收藏
下载资源下载资源 加入VIP,免费下载

Linux 安全配置规范.docx

上传人:b****7 文档编号:23985553 上传时间:2023-05-23 格式:DOCX 页数:39 大小:28.37KB
下载 相关 举报
Linux 安全配置规范.docx_第1页
第1页 / 共39页
Linux 安全配置规范.docx_第2页
第2页 / 共39页
Linux 安全配置规范.docx_第3页
第3页 / 共39页
Linux 安全配置规范.docx_第4页
第4页 / 共39页
Linux 安全配置规范.docx_第5页
第5页 / 共39页
点击查看更多>>
下载资源
资源描述

Linux 安全配置规范.docx

《Linux 安全配置规范.docx》由会员分享,可在线阅读,更多相关《Linux 安全配置规范.docx(39页珍藏版)》请在冰豆网上搜索。

Linux 安全配置规范.docx

Linux安全配置规范

1.概述

1.1.目的

本规范明确了Linux操作系统的安全配置方面的基本要求。

为了提高Linux操

作系统的安全性而提出的。

1.2.范围

本规范适用于*******系统使用的Linux操作系统版本。

1.3.概述

本文档以典型安装的RedHatLinux为对象撰写而成,其他版本如SUSELinux

均基本类似,根据具体情况进行适当修改即可。

文档中的操作需要以root用户登录至控制台进行,不推荐使用网络远程的方式

进行补丁及配置修改等加固操作。

部分操作需要重新启动服务器才会生效,注意某些数据库等应用需要先停止应

用,然后才可以重新启动。

加固之前首先应对系统中的重要文件及可能修改的文件进行备份,可参照使用

以下脚本

forfilein/etc/inetd.conf/etc/hosts.equiv\

/etc/ftpusers/etc/passwd/etc/shadow/etc/hosts.allow\

/etc/hosts.deny/etc/proftpd.conf\

/etc/rc.d/init.d/functions/etc/inittab\

/etc/sysconfig/sendmail/etc/security/limits.conf\

/etc/exports/etc/sysctl.conf/etc/syslog.conf\

/etc/fstab/etc/security.console.perms/root/.rhosts\

/root/.shosts/etc/shosts.equiv/etc/X11/xdm/Xservers\

/etc/X11/xinit/xserverrc/etc/X11/gdm/gdm.conf\

/etc/cron.allow/etc/cron.deny/etc/at.allow\

Linux安全配置规范

Page2of27

/etc/at.deny/etc/crontab/etc/motd/etc/issue\

/usr/share/config/kdm/kdmrc/etc/X11/gdm/gdm.conf\

/etc/securetty/etc/security/access.conf/etc/lilo.conf\

/etc/grub.conf/etc/login.defs/etc/group/etc/profile\

/etc/csh.login/etc/csh.cshrc/etc/bashrc\

/etc/ssh/sshd_config/etc/ssh/ssh_config\

/etc/cups/cupsd.conf/etc/{,vsftpd/}vsftpd.conf\

/etc/logrotate.conf/root/.bashrc/root/.bash_profile\

/root/.cshrc/root/.tcshrc/etc/vsftpd.ftpusers;do

[-f$file]&&/bin/cp$file$file-preCIS

done

fordirin/etc/xinetd.d/etc/rc[0123456].d\

/var/spool/cron/etc/cron.*/etc/logrotate.d/var/log\

/etc/pam.d/etc/skel;do

[-d$dir]&&/bin/cp-r$dir$dir-preCIS

done

Linux安全配置规范

Page3of27

2.安全配置规范

2.1.补丁

2.1.1.系统补丁

【影响】可能会导致某些服务功能异常或配置文件不兼容,做好原有操作系统

映像和配置文件的备份。

【具体配置】

系统内核版本使用uname-a查看。

软件版本和补丁使用rpm-qa查看。

使用up2date命令自动升级或去ftp:

//下载对应版本补丁手

工单独安装。

2.1.2.应用补丁

【说明】除RedHat官方提供的系统补丁之外,系统也应对根据开放的服务和

应用进行补丁,如APACHE、PHP、OPENSSL、MYSQL等应用进行补丁。

【具体配置】

具体升级方法:

首先确认机器上安装了gcc及必要的库文件。

然后去应用的官方网站下载对应的源代码包,如*.tar.gz

再解压

tarzxfv*.tar.gz

再根据使用情况对编译配置进行修改,或直接采用默认配置

cd*

./configure

再进行编译和安装

make

makeinstall

Linux安全配置规范

Page4of27

2.2.最小化xinetd网络服务

2.2.1.停止默认服务

【说明】Xinetd是旧的inetd服务的替代,他提供了一些网络相关服务的启动

调用方式。

Xinetd应禁止以下默认服务的开放:

chargenchargen-udpcups-lpd

daytimedaytime-udpechoecho-udpekloginfingergssftpimapimapsipop2ipop3krb5-

telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncserversservices

【具体配置】

停止一个服务

chkconfig服务名off

打开一个服务

chkconfig服务名on

也可以使用ntsysv命令进行服务开关调整

2.2.2.其他

【说明】对于xinet必须开放的服务,应该注意服务软件的升级和安全配置,

并推荐使用SSH和SSL对原明文的服务进行替换。

如果条件允许,可以使用系统

自带的iptables或tcp-wrapper功能对访问IP地址进行限制。

【具体配置】

Xinetd、SSH和SSL、防火墙配置参见对应系统的用户手册,此不详述。

2.3.最小化启动服务

2.3.1.设置daemon权限unmask

【说明】默认系统umask至少为022,以防止daemon被其他低权限用户修

改。

【具体配置】

vi修改/etc/rc.d/init.d文件,umask值为022。

同时检查/etc/rc.d/init.d中其他启动脚本权限是否为755。

Linux安全配置规范

Page5of27

2.3.2.关闭xinetd服务

【说明】如果前面第二章关闭xinetd服务中所列的服务,都不需要开放,则可

以直接关闭xinetd服务。

【具体配置】

chkconfig--level12345xinetdoff

2.3.3.关闭邮件服务

【说明】如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接

关闭邮件服务。

如果不需要作为邮件服务器,但是允许用户发送邮件,可以设置

Sendmail不运行在daemon模式。

【具体配置】

chkconfig--level12345sendmailoff

编辑/etc/sysconfig/senmail文件

增添以下行

DAEMON=no

QUEUE=1h

设置

cd/etc/sysconfig

/bin/chownroot:

rootsendmail

/bin/chmod644sendmail

2.3.4.关闭图形登录服务

【说明】一般来说,大部分软件的安装和运行都不需要图形环境。

如果不需要

图形环境进行登录和操作,可以关闭XWindows的运行。

【具体配置】

cp/etc/inittab/etc/inittab.bak

编辑/etc/inittab文件

修改id:

5:

initdefault:

行为id:

3:

initdefault:

chownroot:

root/etc/inittab

chmod0600/etc/inittab

如需要XWindows的时候,可运行startx命令启动图形界面。

2.3.5.关闭X字体服务器

【说明】如果关闭了XWindows服务,则Xfont服务器服务也应该进行关闭。

Linux安全配置规范

Page6of27

【具体配置】

chkconfigxfsoff

2.3.6.关闭其他默认启动服务

【说明】系统启动时会启动很多不必要的服务,这些不必要的服务均存在一定

的安全隐患。

一般可能存在以下不必要的服务:

apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotatelvsmars-nweoki4daemon

privoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypserv

yppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqld

webminkudzusquidcups

加固时,应根据机器具体配置使用和应用情况对开放的服务进行调整,关闭不

需要的服务。

服务运行脚本一般都放在/etc/rc.d/rc*.d进行启动,可以使用chkconfig工具直接

进行管理。

对于必须通过/etc/rc.d/rc*.d开放的服务,应确保都已打上过最新的补丁。

【具体配置】

chkconfig--level12345服务名off

如果关闭了特定的服务,也应该同时对这些服务在系统中的用户加以锁定

或删除

可能包括以下用户rpcrpcuserlpapachehttphttpdnameddnsmysqlpostgres

squid

usermod-L要锁定的用户

2.3.7.调整SMB服务

【说明】Samba服务器一般用来提供与Windows类似的文件和打印共享服务。

除非十分必要,否则应关闭SMB(Windows文件共享)服务。

可采用以下方式开

放SMB服务。

【具体配置】

chkconfigsmbon

2.3.8.调整NFS服务器服务

【说明】NFS漏洞较多,经常被利用来取得未授权的文件或系统权限。

除非十

分必要,否则应关闭NFS服务。

可采用以下方式开放SMB服务,并应该限制

Linux安全配置规范

Page7of27

export文件系统的中的IP地址范围,以及增添只读权限。

【具体配置】

chkconfig--level345nfson

2.3.9.调整NFS客户端服务

【说明】NFS客户端服务一般用来访问其他NFS服务器。

除非十分必要,否

则应关闭此服务。

可采用以下方式开放此服务。

【具体配置】

chkconfig--level345nfslockon

chkconfig--level345autofson

2.3.10.调整NIS服务器服务

【说明】NIS用来提供基于UNIX的域管理和认证手段。

除非十分必要,否则

应关闭此服务。

可采用以下方式开放此服务。

【具体配置】

chkconfigypservon

chkconfigyppasswddon

2.3.11.调整NIS客户端服务

【说明】NIS客户端用来访问其他NIS服务器。

除非十分必要,否则应关闭此

服务。

可采用以下方式开放此服务。

【具体配置】

chkconfigypbindon

2.3.12.调整RPC端口映射服务

【说明】

RPC协议一般经过比较简单的或不经认证就可以得到一些非常敏感的信息。

且RPC系列服务都存在一些缓冲区溢出问题。

在以下情况下可以考虑关闭RPC端口映射服务:

服务器不是NFS服务器或客户端;

服务器不是NIS服务器或客户端;

Linux安全配置规范

Page8of27

服务器没有运行其它依赖于RPC服务的第三方软件;

服务器不运行图形界面(x-windows)。

【具体配置】

chkconfig--level345portmapon

2.3.13.调整netfs服务

【说明】

此服务会作为客户端挂接网络中的磁盘。

如果没有网络文件共享协议如NFS,

NovellNetware或Windows文件共享使用,则可以关闭此服务。

【具体配置】

chkconfig--level345netfson

2.3.14.调整打印机服务

【说明】

UNIX打印服务存在较多的安全漏洞。

如果系统不作为网络中的打印机服务

器,则可以关闭此服务。

如果必须使用此服务,首先应保证软件都经过最新的补

丁,然和设置cupsd进程运行在非root用户和组。

【具体配置】

if[-e/etc/init.d/cups];then

chkconfigcupson

sed's/^\#Userlp/Userlp/'/etc/cups/cupsd.conf\

>/etc/cups/cupsd.conf.new

sed's/^\#Groupsys/Groupsys/'\

/etc/cups/cupsd.conf.new>/etc/cups/cupsd.conf

rm-f/etc/cups/cupsd.conf.new

/bin/chownlp:

sys/etc/cups/cupsd.conf

/bin/chmod600/etc/cups/cupsd.conf

fi

chkconfighpojon

chkconfiglpdon

2.3.15.调整Web服务器服务

【说明】

如果服务器必须开放Web,则需要作如下设置。

应注意web目录权限设置,不

要允许目录list。

Linux安全配置规范

Page9of27

【具体配置】

chkconfigapahceon

chkconfighttpdon

2.3.16.调整SNMP服务

【说明】

简单网络管理协议SNMP一般用来监控网络上主机或设备的运行情况。

如果必

须打开,则必须更改默认通讯字。

【具体配置】

chkconfigsnmpdon

编辑/etc/snmp/snmpd.conf

com2secnotConfigUserdefaultpublic

修改public为其他一个足够复杂的密码。

2.3.17.调整DNS服务器服务

【说明】

DNS服务器服务用来为其他机器提供DNS解析,一般来说都可以关掉。

如果

必须进行开放,则必须升级至最新版本,并推荐设置chroot环境,还需要注意限制

DNS配置文件中的区域传输等设置(加密码或加IP地址限制)。

【具体配置】

chkconfignamedon

2.3.18.调整SSHD服务器服务

【说明】

SSHD服务器服务用来提供SSHServer的服务。

如果必须进行开放,则必须升

级至最新版本,并推荐设置chroot环境,还需要注意限制SSH配置文件中的区域传

输等设置,需要在SSHD配置文件中禁用ssh1方式连接,因ssh1方式连接是非完

全加密。

【具体配置】

如使用Openssh,则检查/etc/ssh/sshd_config

grepProtocol/etc/ssh/sshd_config

如使用SSH.com的SSHD,需要检查/etc/ssh2/sshd2_config

Linux安全配置规范

Page10of27

grepProtocol/etc/ssh2/sshd2_config

2.3.19.调整SQL服务器服务

【说明】

如果不需要数据库服务,则可以关闭此服务。

如果必须进行开放,则注意修改

数据库用户的密码,并增加数据库用户IP访问限制。

【具体配置】

chkconfigpostgresqlon

chkconfigmysqldon

2.3.20.调整Webmin服务

【说明】

Webmin是一个通过HTTP协议控制linux的工具,一般推荐使用SSH进行系

统管理而不要使用此工具。

【具体配置】

chkconfigwebminon

2.3.21.调整Squid服务

【说明】

Squid服务是客户端与服务器之间的代理服务。

Squid服务已出现过很多安全漏

洞,并且如果设置不当的话,可能导致被利用来作为内外网之间的跳板。

如果不需

要,则可以关闭此服务。

如果必须打开,则需要设置允许访问的地址列表及认证。

【具体配置】

chkconfigsquidon

2.3.22.调整kudzu硬件探测服务

【说明】

Kudzu服务是linux的硬件探测程序,一般设置为启动系统的时候运行。

他会

检测系统中的硬件的改变,并且会提示进行配置等。

XX的新设备存在的一定

的安全风险,系统启动时控制台就可以配置任何新增添的设备。

如果不需要经常的改动硬件,则需要进行关闭。

可以在增添新设备时手工运行

Linux安全配置规范

Page11of27

/etc/rc.d/init.d/kudzu启动此服务。

【具体配置】

chkconfig--level345kudzuon

2.4.内核参数

2.4.1.网络参数调整

【说明】

Linux支持的对网络参数进行调整。

具体参数详细说明,可参见

http:

//lxr.linux.no/source/Documentation/networking/ip-sysctl.txt。

【具体配置】

编辑/etc/sysctl.conf

增加

net.ipv4.tcp_max_syn_backlog=4096

net.ipv4.conf.all.rp_filter=1

net.ipv4.conf.all.accept_source_route=0

net.ipv4.conf.all.accept_redirects=0

net.ipv4.conf.all.secure_redirects=0

net.ipv4.conf.default.rp_filter=1

net.ipv4.conf.default.accept_source_route=

net.ipv4.conf.default.accept_redirects=0

net.ipv4.conf.default.secure_redirects=0

/bin/chownroot:

root/etc/sysctl.conf

/bin/chmod0600/etc/sysctl.conf

2.4.2.更多的网络参数调整

【说明】

如果系统不作为在不同网络之间的防火墙或网关时,可进行如下设置。

具体参数详细说明,可参见

http:

//lxr.linux.no/source/Documentation/networking/ip-sysctl.txt

【具体配置】

编辑/etc/sysctl.conf

增加

net.ipv4.ip_forward=0

Linux安全配置规范

Page12of27

net.ipv4.conf.all.send_redirects=0

net.ipv4.conf.default.send_redirects=0

/bin/chownroot:

root/etc/sysctl.conf

/bin/chmod0600/etc/sysctl.conf

2.5.日志

2.5.1.系统认证日志配置

【说明】

不是所有版本的linux都会在日之中记录登陆信息。

一般需要对这些重要的安

全相关的信息进行保存,(如成功或失败su,失败的登陆,root登陆等)。

这些将

会被记录在/var/log/secure文件里。

【具体配置】

编辑/etc/syslog.conf

确认有如下行

authpriv.*/var/log/secure

touch/var/log/secure

/bin/chownroot:

root/var/log/secure

/bin/chmod600/var/log/secure

2.5.2.FTP进程日志配置

【说明】

系统默认会记录wu-ftpd和vsftpd所有的连接和文件传输。

以下将会确认所有

法发送到服务期的命令将会被记录。

wu-ftpd将会把安全相关的或是策略边界的行

为记忆文件传输记录到syslog里,默认位于/var/log/xferlog。

【具体配置】

编辑/etc/xinetd.d/wu-ftpd文件

确认有如下行

server_args=-l-a-d

/bin/chownroot:

rootwu-ftpd

/bin/chmod644wu-ftpd

编辑/etc/vsftpd.conf或/etc/vsftpd/vsftpd.conf文件

确认有如下行

Linux安全配置规范

Page13of27

xferlog_std_format=NO

log_ftp_protocol=YES

log_ftp_protocol=YES

/bin/chmod0600vsftpd.conf

/bin/chownroot:

rootvsftpd.conf

2.5.3.确认系统日志权限

【说明】

保护系统日志文件不会被非授权的用户所修改。

【具体配置】

cd/var/log

/bin/chmodo-wboot.log*cron*dmesgksyms*httpd/*\

maillog*messages*news/*pgsqlrpmpkgs*samba/*\

scrollkeeper.logsecure*spooler*squid/*vbox/*wtmp

/bin/chmodo-rxboot.log*cron*maillog*messages*pgsql\

secure*spooler*squid/*

/bin/chmodg-wboot.log*cron*dmesghttpd/*ksyms*\

maillog*messages*pgsqlrpmpkgs*samba/*\

scrollkeeper.logsecure*spooler*

/bin/chmodg-rxboot.log*cron*maillog*messages*pgsql\

secure*spooler*

/bin/chmodo-wgdm/httpd/news/samba/squid/vbox/

/bin/chmodo-rxhttpd/samba/squid/

/bin/chmodg-wgdm/

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 高中教育 > 高考

copyright@ 2008-2022 冰豆网网站版权所有

经营许可证编号:鄂ICP备2022015515号-1