UNIX系统安全培训.ppt

《UNIX系统安全培训.ppt》由会员分享，可在线阅读，更多相关《UNIX系统安全培训.ppt（201页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、UNIX操作系统安全操作系统安全v1.0.0.0版本控制版本日期参与人员更新说明1.0.0.02009-4-20郭强拟制和创建版本控制版本控制目录n第一章第一章 UNIXUNIX安全基础知识安全基础知识n第二章第二章 LinuxLinux主机安全运行主机安全运行n第三章第三章 SolarisSolaris主机安全运行主机安全运行n第四章第四章 AIXAIX主机安全运行主机安全运行 第五章第五章 HP-UXHP-UX主机安全运行主机安全运行 第六章第六章 UNIXUNIX常见应用服务安全常见应用服务安全 第七章第七章 UNIXUNIX异常检查异常检查第一章第一章UNIXUNIX安全基础知识安全基

2、础知识目录 1.1.1 1 文件完整性文件完整性文件完整性文件完整性审计审计 1.1.3 3 安全安全安全安全补补丁丁丁丁审计审计 1.1.4 4 端口端口端口端口审计审计 1.1.5 5 进进程程程程审计审计 1.1.2 2 帐户帐户、口令、口令、口令、口令审计审计 1.1.6 6 系系系系统统日志日志日志日志审计审计文件完整性审计-原理通过通过HashHash函数计算得到每个文件的数字文摘函数计算得到每个文件的数字文摘MD5MD5SHASHA每次检查时，它重新计算文件的数字文摘并将它每次检查时，它重新计算文件的数字文摘并将它与数据库中的值相比较与数据库中的值相比较不同，则文件已被修改，若相

3、同，文件则未发生不同，则文件已被修改，若相同，文件则未发生变化。变化。文件完整性审计-意义检测系统关键文件变化情况检测系统关键文件变化情况检测各种误操作导致的系统变化检测各种误操作导致的系统变化在事件发生后，快速恢复系统的依据在事件发生后，快速恢复系统的依据发现系统隐藏的后门发现系统隐藏的后门BACKDOORBACKDOORROOTKITROOTKITLKMLKM文件完整性审计-安全周期文件完整性审计-手段TripwireTripwire最成熟的商业文件完整性审计工具最成熟的商业文件完整性审计工具支持各种操作系统甚至网络设备支持各种操作系统甚至网络设备CSCS结构方便集中管理和配置结构方便集中

4、管理和配置结果存放于数据库结果存放于数据库MD5SUMMD5SUM最通用的免费的完整性审计工具最通用的免费的完整性审计工具简单易用简单易用只能对单一文件进行审计只能对单一文件进行审计AIDEAIDEfree,GPLfree,GPL支持各种操作系统支持各种操作系统文件完整性审计-部署逻辑图文件完整性审计-其他工具MD5SUM$md5sum*$md5sum*98343c7ee558fc6cc19cd5319c44f3d5*README-WIN3298343c7ee558fc6cc19cd5319c44f3d5*README-WIN322bf260615d34d7d46392e21b82b195b4

5、*nmap-os-fingerprints2bf260615d34d7d46392e21b82b195b4*nmap-os-fingerprints8975f7180e8f8735867e49cf3ebed5c3*nmap-protocols8975f7180e8f8735867e49cf3ebed5c3*nmap-protocolsa365edeebbafaeca057397c19cf94c2d*nmap-rpca365edeebbafaeca057397c19cf94c2d*nmap-rpc717a6cdbf5feb73617471cd041c45580*nmap-service-prob

6、es717a6cdbf5feb73617471cd041c45580*nmap-service-probes43dca708961769cb09780c9eba8b8712*nmap-services43dca708961769cb09780c9eba8b8712*nmap-servicesb00bd7728c6e7d3e9a37ad84147dd983*nmap.exeb00bd7728c6e7d3e9a37ad84147dd983*nmap.exe5d6ecce781323aec8c58b0de1a3e6888*nmap_performance.reg5d6ecce781323aec8c5

7、8b0de1a3e6888*nmap_performance.reg文件完整性审计-其他工具SUNSUN网站提供网站提供md5md5提交、验证页面提交、验证页面http:/ 加密后的用户密码加密后的用户密码MD5-basedMD5-basedStandard DES-basedStandard DES-basedDouble-length DES-basedDouble-length DES-basedBSDIs extended DES-basedBSDIs extended DES-basedFreeBSDs MD5-basedFreeBSDs MD5-basedOpenBSDs Blow

8、fish-basedOpenBSDs Blowfish-basedAFSAFS用户、弱口令审计-意义发现系统中无用、默认的用户发现系统中无用、默认的用户发现使用弱密码的用户发现使用弱密码的用户检查密码策略实施情况检查密码策略实施情况发现系统中的后门帐户发现系统中的后门帐户用户、弱口令审计-手段手工手工直接查看系统用户数据库，人工简单判断直接查看系统用户数据库，人工简单判断JOHN最通用的最通用的UNIX密码破解软件密码破解软件有各种常见操作系统下的版本有各种常见操作系统下的版本可以破解各种常见操作系统的用户数据库可以破解各种常见操作系统的用户数据库外加软件也可以实现分布式外加软件也可以实现分布

9、式用户、弱口令审计-手段手工检查手工检查Solariscat/etc/passwdcat/etc/passwdcat/etc/shadow cat/etc/shadow（AIX AIX/etc/security/passwd/etc/security/passwd）passwdUSER:x:UID:GID:HOME:SHELLUSER:x:UID:GID:HOME:SHELLx为用户未锁定，:为空密码，*/*LK*为锁定UID/GID 0为root常见可登陆shell/bin/sh/bin/bash/bin/ksh ShadowUSER:USER:加密过的密码加密过的密码:UNIX系统帐号安全

10、PasswdPasswd文件剖析文件剖析 name:coded-passwd:UID:GID:user-info:home-name:coded-passwd:UID:GID:user-info:home-directory:shelldirectory:shell 7 7个域中的每一个由冒号隔开。个域中的每一个由冒号隔开。namename给用户分配的用户名。给用户分配的用户名。Coded-passwdCoded-passwd经过加密的用户口令。如果一个系统管经过加密的用户口令。如果一个系统管理员需要阻止一个用户登录，则经常用一个星号（理员需要阻止一个用户登录，则经常用一个星号（:*:*:）代

11、替。该域通常不手工编辑。）代替。该域通常不手工编辑。UIDUID用户的唯一标识号。习惯上，小于用户的唯一标识号。习惯上，小于100100的的UIDUID是为系是为系统帐号保留的。统帐号保留的。UNIX系统帐号安全GIDGID用户所属的基本分组。通常它将决定用户创建用户所属的基本分组。通常它将决定用户创建文件的分组拥有权。文件的分组拥有权。User_infoUser_info习惯上它包括用户的全名。邮件系统和习惯上它包括用户的全名。邮件系统和fingerfinger这样的工具习惯使用该域中的信息。这样的工具习惯使用该域中的信息。home-directoryhome-directory该域指明用户

12、的起始目录，它是该域指明用户的起始目录，它是用户登录进入后的初始工作目录。用户登录进入后的初始工作目录。shellshell该域指明用户登录进入后执行的命令解释器该域指明用户登录进入后执行的命令解释器所在的路径。注意可以为用户在该域中赋一个所在的路径。注意可以为用户在该域中赋一个/bin/false/bin/false值，这将阻止用户登录。值，这将阻止用户登录。UNIX帐号安全（shadow文件）UNIX系统帐号安全上一次修改口令的日期，以从上一次修改口令的日期，以从19701970年年1 1月月1 1日开始的天数表示。日开始的天数表示。口令在两次修改间的最小天数。口令在建立后必须更改的天口令

13、在两次修改间的最小天数。口令在建立后必须更改的天数。数。口令更改之前向用户发出警告的天数。口令更改之前向用户发出警告的天数。口令终止后帐号被禁用的天数。口令终止后帐号被禁用的天数。自从自从19701970年年1 1月月1 1日起帐号被禁用的天数。日起帐号被禁用的天数。保留域。保留域。UNIX系统帐号安全缺省帐号缺省帐号UNIX系统帐号安全禁用和删除帐号：禁用和删除帐号：禁用帐号最快的方式是在禁用帐号最快的方式是在/etc/passwd/etc/passwd或影子口令或影子口令文件中用户加密口令的开始加一个星号（文件中用户加密口令的开始加一个星号（*）。该）。该用户将不能再次登录。用户将不能再次

14、登录。#userdel test#userdel test用户、弱口令审计-手段JOHNjohnpasswd一般运行一般运行john-wordfile:/usr/dict/words-rulespasswd加字加字典、自定义策略典、自定义策略john-showpasswd查看已破解密码查看已破解密码johnrestore恢复上次运行恢复上次运行用户、弱口令审计-注意事项密码文件要注意保存密码文件要注意保存有的系统用户数据库文件不是标准模式，需要手工有的系统用户数据库文件不是标准模式，需要手工或脚本进行转换或脚本进行转换不要轻易删除帐户、建议先锁定不要轻易删除帐户、建议先锁定帐户可能跟应用系统有

15、关帐户可能跟应用系统有关安全补丁审计-原理当前系统当前系统/应用的补丁升级，绝大部分是安全方面应用的补丁升级，绝大部分是安全方面的升级的升级系统系统/应用补丁后，即可修补当前已知的安全问题应用补丁后，即可修补当前已知的安全问题SUN定期（基本每周）会发布补丁集和包，包含定期（基本每周）会发布补丁集和包，包含所有补丁所有补丁AIX以以RecommendedMaintenancePackage+Hotfix方式提供方式提供最新为最新为14？安全补丁审计-意义得到系统得到系统/应用准确版本信息应用准确版本信息判断系统是否存在安全漏洞判断系统是否存在安全漏洞为下一步安全补丁的实施提供准确的依据为下一步

16、安全补丁的实施提供准确的依据安全补丁审计-手段系统版本系统版本uname-an系统本身支持补丁查看命令系统本身支持补丁查看命令SolarisshowdevpAIXoslevelrHP-UXswlist-lproductPH?_*应用补丁应用补丁/版本版本telnetipportNmap安全补丁审计-手段最新补丁列表取得方式最新补丁列表取得方式Solarishttp:/ 查看进程打开的文件查看进程打开的文件pflags-rpid|core查看进程的跟踪标志和信号状态查看进程的跟踪标志和信号状态pldd-Fpid|core 查看链接到进程上的动态链接查看链接到进程上的动态链接pmap-rxlFpi

17、d|core查看进程的地址空间映射表查看进程的地址空间映射表（详细检查进程占用了多少虚拟内存）（详细检查进程占用了多少虚拟内存）psigpid查看进程的信号查看进程的信号pstack-Fpid|core查看进程的十六进制查看进程的十六进制/符号形式符号形式的堆栈记录的堆栈记录ptimecommandargs.高精度地统计进程占用高精度地统计进程占用CPU的的时间时间/usr/proc/bin/ptree分层查看进程的所有子进程分层查看进程的所有子进程pwait-vpid 等待指定的进程终止等待指定的进程终止pwdxpid查看进程的当前工作目录查看进程的当前工作目录系统日志审计-原理系统日志记帐

18、的两个最主要守护进程系统日志记帐的两个最主要守护进程klogdsyslogd会监视基本上所有的系统动作。其中会监视基本上所有的系统动作。其中klogd主要记录一些系统内核动作。主要记录一些系统内核动作。syslogd，它可以接收访问系统的日志信息并且根据，它可以接收访问系统的日志信息并且根据/etc/syslog.conf配置文件中的指令处理这些信息。任配置文件中的指令处理这些信息。任何希望生成日志信息的程序都可向何希望生成日志信息的程序都可向syslog接口呼叫来接口呼叫来生成改信息。生成改信息。其他的一些日志其他的一些日志utmpd，wtmpd这两个进程来进行记帐的，然后通这两个进程来进行

19、记帐的，然后通过过utmppipe这个管道文件向这个管道文件向/var/adm/utmpx这个文这个文件写数据件写数据系统日志审计-意义观察系统的运行状态观察系统的运行状态发现系统运行中出现的错误报警发现系统运行中出现的错误报警观察程序的运行情况和用户的登陆情况，甚至运行观察程序的运行情况和用户的登陆情况，甚至运行的命令。的命令。发现系统被黑客攻击后残留的痕迹。发现系统被黑客攻击后残留的痕迹。系统日志审计-手段/var/adm/*messages系统核心的各种运行日志（认证、系统核心的各种运行日志（认证、inetd）sulog普通用户尝试普通用户尝试su成为其它用户的纪录成为其它用户的纪录ut

20、mp/utmpx不具可读性的，记录着当前登录不具可读性的，记录着当前登录在主机上的用户在主机上的用户,用用w，who等命令来看等命令来看wtmp，wtmps记录着所有登录过主机的用户，记录着所有登录过主机的用户，时间，来源等内容时间，来源等内容,也是不具可读性的用也是不具可读性的用last命令来命令来看看syslog一般记录一般记录mail事件事件系统日志审计-手段如果使用如果使用bash，则可查看用户运行过的命令，则可查看用户运行过的命令.bash_history额外的记帐功能额外的记帐功能需要执行需要执行/usr/lib/acct目录下的目录下的accton文件文件格式如下格式如下/usr

21、/lib/acct/accton/var/adm/pacct系统日志审计-注意事项日志可能被伪造日志可能被伪造最好系统配置为网络统一接收日志最好系统配置为网络统一接收日志可以使用一些日志分析软件进行深入挖掘可以使用一些日志分析软件进行深入挖掘系统日志审计-附加网络日志网络日志发送服务器作如下配置发送服务器作如下配置/etc/syslog.conf/etc/syslog.conf*.err;kern.debug;daemon.notice;mail.crit;*.err;kern.debug;daemon.notice;mail.crit;auth.notice 202.*.*.*auth.no

22、tice 202.*.*.*接收服务器作如下配置接收服务器作如下配置确定确定/etc/services/etc/services文件有文件有syslogsyslog修改修改/etc/rc.d/init.d/syslog/etc/rc.d/init.d/syslog文件文件（syslogd_optoinssyslogd_optoins“r”r”）修改修改/etc/syslog.conf/etc/syslog.conf文件，添加文件，添加*.*.*/var/log/*.log/var/log/*.log推荐使用商业或是推荐使用商业或是WINDOWSWINDOWS系统上使用的系统上使用的SYSLOG

23、SYSLOG收集收集软件软件文件权限文件权限的8进制表示属主属主,组组,其它分别其它分别以一个以一个8进制位进制位表示表示,其中其中:r-4w-2x-1例子:“-rwxr-x-”8进制表示为0750 0400020001000040000000100000-0750文件权限八进制数表示文件权限八进制数表示文件权限文件权限Chmod/chown/chgrpchmodchmod(改变权限）改变权限）#chmodo+rfile(用户（用户（u）、分组（）、分组（g）、其他（）、其他（0）)chownchown（改变拥有权）（改变拥有权）#chownuser1filechgrpchgrp（改变分组）（

24、改变分组）#chgrpgroup1file文件权限umaskumask值值当创建了一个新文件或目录时，它基于用户的权当创建了一个新文件或目录时，它基于用户的权限屏蔽限屏蔽“umaskumask”来确定缺省的权限设置。来确定缺省的权限设置。chmodchmod命令用来声明要打开的权限，而命令用来声明要打开的权限，而umaskumask命命令用来指明要禁止的权限。令用来指明要禁止的权限。它用一个简单的三位数变元来声明在一个文件或它用一个简单的三位数变元来声明在一个文件或目录被创建时应该被禁止的访问权限目录被创建时应该被禁止的访问权限或被屏或被屏蔽的。蔽的。umaskumask主要在系统范围及个人的

25、登录文件主要在系统范围及个人的登录文件.login.login或或.profile.profile中建立。中建立。文件权限应该设置应该设置rootroot用户的用户的umaskumask为为077077，这使其它用户不，这使其它用户不能读写能读写rootroot新创建的文件。新创建的文件。在多数系统中，在多数系统中，u m a s ku m a s k的缺省值是的缺省值是0 2 20 2 2。SUID和SGID文件SUIDSUID表示表示“设置用户设置用户IDID”，SGIDSGID表示表示“设置组设置组IDID”。当用。当用户执行一个户执行一个SUIDSUID文件时，用户文件时，用户IDID

26、在程序运行过程中被置为在程序运行过程中被置为文件拥有者的用户文件拥有者的用户IDID。如果文件属于。如果文件属于rootroot，那用户就成为，那用户就成为超级用户。同样，当一个用户执行超级用户。同样，当一个用户执行SGIDSGID文件时，用户的组文件时，用户的组被置为文件的组。被置为文件的组。UnixUnix实际上有两种类型的用户实际上有两种类型的用户IDID。“real user IDreal user ID”是在登录过程中建立的用户是在登录过程中建立的用户IDID。effective user IDeffective user ID是在登录后的会话过程中通过是在登录后的会话过程中通过SU

27、IDSUID和和SGIDSGID位来修改。位来修改。文件权限#find/-type f (-perm-4000-o-perm-2000)ls#find/-type f (-perm-4000-o-perm-2000)ls这告诉这告诉findfind列出所有设置了列出所有设置了SUIDSUID（“4000”4000”）或）或SGIDSGID（“2000”2000”）位的普通文件（）位的普通文件（“f”f”）。应该在每个本地系统中运）。应该在每个本地系统中运行它。行它。使用基于utmp/wtmp的命令whowho命令查询命令查询utmputmp文件并报告当前每个文件并报告当前每个登录的用户。登录的

28、用户。使用基于utmp/wtmp的命令w命令查询命令查询utmp文件并显示当前系统中每个用户和他文件并显示当前系统中每个用户和他所运行的进程信息。所运行的进程信息。标题栏显示当前时间、系统已运行了多长时间、当前标题栏显示当前时间、系统已运行了多长时间、当前有多少用户登录以及过去有多少用户登录以及过去1、5和和15分钟内的系统平均分钟内的系统平均负载。负载。日志子系统usersusers命令命令usersusers命令用单独一行打印出当前登录的用户，命令用单独一行打印出当前登录的用户，每个显示的用户名对应一个登录会话。如果一个每个显示的用户名对应一个登录会话。如果一个用户有不止一个登录会话，那他

29、的用户名将显示用户有不止一个登录会话，那他的用户名将显示相同的次数。相同的次数。$users$usersalice carol dave bobalice carol dave bob日志子系统 last命令往回搜索命令往回搜索wtmp来显示自从文件第来显示自从文件第一次创建后登录过的用户。它还报告终端类型一次创建后登录过的用户。它还报告终端类型和日期。和日期。日志子系统ac命令根据当前命令根据当前/var/log/wtmp文件中的登录进入和退出文件中的登录进入和退出来报告用户连接的时间（小时）。如果不使用标志，则报来报告用户连接的时间（小时）。如果不使用标志，则报告总的时间。告总的时间。$a

30、ctotal 136.25“-d”标志产生每天的总的连接时间。标志产生每天的总的连接时间。“-p”标志报告每个用户的总的连接时间标志报告每个用户的总的连接时间日志子系统lastcomm命令报告以前执行的命令。不带变元命令报告以前执行的命令。不带变元时，时，lastcomm命令显示当前统计文件生命周期命令显示当前统计文件生命周期内记录的所有命令的有关信息，包括命令名、用内记录的所有命令的有关信息，包括命令名、用户、户、tty、命令花费的、命令花费的CPU时间和一个时间戳。时间和一个时间戳。第二章第二章 Linux主机安全运行主机安全运行目录 2.2.1 1 帐帐号号号号、口令、口令、口令、口令

31、2.2.2 2 网网网网络络与与与与服服服服务务 2.2.3 3 日志日志日志日志 2.2.4 4 其他其他其他其他LINUX-账号、口令账号账号要求内容要求内容清除或锁定系统账号:操作指南操作指南1、参考配置操作cat/etc/passwd|awk-F:($3=0)print$1usermod-s/sbin/nologin haltLINUX-账号、口令账号账号要求内容要求内容为用户设置合适的缺省umask值:操作指南操作指南1、参考配置操作cd/etcfor file in profile csh.login csh.cshrc bashrcdoif grep-c umask$file-e

32、q 0;thenecho umask 022$filefichown root:root$filechmod 444$filedoneLINUX-账号、口令口令口令要求内容要求内容/etc/login.defs中设置口令策略操作指南操作指南1、参考配置操作在/etc/login.defs文件中定义，其中有四项相关内容：PASS_MAX_DAYS 密码最长时效（天）PASS_MIN_DAYS 密码最短时效（天）PASS_MIN_LEN 最短密码长度PASS_WARN_AGE 密码过期前PASS_WARN_AGE天警告用户编辑/etc/login.defs文件，设定：PASS_MAX_DAYS=9

33、0PASS_MIN_DAYS=0PASS_MIN_LEN=8PASS_WARN_AGE=30LINUX-网络与服务网络网络要求内容要求内容网络参数调整:操作指南操作指南1、参考配置操作cat/etc/sysctl.confnet.ipv4.ip_forward=0net.ipv4.conf.all.accept_source_route=0net.ipv4.tcp_max_syn_backlog=4096net.ipv4.conf.all.rp_filter=1END_SCRIPTcat/etc/sysctl.confnet.ipv4.conf.all.send_redirects=0net.

34、ipv4.conf.all.accept_redirects=0net.ipv4.conf.default.accept_redirects=0END_SCRIPTchownroot:root/etc/sysctl.confchmod0600/etc/sysctl.confLINUX-网络与服务网络连接访问控制网络连接访问控制要求内容要求内容网络连接访问控制的设置操作指南操作指南设置方法：1、使用iptable或ipchains进行网络访问控制2、使用xinetd本身的访问控制机制对xinetd启动的服务进行网络访问控制；xinetd可以在其配置文件中使用only_from和no_access

35、指令限制可以访问该服务的主机，tcpd的配置文件是/etc/hosts.allow和/etc/hosts.deny；具体配置方法参见manual。使用xinetd自带的访问控制机制控制对telnet服务的访问#default:on#description:The telnet server serves telnet sessions;it uses#unencrypted username/password pairs for authentication.service telnet disable=no flags =REUSE socket_type =stream wait =no

36、user =root server =/usr/sbin/in.telnetd log_on_failure +=USERID#allow access from host freebsd and network 172.16.0.0/24 only_from =freebsd 172.16.0.0/24#also allow access from host 192.168.0.159 only_from +=192.168.0.159#deny access from host freebsd if uncomment the following line#no_access =freeb

37、sdLINUX-网络与服务网络连接访问控制网络连接访问控制要求内容要求内容网络连接访问控制的设置操作指南操作指南设置方法：3、使用pam系统中的pam_access模块提供的访问控制机制；配置文件是/etc/security/access.conf，该文件中提供了该文件的语法。使用pam_access进行网络访问控制在pam文件中添加pam_access模块（以system-auth文件为例）#%PAM-1.0#This file is auto-generated.#User changes will be destroyed the next time authconfig is run.

38、auth required /lib/security/pam_env.soauth sufficient /lib/security/pam_unix.so likeauth nullokauth required /lib/security/pam_deny.soaccount required /lib/security/pam_access.soaccount required /lib/security/pam_unix.sopassword required /lib/security/pam_cracklib.so retry=3 type=difok=4 minlen=12 d

39、credit=1 ucredit=2 lcredit=2 ocredit=1password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadowpassword required /lib/security/pam_deny.sosession required /lib/security/pam_limits.sosession required /lib/security/pam_unix.soLINUX-网络与服务服务服务要求内容要求内容rc?.d中的服务设置 操作指南操作指南1、参考配置操作Linux的服

40、务主要由/etc/inittab和/etc/rc?.d/S*文件启动，事实上，/etc/inittab的主要任务是为每一个runlevel指定启动文件，从而启动/etc/rc?.d/S*文件。例如，在默认的运行级别3中系统将运行/etc/rc3.d/目录中所有S打头的文件。runlevel 检查当前运行级别（第一项是pre-runlevel，第二项是当前的runlevel）chkconfig list 检查所有级别中启动的服务情况chkconfig list|grep 3:on 检查某一级别（例如级别3）中启动的服务chkconfig sendmail off 将sendmail从启动目录中除

41、去LINUX-网络与服务服务服务要求内容要求内容/etc/xinetd.d中服务设置操作指南操作指南1、参考配置操作vi编辑/etc/xinetd.d/中的配置文件，在不需要启动的服务配置文件中添加disable=yes。建议关闭所有服务，如果管理需要，则可以打开telnetd和ftpd服务。使用vi编辑/etc/xinetd.d/rlogin文件，控制rlogin服务的启动状态#default:on#description:rlogind is the server for the rlogin(1)program.The server#provides a remote login fac

42、ility with authentication based on#privileged port numbers from trusted hosts.service login disable=yes socket_type =stream wait =no user =root log_on_success +=USERID log_on_failure +=USERID server =/usr/sbin/in.rlogindLINUX-网络与服务NFS服务服务要求内容要求内容NFS服务设置操作指南操作指南1、参考配置操作chkconfig-list nfs 显示NFS服务是否在系统

43、启动时启动/etc/init.d/nfs start|stop 启动|停止nfs服务showmount-e 显示本机输出的NFS文件系统mount 显示本机加载的文件系统（包括NFS文件系统）LINUX-网络与服务SNMP服务服务要求内容要求内容SNMP服务设置操作指南操作指南1、参考配置操作chkconfig-list snmpd显示snmpd服务是否在系统启动时启动chkconfig snmpd off 将snmpd服务从启动目录中去掉/etc/init.d/snmpd start|stop 启动|停止snmpd服务2、补充说明如果系统不需要SNMP服务，可以关闭该服务（使用chkconf

44、ig命令）；如果不能关闭，需要在/etc/snmp/snmpd.conf中指定不同的community name。LINUX-网络与服务SendmailSendmail服务服务要求内容要求内容Sendmail服务设置操作指南操作指南1、参考配置操作chkconfig-list sendmail显示sendmail服务是否在系统启动时启动chkconfig sendmail off 将sendmail服务从启动目录中去掉/etc/init.d/sendmail start|stop 启动|停止sendmail服务2、补充说明如果系统不需要Sendmail服务，可以关闭该服务（使用chkconfi

45、g命令）；如果不能关闭，将sendmail服务升级到最新，并在其配置文件/etc/sendmail.cf中指定不同banner LINUX-网络与服务DNS（Bind）服务服务要求内容要求内容DNS服务设置操作指南操作指南1、参考配置操作chkconfig-list named显示named服务是否在系统启动时启动chkconfig named off 将named服务从启动目录中去掉/etc/init.d/named start|stop 启动|停止named服务2、补充说明如果系统不需要DNS服务，可以关闭该服务（使用chkconfig命令）；如果不能关闭，将DNS服务升级到最新，并在其配

46、置文件修改版本号 LINUX-日志syslog文件文件要求内容要求内容syslog 文件设置操作指南操作指南1、参考配置操作对ssh、su登录日志进行记录：#vi/etc/syslog.conf 加入以下信息，使和登陆验证有关的日志信息记录到secure文件中#The authpriv file has restricted access.authpriv.*/var/log/secure重新启动syslogd：#/etc/init.d/syslog restart LINUX-日志日志系统日志系统要求内容要求内容日志系统设置操作指南操作指南1、参考配置操作捕捉发送给AUTH 和AUTHPRI

47、V facility的消息到日志文件/var/log/secure:if grep-c auth./etc/syslog.conf-eq 0 thenecho-e auth.*tttt/var/log/secure/etc/syslog.conffiif grep-c authpriv./etc/syslog.conf eq 0 thenecho-e authpriv.*tttt/var/log/secure/etc/syslog.conffitouch/var/log/securechown root:root/var/log/securechmod 600/var/log/secure L

48、INUX-其它文件文件/目录访问许可权限目录访问许可权限要求内容要求内容设置/etc/fstab中的可移动介质增加”nosuid”选项操作指南操作指南1、参考配置操作awk($2 /m.*/(floppy|cdrom)$/&$3!=supermount)$4=sprintf(%s,nosuid,$4);print /etc/fstab/etc/fstab.newmv/etc/fstab.new/etc/fstabchown root:root/etc/fstabchmod 0644/etc/fstab LINUX-其它文件文件/目录访问许可权限目录访问许可权限要求内容要求内容禁止普通用户来mo

49、unt可移动文件系统设置操作指南操作指南1、参考配置操作cd/etc/securityegrep-v(floppy|cdrom)console.perms console.perms.newmv console.perms.new console.permsgrep-v supermount/etc/fstab /etc/fstab.newmv/etc/fstab.new/etc/fstabchown root:root console.perms/etc/fstabchmod 0600 console.permschmod 0644/etc/fstab LINUX-其它文件文件/目录访问许可

50、权限目录访问许可权限要求内容要求内容设置passwd,shadow,和group文件正确的许可权限 操作指南操作指南1、参考配置操作cd/etcchown root:root passwd shadow groupchmod 644 passwd groupchmod 400 shadow LINUX-其它系统访问系统访问,认证和授权认证和授权要求内容要求内容设置PAM文件中删除.rhosts支持 操作指南操作指南1、参考配置操作for file in echo/etc/pam.d/*;dogrep-v rhosts_auth$file$file.newmv$file.new$filechow