安全指南LINUX安全配置.docx

1、安全指南LINUX安全配置目录1. 范围 32. 术语和定义 33. 安全配置 33.1综述 33.2补丁 53.2.1系统补丁 53.2.2其他应用补丁 53.3最小化xinetd网络服务 53.3.1停止默认服务 53.3.2其他 63.4 最小化启动服务 63.4.1 设置daemon权限unmask 63.4.2关闭xinetd服务 73.4.3关闭邮件服务 73.4.4关闭图形登录服务 73.4.5关闭X字体服务器 83.4.6关闭其他默认启动服务 83.4.7调整SMB服务 93.4.8调整NFS服务器服务 93.4.9调整NFS客户端服务 93.4.10调整NIS服务器服务 10

2、3.4.11调整NIS客户端服务 103.4.12调整RPC端口映射服务 103.4.13调整netfs服务 113.4.14调整打印机服务 113.4.15调整Web服务器服务 113.4.16调整SNMP服务 123.4.17调整DNS服务器服务 123.4.18调整SSHD服务器服务 123.4.19调整SQL服务器服务 133.4.20调整Webmin服务 133.4.21调整Squid服务 133.4.22调整kudzu硬件探测服务 143.5内核参数 143.5.1网络参数调整 143.5.2更多的网络参数调整 1536日志 153.6.1系统认证日志配置 153.6.2 FTP进

3、程日志配置 163.6.3 确认系统日志权限 173.7文件/目录权限 183.7.1 /etc/fstab中适当分区增加“nodev”选项 183.7.2 /etc/fstab中移动设备增加“nosuid”“nodev”选项 183.7.3 禁止用户挂接可移动文件系统 183.7.4 检查passwd，shadow和group文件权限 193.7.5 全局可写目录应设置粘滞位 193.7.6 找出未授权的全局可写目录 203.7.7 找出未授权的SUID/SGID文件 203.7.8 找出异常和隐藏的文件 203.8 系统访问，授权和认证 203.8.1 删除.rhosts文件 203.8.

4、2 创建危险文件的链接 213.8.3 创建ftpuser文件 223.8.4 关闭X-Windows的开放端口 223.8.5 限制只有授权用户可以访问at/cron 243.8.6 限制crontab文件的权限 243.8.7 创建警示BANNER 253.8.8 配置xinetd访问控制 283.8.9 限制root只能在控制台登录 283.8.10 设置LILO/GRUB密码 293.8.11 设置单用户默认认证 303.8.12 限制NFS客户端特权端口 303.9 用户帐户和环境 313.9.1 系统无用帐户 313.9.2 确认没有空密码帐户 323.9.3 设置活动帐户的过期时

5、间 323.9.4 确认没有“+”存在于passwd，shadow和group文件 333.9.5 确认没有root之外的UID 0帐户 333.9.6 删除root路径中的“.”或其他全局可写目录 333.9.7 用户主目录应为755或更少权限 343.9.8 没有用户.开头的文件全局可写 343.9.9 删除用户.netrc文件 353.9.10 设置用户的默认umask 353.9.11 禁止core dumps 361. 范围本部分规定了网络系统中所使用的LINUX操作系统所应遵循的安全配置指南。2. 术语和定义XinetdXinetd是旧的inetd服务的替代，他提供了一些网络相关服

6、务的启动调用方式。XX Window系统（也常称为X11或X）是一种以位图方式显示的软体视窗系统。最初是1984年麻省理工学院的研究，之后变成UNIX、类UNIX、以及OpenVMS等操作系统所一致适用的标准化软体工具套件及显示架构的运作协定。3. 安全配置3.1综述本文档以典型安装的RedHat Linux为对象撰写而成，其他版本均基本类似，根据具体情况进行适当修改即可。文档中的操作需要以root用户登录至控制台进行，不推荐使用网络远程的方式进行补丁及配置修改等加固操作。部分操作需要重新启动服务器才会生效，注意某些数据库等应用需要先停止应用，然后才可以重新启动。加固之前首先应对系统中的重要文

7、件及可能修改的文件进行备份，可参照使用以下脚本：for file in /etc/inetd.conf /etc/hosts.equiv /etc/ftpusers /etc/passwd /etc/shadow /etc/hosts.allow /etc/hosts.deny /etc/proftpd.conf /etc/rc.d/init.d/functions /etc/inittab /etc/sysconfig/sendmail /etc/security/limits.conf /etc/exports /etc/sysctl.conf /etc/syslog.conf /etc/

8、fstab /etc/security.console.perms /root/.rhosts /root/.shosts /etc/shosts.equiv /etc/X11/xdm/Xservers /etc/X11/xinit/xserverrc /etc/X11/gdm/gdm.conf /etc/cron.allow /etc/cron.deny /etc/at.allow /etc/at.deny /etc/crontab /etc/motd /etc/issue /usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm.conf /etc/secu

9、retty /etc/security/access.conf /etc/lilo.conf /etc/grub.conf /etc/login.defs /etc/group /etc/profile /etc/csh.login /etc/csh.cshrc /etc/bashrc /etc/ssh/sshd_config /etc/ssh/ssh_config /etc/cups/cupsd.conf /etc/,vsftpd/vsftpd.conf /etc/logrotate.conf /root/.bashrc /root/.bash_profile /root/.cshrc /r

10、oot/.tcshrc /etc/vsftpd.ftpusers ; do -f $file & /bin/cp $file $file-preCISdonefor dir in /etc/xinetd.d /etc/rc0123456.d /var/spool/cron /etc/cron.* /etc/logrotate.d /var/log /etc/pam.d /etc/skel ; do -d $dir & /bin/cp -r $dir $dir-preCISdone3.2补丁3.2.1系统补丁系统内核版本使用uname -a查看。软件版本和补丁使用rpm -qa查看。使用up2d

11、ate命令自动升级或去http:/mirrors.kernel.org/（2009-3-17测试可用）下载对应版本补丁手工单独安装。3.2.2其他应用补丁除RedHat官方提供的系统补丁之外，系统也应对根据开放的服务和应用进行补丁，如APACHE、PHP、OPENSSL、MYSQL等应用进行补丁。具体升级方法：首先确认机器上安装了gcc及必要的库文件。然后去应用的官方网站下载对应的源代码包，如 *.tar.gz再解压tar zxfv *.tar.gz再根据使用情况对编译配置进行修改，或直接采用默认配置cd *./configure再进行编译和安装makemake install3.3最小化xi

12、netd网络服务3.3.1停止默认服务说明：Xinetd是旧的inetd服务的替代，他提供了一些网络相关服务的启动调用方式。Xinetd应禁止以下默认服务的开放：chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services操作：停止一个服务chkconfig 服务名 off打开

13、一个服务chkconfig 服务名 on也可以使用ntsysv命令进行服务开关调整3.3.2其他说明：对于xinet必须开放的服务，应该注意服务软件的升级和安全配置，并推荐使用SSH和SSL对原明文的服务进行替换。如果条件允许，可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。操作：Xinetd、SSH和SSL、防火墙配置参见对应系统的用户手册，此不详述。3.4 最小化启动服务3.4.1 设置daemon权限unmask说明：默认系统umask至少为022，以防止daemon被其他低权限用户修改。操作：vi修改/etc/rc.d/init.d文件，umask

14、 值为022。同时检查/etc/rc.d/init.d中其他启动脚本权限是否为755。3.4.2关闭xinetd服务说明：如果前面第二章关闭xinetd服务中所列的服务，都不需要开放，则可以直接关闭xinetd服务。操作：chkconfig -level 12345 xinetd off3.4.3关闭邮件服务说明：1) 如果系统不需要作为邮件服务器，并不需要向外面发邮件，可以直接关闭邮件服务。2) 如果不需要作为邮件服务器，但是允许用户发送邮件，可以设置Sendmail不运行在daemon模式。操作：1) chkconfig -level 12345 sendmail off2) 编辑/etc

15、/sysconfig/senmail文件增添以下行DAEMON=noQUEUE=1h设置cd /etc/sysconfig/bin/chown root:root sendmail/bin/chmod 644 sendmail3.4.4关闭图形登录服务说明：一般来说，大部分软件的安装和运行都不需要图形环境。如果不需要图形环境进行登录和操作，可以关闭X Windows的运行。操作：cp /etc/inittab /etc/inittab.bak编辑/etc/inittab文件修改id:5:initdefault:行为id:3:initdefault:chown root:root /etc/in

16、ittabchmod 0600 /etc/inittab如需要X Windows的时候，可运行startx命令启动图形界面。3.4.5关闭X字体服务器说明：如果关闭了X Windows服务，则X font服务器服务也应该进行关闭。操作：chkconfig xfs off3.4.6关闭其他默认启动服务说明：系统启动时会启动很多不必要的服务，这些不必要的服务均存在一定的安全隐患。一般可能存在以下不必要的服务：apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd ruse

17、rsd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups加固时，应根据机器具体配置使用和应用情况对开放的服务进行调整，关闭不需要的服务。服务运行脚本一般都放在/etc/rc.d/rc*.d进行启动，可以使用chkconfig工具直接进行管理。对于必须通过/etc/rc.d/rc*.d开放的服务，应确保都已打上过最新

18、的补丁。操作：chkconfig -level 12345 服务名 off如果关闭了特定的服务，也应该同时对这些服务在系统中的用户加以锁定或删除可能包括以下用户rpc rpcuser lp apache http httpd named dns mysql postgres squidusermod -L 要锁定的用户3.4.7调整SMB服务说明：Samba服务器一般用来提供与Windows类似的文件和打印共享服务。除非十分必要，否则应关闭SMB（Windows文件共享）服务。可采用以下方式开放SMB服务。操作：chkconfig smb on3.4.8调整NFS服务器服务说明：NFS漏洞较多

19、，经常被利用来取得未授权的文件或系统权限。除非十分必要，否则应关闭NFS服务。可采用以下方式开放SMB服务，并应该限制export文件系统的中的IP地址范围，以及增添只读权限。操作：chkconfig -level 345 nfs on3.4.9调整NFS客户端服务说明：NFS客户端服务一般用来访问其他NFS服务器。除非十分必要，否则应关闭此服务。可采用以下方式开放此服务。操作：chkconfig -level 345 nfslock onchkconfig -level 345 autofs on3.4.10调整NIS服务器服务说明：NIS用来提供基于UNIX的域管理和认证手段。除非十分必要

20、，否则应关闭此服务。可采用以下方式开放此服务。操作：chkconfig ypserv onchkconfig yppasswdd on3.4.11调整NIS客户端服务说明：NIS客户端用来访问其他NIS服务器。除非十分必要，否则应关闭此服务。可采用以下方式开放此服务。操作：chkconfig ypbind on3.4.12调整RPC端口映射服务说明：RPC协议一般经过比较简单的或不经认证就可以得到一些非常敏感的信息。并且RPC系列服务都存在一些缓冲区溢出问题。在以下情况下可以考虑关闭RPC端口映射服务：服务器不是NFS服务器或客户端；服务器不是NIS服务器或客户端；服务器没有运行其它依赖于RP

21、C服务的第三方软件；服务器不运行图形界面（x-windows）。操作：chkconfig -level 345 portmap on3.4.13调整netfs服务说明：此服务会作为客户端挂接网络中的磁盘。如果没有网络文件共享协议如NFS，NovellNetware或Windows文件共享使用，则可以关闭此服务。操作：chkconfig -level 345 netfs on3.4.14调整打印机服务说明：UNIX打印服务存在较多的安全漏洞。如果系统不作为网络中的打印机服务器，则可以关闭此服务。如果必须使用此服务，首先应保证软件都经过最新的补丁，然后设置cupsd进程运行在非root用户和组。操

22、作：if -e /etc/init.d/cups ; thenchkconfig cups onsed s/#User lp/User lp/ /etc/cups/cupsd.conf /etc/cups/cupsd.conf.newsed s/#Group sys/Group sys/ /etc/cups/cupsd.conf.new /etc/cups/cupsd.confrm -f /etc/cups/cupsd.conf.new/bin/chown lp:sys /etc/cups/cupsd.conf/bin/chmod 600 /etc/cups/cupsd.conffichkco

23、nfig hpoj onchkconfig lpd on3.4.15调整Web服务器服务说明：如果服务器必须开放Web，则需要作如下设置。应注意web目录权限设置，不要允许目录list。操作：chkconfig apahce on或chkconfig httpd on3.4.16调整SNMP服务说明：简单网络管理协议SNMP一般用来监控网络上主机或设备的运行情况。如果必须打开，则必须更改默认通讯字。操作：chkconfig snmpd on编辑/etc/snmp/snmpd.confcom2sec notConfigUser default public修改public为其他一个足够复杂的密码

24、。3.4.17调整DNS服务器服务说明：DNS服务器服务用来为其他机器提供DNS解析，一般来说都可以关掉。如果必须进行开放，则必须升级至最新版本，并推荐设置chroot环境，还需要注意限制DNS配置文件中的区域传输等设置（加密码或加IP地址限制）。操作：chkconfig named on3.4.18调整SSHD服务器服务说明：SSHD服务器服务用来提供SSH Server的服务。如果必须进行开放，则必须升级至最新版本，并推荐设置chroot环境，还需要注意限制SSH配置文件中的区域传输等设置，需要在SSHD配置文件中禁用ssh1方式连接，因ssh1方式连接是非完全加密。操作： 如使用Open

25、ssh，则检查/etc/ssh/sshd_config grep Protocol /etc/ssh/sshd_config 如使用SSH.com的SSHD,需要检查/etc/ssh2/sshd2_configgrep Protocol /etc/ssh2/sshd2_config3.4.19调整SQL服务器服务说明：如果不需要数据库服务，则可以关闭此服务。如果必须进行开放，则注意修改数据库用户的密码，并增加数据库用户IP访问限制。操作：chkconfig postgresql onchkconfig mysqld on3.4.20调整Webmin服务说明：Webmin是一个通过HTTP协议控

26、制linux的工具，一般推荐使用SSH进行系统管理而不要使用此工具。操作：chkconfig webmin on3.4.21调整Squid服务说明：Squid服务是客户端与服务器之间的代理服务。Squid服务已出现过很多安全漏洞，并且如果设置不当的话，可能导致被利用来作为内外网之间的跳板。如果不需要，则可以关闭此服务。如果必须打开，则需要设置允许访问的地址列表及认证。操作：chkconfig squid on3.4.22调整kudzu硬件探测服务说明：Kudzu服务是linux的硬件探测程序，一般设置为启动系统的时候运行。他会检测系统中的硬件的改变，并且会提示进行配置等。XX的新设备存在的一定

27、的安全风险，系统启动时控制台就可以配置任何新增添的设备。如果不需要经常的改动硬件，则需要进行关闭。可以在增添新设备时手工运行/etc/rc.d/init.d/kudzu启动此服务。操作：chkconfig -level 345 kudzu on3.5内核参数3.5.1网络参数调整说明：Linux支持对网络参数进行调整。具体参数详细说明，可参见http:/lxr.linux.no/source/Documentation/networking/ip-sysctl.txt。操作：编辑/etc/sysctl.conf增加net.ipv4.tcp_max_syn_backlog = 4096net.i

28、pv4.conf.all.rp_filter = 1net.ipv4.conf.all.accept_source_route = 0net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.all.secure_redirects = 0net.ipv4.conf.default.rp_filter = 1net.ipv4.conf.default.accept_source_route =net.ipv4.conf.default.accept_redirects = 0net.ipv4.conf.default.secure_redirect

29、s = 0/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf3.5.2更多的网络参数调整说明：如果系统不作为在不同网络之间的防火墙或网关时，可进行如下设置。具体参数详细说明，可参见http:/lxr.linux.no/source/Documentation/networking/ip-sysctl.txt操作：编辑/etc/sysctl.conf增加net.ipv4.ip_forward = 0net.ipv4.conf.all.send_redirects = 0net.ipv4.conf.defaul

30、t.send_redirects = 0/bin/chown root:root /etc/sysctl.conf/bin/chmod 0600 /etc/sysctl.conf36日志3.6.1系统认证日志配置说明：不是所有版本的linux都会在日志之中记录登陆信息。一般需要对这些重要的安全相关的信息进行保存，（如成功或失败su，失败的登陆，root登陆等）。这些将会被记录在/var/log/secure文件里。操作：编辑/etc/syslog.conf确认有如下行authpriv.* /var/log/securetouch /var/log/secure/bin/chown root:root /var/log/secure/bin/chmod 600 /var/log/secure3.6.2 FTP进程日志配置说明：系统默认会记录wu-ftpd和vsftpd所有的连接和文件传输。以下将会确认所有发送到服务器的命令将会被记录。wu-ftpd将会把安全相关的或是策略边界的行为记忆文件传输记录到syslog里，默认位于/var/log/xferlog。操作：编辑/etc/xinetd.d/wu-ftpd文件确认有如