. .

PAGE

word版本

PAGE 2

目 錄

TOC \o "1-3" \h \z \u LINUX加固方案 1

1.安裝最新安全補丁 4

2.網(wǎng)絡和系統(tǒng)服務 4

3.核心調(diào)整 6

4.日志系統(tǒng) 7

5.文件/目錄訪問許可權(quán)限 7

6.系統(tǒng)訪問, 認證和授權(quán) 8

7.用戶賬號和環(huán)境 10

8.關(guān)鍵安全工具的安裝 11

1.安裝最新安全補丁

項目:

注釋:

1

安裝操作系統(tǒng)提供商發(fā)布的最新的安全補丁

各常見的Linux發(fā)布安全信息的web地址:

RedHat Linux: /support/

Caldera OpenLinux: /support/security/

Conectiva Linux: .br/atualizacoes/

Debian GNU/Linux: /security/

Mandrake Linux: /en/fupdates.php3

LinuxPPC: /support/updates/security/

S.u.S.E. : http://www.suse.de/security/index.html

Yellow Dog Linux : /resources/errata.shtml

2.網(wǎng)絡和系統(tǒng)服務

inetd/xinetd網(wǎng)絡服務:

設(shè)置項

注釋:

1

確保只有確實需要的服務在運行:

先把所有通過ineted/xineted運行的網(wǎng)絡服務關(guān)閉,再打開確實需要的服務

絕大多數(shù)通過inetd/xinetd運行的網(wǎng)絡服務都可以被禁止,比如echo, exec, login, shell,who,finger等.對于telnet, r系列服務, ftp等, 強烈建議使用SSH來代替.

2

設(shè)置xinetd訪問控制

在/etc/xinetd.conf文件的”default {}”塊中加入如下行:

only_from=// …

每個/(比如/24)對表示允許的源地址

啟動服務:

設(shè)置項

注釋:

1

關(guān)閉NFS服務器進程:

運行 chkconfig nfs off

NFS通常存在漏洞會導致未授權(quán)的文件和系統(tǒng)訪問.

2

關(guān)閉NFS客戶端進程:

運行 chkconfig nfslock off

chkconfig autofs off

3

關(guān)閉NIS客戶端進程:

chkconfig ypbind off

NIS系統(tǒng)在設(shè)計時就存在安全隱患

4

關(guān)閉NIS服務器進程:

運行 chkconfig ypserv off

chkconfig yppasswd off

5

關(guān)閉其它基于RPC的服務:

運行 chkconfig portmap off

基于RPC的服務通常非常脆弱或者缺少安全的認證,但是還可能共享敏感信息.除非確實必需,否則應該完全禁止基于RPC的服務.

6

關(guān)閉SMB服務

運行 chkconfig smb off

除非確實需要和Windows系統(tǒng)共享文件,否則應該禁止該服務.

7

禁止Netfs腳本

chkconfig netfs off

如果不需要文件共享可禁止該腳本

8

關(guān)閉打印機守護進程

chkconfig lpd off

如果用戶從來不通過該機器打印文件則應該禁止該服務.Unix的打印服務有糟糕的安全記錄.

9

關(guān)閉啟動時運行的 X Server

sed 's/id:5:initdefault:/id:3:initdefault:/' \

< /etc/inittab > /etc/inittab.new

mv /etc/inittab.new /etc/inittab

chown root:root /etc/inittab

chmod 0600 /etc/inittab

對于專門的服務器沒有理由要運行X Server, 比如專門的Web服務器

10

關(guān)閉Mail Server

chkconfig postfix off

多數(shù)Unix/Linux系統(tǒng)運行Sendmail作為郵件服務器, 而該軟件歷史上出現(xiàn)過較多安全漏洞,如無必要,禁止該服務

11

關(guān)閉Web Server

chkconfig httpd off

可能的話,禁止該服務.

12

關(guān)閉SNMP

chkconfig snmpd off

如果必需運行SNMP的話,應該更改缺省的community string

13

關(guān)閉DNS Server

chkconfig named off

可能的話,禁止該服務

14

關(guān)閉 Database Server

總結(jié)

以上是生活随笔為你收集整理的linux主机安全加固,linux主机安全加固方案.doc的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。