolee.peermss.neew cconssolee.peermssgrepp -vv suuperrmouunt /ettc/ffstaab /eetc/fsttab.newwmv /etcc/fsstabb.neew /etcc/fsstabbchowwn rroott:rooot connsolle.ppermms /etcc/fsstabbchmood 006000 coonsoole.perrmschmood 006444 /eetc/fsttab在基于LLinuux

19、的发发布中普普通用户户在控制制台上有有更大的的权限, 可以以使用CCD-RROM和和软盘驱驱动器.甚至在在一些发发布,比比如Maandrrakee Liinuxx上当在在机器上上插入软软盘或光光碟时系系统会通通过suuperrmouunt来来自动mmounnt这些些驱动器器.3对passswdd, sshaddow, 和ggrouup文件件设置正正确的许许可权限限:cd /etccchowwn rroott:rooot passswdd shhadoow ggrouupchmood 6644 passswdd grrouppchmood 4400 shaadoww这些文件件的属主主和组应应该为

20、rroott, ppassswd和和grooup文文件的许许可权限限应该为为6444,shhadoow文件件的许可可权限应应该为44004对临时目目录设置置粘着位位:chmood +t /tmppfindd /vvar -tyype d -perrm -02222 -xdeev -exeec cchmood +t ;临时目录录不设置置粘着位位会导致致普通用用户可以以任意删删除其它它用户建建立的临临时文件件5查找未认认证的SSUIDD/SGGID可可程序:for parrt iin awkk ($3 = exxt2 | $33 = “eext33”) prrintt $22 /eetc/fstt

21、abdofindd $ppartt ( -ppermm -0040000 -o -perrm -020000 ) -typpe ff -xxdevv -pprinntdonee6.系统统访问, 认证证和授权权:检查项注释:1在PAMM配置文文件中删删除.rrhossts支支持:for fille iin echho /etcc/paam.dd/* ; dogrepp -vv rhhostts_aauthh $ffilee $ffilee.nnewmv $fiile.neew $fillechowwn rroott:rooot $fiilechmood 6644 $fiiledonee禁止.rr

22、hosst支持持有助于于防止用用户搞乱乱系统正正常的访访问控制制机制2删除/eetc/hossts.equuiv文文件:rm /etcc/hoostss.eqquivv/etcc/hoostss.eqquivv文件为为系统上上的所有有用户设设置全局局信任关关系,于于.rhhostt的作用用类似.3校验/eetc/ftppuseers文文件的内内容, 确认rroott和系统统用户存存在在该该文件中中/etcc/fttpusserss文件列列出了所所有禁止止使用fftp的的用户的的名单,通常rroott和系统统用户都都应该禁禁止使用用ftpp4限制 aat/ccronn给授权权的用户户:cd /e

23、tcc/rm -f ccronn.deeny at.dennyechoo rooot crron.alllowechoo rooot att.alllowwchowwn rroott:rooot croon.aalloow aat.aalloowchmood 4400 croon.aalloow aat.aalloowCronn.allloww和att.allloww文件列列出了允允许允许许croontaab和aat命令令的用户户名单, 在多多数系统统上通常常只有系系统管理理员才需需要运行行这些命命令5Cronntabb文件限限制访问问权限:chowwn rroott:rooot /ettc/

24、ccronntabbchmood 4400 /ettc/ccronntabbchowwn -R rroott:rooot /vaar/sspoool/ccronnchmood -R ggo-rrwx /vaar/sspoool/ccronnchowwn -R rroott:rooot /ettc/ccronn.*chmood -R ggo-rrwx /ettc/ccronn.*系统的ccronntabb文件应应该只能能被crron守守护进程程(它以以超级用用户身份份运行)来访问问,一个个普通用用户可以以修改ccronntabb文件会会导致他他可以以以超级用用户身份份执行任任意程序序6建立恰当当

25、的警告告bannnerr:echoo AAuthhoriizedd usses onlly. Alll acctivvityy maay bbe moniitorred andd reeporrtedd. /etcc/mootdchowwn rroott:rooot /ettc/mmotddchmood 6644 /ettc/mmotddcat /ettc/rrc.dd/rcc.loocallechoo AAuthhoriizedd usses onlly. Alll acctivvityy maay bbe moniitorred andd reeporrtedd. /ettc/iissuu

26、eechoo AAuthhoriizedd usses onlly. Alll acctivvityy maay bbe moniitorred andd reeporrtedd. /ettc/iissuue.nnetEND改变登录录bannnerr可以隐隐藏操作作系统类类型和版版本号和和其它系系统信息息,这些些信息可可以会对对攻击者者有用.7限制rooot登登录到系系统控制制台:cat /ettc/ssecuuretttytty11tty22tty33tty44tty55tty66END_FILLEchowwn rroott:rooot /ettc/ssecuuretttychmood 44

27、00 /ettc/ssecuurettty通常应该该以普通通用户身身份访问问系统,然后通通过其它它授权机机制(比比如suu命令和和suddo)来来获得更更高权限限,这样样做至少少可以对对登录事事件进行行跟踪8设置LIILO/GRUUB口令令:在/ettc/lliloo.coonf文文件的开开头加入入如下行行:resttriccteddpasssworrd=以rooot身份份执行如如下命令令:chowwn rroott:rooot /ettc/lliloo.coonfchmood 6600 /ettc/lliloo.coonfliloo对于GRRUB:加入本行行到/eetc/gruub.ccon

28、ff:passsworrd 以rooot身份份执行如如下命令令:chowwn rroott:rooot /ettc/ggrubb.coonfchmood 6600 /ettc/ggrubb.coonf可以有助助于防止止基于控控制台的的物理攻攻击7.用户户账号和和环境:检查项注释:1清除或锁锁定系统统账号:for useer iin uuucpp opperaatorrdo/usrr/sbbin/useerdeel $useerdoneefor useer iin aadm aliias apaachee axxfrddns binn daaemoon ddhcppd dnsccachhe dd

29、nsllog ftpp gaamess gddm ggophher hallt hhtdiig iidennt lp mmaill maailnnulll naamedd neews nobbodyy nsscd posstfiix posttgrees qqmaiild qmaailll qmmaillp qqmaiilq qmaailrr qmmaills rpc rpccuseer ssquiid ssymppa ssyncc tiinyddns xfssdo/usrr/sbbin/useermood -L -s /devv/nuull $usserdoneeUucpp和opperaat

30、orr账号通通常是不不需要的的,可以以把它们们从paasswwd和sshaddow文文件中删删除,其其它账号号视具体体情况而而定.要要锁定一一个账号号,可以以把该账账号的sshelll改为为一个无无效的sshelll, 比如/devv/nuullq验证没有有遗留下下来的+条目存存在于ppassswd,shaadoww,grroupp文件中中:grepp +: /etcc/paasswwd /etcc/shhadoow /etcc/grroupp这些条目目可能会会给攻击击者提供供一个途途径来取取得系统统的访问问权限,如果存存在的化化应该删删除2验证是否否有账号号存在空空口令的的情况:awk -F

31、: ($2 = ) priint $1 /ettc/sshaddow所有账号号应该有有一个强强口令或或者使用用类似”NP”或”*LOOCKEED*”的口令令字串来来锁定账账号3检查除了了rooot以外外是否还还有其它它账号的的UIDD为0:awk -F: ($3 = 0) pprinnt $1 /etcc/paasswwd任何UIID为00的账号号在系统统上都具具有超级级用户权权限.4检查rooot用用户的$PATTH中是是否有.或者所所有用户户/组用用户可写写的目录录超级用户户的$PPATHH设置中中如果存存在这些些目录可可能会导导致超级级用户误误执行一一个特洛洛伊木马马5删除属于于rooo

32、t用户户的具有有潜在危危险的文文件:rm -f /.rrshhostts /.neetrcc /rroott/.rshossts /rooot/.neetrcc/.rhhostt, /.neetrcc 或 /rooot/.rhhostt , /rooot/.neetrcc文件都都具有潜潜在的危危险6用户的hhomee目录许许可权限限是否为为7555或更严严格的限限制:for dirr inn awkk -FF: ($33 = 5000) pprinnt $6 /etcc/paasswwddochmood ggo-ww $ddirdonee用户hoome目目录的许许可权限限限制不不严可能能会导致

33、致恶意用用户读/修改/删除其其它用户户的数据据或取得得其它用用户的系系统权限限7是否有用用户的点点文件是是所有用用户可读读的:for dirr inn awkk -FF: ($33 = 5000) pprinnt $6 /etcc/paasswwddofor fille iin $dirr/.A-ZZa-zz0-99*doif -ff $ffilee ; thhenchmood oo-w $fiilefidoneedoneeUnixx/Liinuxx下通常常以”.”开头的的文件是是用户的的配置文文件,如如果存在在所有用用户可读读/写的的配置文文件可能能会使恶恶意用户户能读/写其它它用户的的数据

34、或或取得其其它用户户的系统统权限8删除用户户的.nnetrrc文件件:for dirr inn ccut -f66 -dd: /etcc/paasswwddorm -f $dirr/trc文文件中可可能会包包含未加加密的口口令9为用户设设置合适适的缺省省umaask值值:cd /etccfor fille iin pproffilee cssh.llogiin ccsh.cshhrc basshrccdoif ggrepp -cc ummaskk $ffilee -eq 0 ;thennechoo uumassk 0022 $ffileefichowwn rroott:rooot $fiilechmood 4444 $fiiledonee为用户设设置缺省省的ummaskk值有助助于防止止用户建建立所有有用户可可写的文文件而危危及用户户的数据据.8.关键键安全工工具的安安装:检查项注释:1安装SSSHSSH是是一个使使用加密密连接的的安全的的远程管管理/数数据传输输协议.它可以以用来替替代teelneet, r命令令,fttp等传传统的不不安全的的协议/命令.SSHH的最新新实现软软件可以以在 ftpp:/ftpp.sssh.ccom下下载2安装NTTPNTP(网络时时间协议议)用于于使网络络上的多多个系统统间的时时间同步步,精确确的系统统时间有有利于保保证系统统日志的的准确性性.