Linux系統(tǒng)安全加固手冊(cè)

1、 LINUX 評(píng)估加固手冊(cè) 第 1 頁 共 14 頁密密 級(jí)：商業(yè)秘密級(jí)：商業(yè)秘密LINUXLINUX 評(píng)估加固手冊(cè)評(píng)估加固手冊(cè)安氏領(lǐng)信科技發(fā)展有限公司二二二二二二年三月 LINUX 評(píng)估加固手冊(cè) 第 2 頁 共 14 頁目 錄1、系統(tǒng)補(bǔ)丁的安裝、系統(tǒng)補(bǔ)丁的安裝.32、帳戶、口令策略的加固、帳戶、口令策略的加固.321、刪除或禁用系統(tǒng)無用的用戶.322、口令策略的設(shè)置.423、系統(tǒng)是否允許ROOT遠(yuǎn)程登錄.424、ROOT的環(huán)境變量設(shè)置.53、網(wǎng)絡(luò)與服務(wù)加固、網(wǎng)絡(luò)與服務(wù)加固.531、RC?.D中的服務(wù)的設(shè)置.532、/ETC/INETD.CONF中服務(wù)的設(shè)置.633、NFS 的配置.834、S

2、NMP 的配置.835、SENDMAIL的配置.936、DNS（BIND）的配置.937、網(wǎng)絡(luò)連接訪問控制的設(shè)置.94、信任主機(jī)的設(shè)置、信任主機(jī)的設(shè)置.105、日志審核的設(shè)置、日志審核的設(shè)置.116、物理安全加固、物理安全加固.117、系統(tǒng)內(nèi)核參數(shù)的配置、系統(tǒng)內(nèi)核參數(shù)的配置.128、選裝安全工具、選裝安全工具.13 LINUX 評(píng)估加固手冊(cè) 第 3 頁 共 14 頁1、系統(tǒng)補(bǔ)丁的安裝、系統(tǒng)補(bǔ)丁的安裝RedHat 使用 RPM 包實(shí)現(xiàn)系統(tǒng)安裝的管理，系統(tǒng)沒有單獨(dú)補(bǔ)丁包（Patch） 。如果出現(xiàn)新的漏洞，則發(fā)布一個(gè)新的 RPM 包，版本號(hào)（Version）不變，Release做相應(yīng)的調(diào)整。因此檢查

3、 RH Linux 的補(bǔ)丁安裝情況只能列出所有安裝的軟件，和 RH 網(wǎng)站上發(fā)布的升級(jí)軟件對(duì)照，檢查其中的變化。通過訪問官方站點(diǎn)下載最新系統(tǒng)補(bǔ)丁，RedHat 公司補(bǔ)丁地址如下：http:/ -qa 查看系統(tǒng)當(dāng)前安裝的 rpm 包rpm -ivh package1 安裝 RPM 包rpm -Uvh package1 升級(jí) RPM 包rpm -Fvh package1 升級(jí) RPM 包（如果原先沒有安裝，則不安裝）2、帳戶、口令策略的加固、帳戶、口令策略的加固2 21 1、刪除或禁用系統(tǒng)無用的用戶、刪除或禁用系統(tǒng)無用的用戶詢問系統(tǒng)管理員，確認(rèn)其需要使用的帳戶如果下面的用戶及其所在的組經(jīng)過確認(rèn)不需要

4、，可以刪除。lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系統(tǒng)帳號(hào)的 shell 變量，例如 uucp,ftp 和 news 等，還有一些僅僅需要 FTP 功能的帳號(hào)，檢查并取消/bin/bash 或者/bin/sh 等 Shell 變量?？梢栽?etc/passwd 中將它們的 shell 變量設(shè)為/bin/false 或者/dev/null 等。也可以通過 passwd groupdel 來鎖定用戶、刪除組。passwd -l user1 鎖定 user1 用戶passwd -u user1 解鎖 use

5、r1 用戶groupdel lp 刪除 lp 組。 LINUX 評(píng)估加固手冊(cè) 第 4 頁 共 14 頁2 22 2、口令策略的設(shè)置、口令策略的設(shè)置RedHat Linux 總體口令策略的設(shè)定分兩處進(jìn)行，第一部分是在/etc/login.defs 文件中定義，其中有四項(xiàng)相關(guān)內(nèi)容：PASS_MAX_DAYS 密碼最長(zhǎng)時(shí)效（天）PASS_MIN_DAYS 密碼最短時(shí)效（天）PASS_MIN_LEN 最短密碼長(zhǎng)度PASS_WARN_AGE 密碼過期前 PASS_WARN_AGE 天警告用戶編輯/etc/login.defs 文件，設(shè)定：PASS_MAX_DAYS=90PASS_MIN_DAYS=0PA

6、SS_MIN_LEN=8PASS_WARN_AGE=30另外可以在/etc/pam.d/system-auth 文件中的 cracklib 項(xiàng)中定義口令強(qiáng)度：difokminlendcreditucreditlcreditocredit使用 vi 編輯/etc/pam.d/system-auth 文件，設(shè)置 cracklib 的屬性#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time authconfig is run.auth required /lib/security/p

7、am_env.soauth sufficient /lib/security/pam_unix.so likeauth nullokauth required /lib/security/pam_deny.soaccount required /lib/security/pam_access.soaccount required /lib/security/pam_unix.sopassword required /lib/security/pam_cracklib.so retry=3 type= difok=4 minlen=12 dcredit=1 ucredit=2 lcredit=2

8、 ocredit=1password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadowpassword required /lib/security/pam_deny.so LINUX 評(píng)估加固手冊(cè) 第 5 頁 共 14 頁session required /lib/security/pam_limits.sosession required /lib/security/pam_unix.so2 23 3、系統(tǒng)是否允許、系統(tǒng)是否允許 rootroot 遠(yuǎn)程登錄遠(yuǎn)程登錄RedHat 在文件/etc/securet

9、ty 中定義 root 用戶可以登錄的端口；默認(rèn)其中只包含vc/1-11 和 tty1-11，即 root 用戶只能從本地登錄。2 24 4、rootroot 的環(huán)境變量設(shè)置的環(huán)境變量設(shè)置系統(tǒng)的環(huán)境變量在下列文件中設(shè)置：Bash：/etc/profile/.bash_profile/.bash_login/.profile/.bashrc/etc/bashrcTcsh/Csh：/etc/csh.cshrc/etc/csh.login/.tcshrc 或/.cshrc/.history/.login/.cshdirsprintenv 查看用戶的環(huán)境變量檢查環(huán)境變量 PATH，確保其中不包含本地目

10、錄（.） 。3、網(wǎng)絡(luò)與服務(wù)加固、網(wǎng)絡(luò)與服務(wù)加固3 31 1、rc?.drc?.d 中的服務(wù)的設(shè)置中的服務(wù)的設(shè)置 LINUX 評(píng)估加固手冊(cè) 第 6 頁 共 14 頁RedHat 的服務(wù)主要由/etc/inittab 和/etc/rc?.d/S*文件啟動(dòng)，事實(shí)上，/etc/inittab 的主要任務(wù)是為每一個(gè) runlevel 指定啟動(dòng)文件，從而啟動(dòng)/etc/rc?.d/S*文件。例如，在默認(rèn)的運(yùn)行級(jí)別 3 中系統(tǒng)將運(yùn)行/etc/rc3.d/目錄中所有 S 打頭的文件。runlevel 檢查當(dāng)前運(yùn)行級(jí)別（第一項(xiàng)是 pre-runlevel，第二項(xiàng)是當(dāng)前的 runlevel）chkconfig li

11、st 檢查所有級(jí)別中啟動(dòng)的服務(wù)情況chkconfig list |grep 3:on 檢查某一級(jí)別（例如級(jí)別 3）中啟動(dòng)的服務(wù)chkconfig sendmail off 將 sendmail 從啟動(dòng)目錄中除去檢查以下服務(wù)，如果不需要，關(guān)閉之在（/etc/inittab 中注釋掉） ；否則，參照 3.3 3.4 3.5 3.6 進(jìn)行配置：portmap（啟動(dòng) rpcbind/portmap 服務(wù)）nfslock （啟動(dòng) rpc.lockd 和 rpc.statd）httpd （啟動(dòng) apache）named （啟動(dòng) bind）sendmail （啟動(dòng) sendmail）smb （啟動(dòng) samb

12、a 服務(wù)）snmpd （啟動(dòng) snmp 服務(wù)）snmptrapd （啟動(dòng) snmp trap 服務(wù)）nfs （啟動(dòng) nfs 服務(wù)）3 32 2、/etc/inetd.conf/etc/inetd.conf 中服務(wù)的設(shè)置中服務(wù)的設(shè)置由 INETD 啟動(dòng)的服務(wù)在文件/etc/inetd.conf 定義。建議關(guān)閉由 inetd 啟動(dòng)的所有服務(wù)；如果有管理上的需要，可以打開telnetd、ftpd、rlogind、rshd 等服務(wù)。可從/etc/inetd.conf 中刪除的服務(wù)（在/etc/inetd.conf 中注釋掉）：shellkshellloginkloginexec LINUX 評(píng)估加固手

13、冊(cè) 第 7 頁 共 14 頁comsatuucpbootpsfingersystatnetstattftptalkntalkrpc.rquotadrpc.rexdrpc.rusersdrpc.ttdbserverrpc.spraydrpc.cmsdrpc.rwalldrpc.pcnfsdrpc.rstatdrpc.ssalldechodiscardchargendaytimetimecomsatwebsminstsrvimap2pop3 LINUX 評(píng)估加固手冊(cè) 第 8 頁 共 14 頁kfclixmqueryRedHat Linux 7.3 以后使用了新版本的 xinetd 取代了老版本的

14、inetd，在配置方面最大的不同在于使用了/etc/xinetd.d/配置目錄取代了/etc/inetd.conf 配置文件。每一項(xiàng)服務(wù)/etc/xinetd.d/中都有一個(gè)相應(yīng)的配置文件，例如 telnetd 的配置文件是/etc/xinetd.d/telnet。查看每一個(gè)配置文件 disable 屬性的定義（yes/no）就可以確定該服務(wù)是否啟動(dòng)（默認(rèn)是 yes） 。使用 vi 編輯/etc/xinetd.d/中的配置文件，在不需要啟動(dòng)的服務(wù)配置文件中添加disable=yes。建議關(guān)閉所有服務(wù)，如果管理需要，則可以打開 telnetd 和 ftpd 服務(wù)。使用 vi 編輯/etc/xin

15、etd.d/rlogin 文件，控制 rlogin 服務(wù)的啟動(dòng)狀態(tài)# default: on# description: rlogind is the server for the rlogin(1) program. The server # provides a remote login facility with authentication based on # privileged port numbers from trusted hosts.service login disable = yes socket_type = stream wait = no user = root

16、 log_on_success += USERID log_on_failure += USERID server = /usr/sbin/in.rlogind3 33 3、NFSNFS 的配置的配置NFS 系統(tǒng)的組成情況：nfsd NFS 服務(wù)進(jìn)程，運(yùn)行在服務(wù)器端，處理客戶的讀寫請(qǐng)求mountd 加載文件系統(tǒng)服務(wù)進(jìn)程，運(yùn)行在服務(wù)器端，處理客戶加載 nfs 文件系統(tǒng)的請(qǐng)求/etc/exports 定義服務(wù)器對(duì)外輸出的 NFS 文件系統(tǒng)/etc/fstab 定義客戶端加載的 NFS 文件系統(tǒng)如果系統(tǒng)不需要 NFS 服務(wù)，可以使用 chkconfig 關(guān)閉 NFS 服務(wù)；如果不能關(guān)閉，使用 sho

17、wmount -e 或直接查看/etc/exports 文件檢查輸出的文件系統(tǒng)是否必要， LINUX 評(píng)估加固手冊(cè) 第 9 頁 共 14 頁以及屬性是否妥當(dāng)（readonly 等） 。chkconfig -list nfs 顯示 NFS 服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng)/etc/init.d/nfs start|stop 啟動(dòng)|停止 nfs 服務(wù)showmount -e 顯示本機(jī)輸出的 NFS 文件系統(tǒng)mount 顯示本機(jī)加載的文件系統(tǒng)（包括 NFS 文件系統(tǒng)）3 34 4、SNMPSNMP 的配置的配置如果系統(tǒng)不需要 SNMP 服務(wù)，可以關(guān)閉該服務(wù)（使用 chkconfig 命令） ；如果不能關(guān)閉，

18、需要在/etc/snmpd.conf 中指定不同的 community name。chkconfig -list snmpd 顯示 snmpd 服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng)chkconfig snmpd off 將 snmpd 服務(wù)從啟動(dòng)目錄中去掉/etc/init.d/snmpd start|stop 啟動(dòng)|停止 snmpd 服務(wù)3 35 5、SendmailSendmail 的配置的配置如果系統(tǒng)不需要 Sendmail 服務(wù)，可以關(guān)閉該服務(wù)（使用 chkconfig 命令） ；如果不能關(guān)閉，將 sendmail 服務(wù)升級(jí)到最新，并在其配置文件/etc/sendmail.cf 中指定不同 ban

19、ner（參見示例） 。chkconfig -list sendmail 顯示 sendmail 服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng)chkconfig sendmail off 將 sendmail 服務(wù)從啟動(dòng)目錄中去掉/etc/init.d/sendmail start|stop 啟動(dòng)|停止 sendmail 服務(wù)3 36 6、DNSDNS（BindBind）的配置）的配置如果系統(tǒng)不需要 DNS 服務(wù)，可以關(guān)閉該服務(wù)（使用 chkconfig 命令） ；如果不能關(guān)閉，將 DNS 服務(wù)升級(jí)到最新，并在其配置文件修改版本號(hào)（參見示例） 。chkconfig -list named 顯示 named 服務(wù)是否

20、在系統(tǒng)啟動(dòng)時(shí)啟動(dòng)chkconfig named off 將 named 服務(wù)從啟動(dòng)目錄中去掉/etc/init.d/named start|stop 啟動(dòng)|停止 named 服務(wù) LINUX 評(píng)估加固手冊(cè) 第 10 頁 共 14 頁3 37 7、網(wǎng)絡(luò)連接訪問控制的設(shè)置、網(wǎng)絡(luò)連接訪問控制的設(shè)置RedHat 7.3 以后版本中存在以下集中方式可以對(duì)網(wǎng)絡(luò)連接設(shè)置訪問控制：1、使用 iptable 或 ipchains 進(jìn)行網(wǎng)絡(luò)訪問控制；參見 iptables 和 ipchains 的manual。2、使用 xinetd 本身的訪問控制機(jī)制對(duì) xinetd 啟動(dòng)的服務(wù)進(jìn)行網(wǎng)絡(luò)訪問控制；xinetd 可

21、以在其配置文件中使用 only_from 和 no_access 指令限制可以訪問該服務(wù)的主機(jī)，tcpd 的配置文件是/etc/hosts.allow 和/etc/hosts.deny；具體配置方法參見 manual。使用 xinetd 自帶的訪問控制機(jī)制控制對(duì) telnet 服務(wù)的訪問# default: on# description: The telnet server serves telnet sessions; it uses # unencrypted username/password pairs for authentication.service telnet disabl

22、e = no flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID# allow access from host freebsd and network /24 only_from = freebsd /24# also allow access from host 59 only_from += 59# deny access from h

23、ost freebsd if uncomment the following line# no_access = freebsd3、使用 pam 系統(tǒng)中的 pam_access 模塊提供的訪問控制機(jī)制；配置文件是/etc/security/access.conf，該文件中提供了該文件的語法。使用 pam_access 進(jìn)行網(wǎng)絡(luò)訪問控制在 pam 文件中添加 pam_access 模塊（以 system-auth 文件為例）#%PAM-1.0# This file is auto-generated.# User changes will be destroyed the next time a

24、uthconfig is run.auth required /lib/security/pam_env.soauth sufficient /lib/security/pam_unix.so likeauth nullokauth required /lib/security/pam_deny.soaccount required /lib/security/pam_access.soaccount required /lib/security/pam_unix.sopassword required /lib/security/pam_cracklib.so retry=3 type= d

25、ifok=4 mi LINUX 評(píng)估加固手冊(cè) 第 11 頁 共 14 頁nlen=12 dcredit=1 ucredit=2 lcredit=2 ocredit=1password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shadowpassword required /lib/security/pam_deny.sosession required /lib/security/pam_limits.sosession required /lib/security/pam_unix.so4、信任主機(jī)的設(shè)置、信任主

26、機(jī)的設(shè)置參照 3.2（/etc/inetd.conf 中服務(wù)的啟動(dòng)情況）檢查 rlogin、rsh、rexec 服務(wù)是否啟動(dòng)。如果啟動(dòng)，查看配置文件/etc/hosts.equiv（全局配置文件）和/.rhosts（單獨(dú)用戶的配置文件）文件，檢查文件是否配置妥當(dāng)。建議關(guān)閉 R 系列服務(wù)（rlogin、rsh、rexec） ；如果不能關(guān)閉，則需要檢查配置文件，確保沒有失當(dāng)?shù)呐渲茫ú荒艽嬖凇?”或”+ +”，如果存在，咨詢系統(tǒng)管理員是為何這樣配置） 。5、日志審核的設(shè)置、日志審核的設(shè)置對(duì) ssh、su 登錄日志進(jìn)行記錄編輯 syslogd 配置文件# vi /etc/syslog.conf 加入以

27、下信息，使和登陸驗(yàn)證有關(guān)的日志信息記錄到 secure 文件中# The authpriv file has restricted access.authpriv.* /var/log/secure重新啟動(dòng) syslogd：# /etc/rc.d/init.d/syslog restart 6、物理安全加固、物理安全加固啟動(dòng) LILO 時(shí)需要密碼 LINUX 評(píng)估加固手冊(cè) 第 12 頁 共 14 頁第一步：編輯 lilo.conf 文件（vi /etc/lilo.conf） ，加入或改變這三個(gè)參數(shù)（加#的部分）： boot=/dev/hdaprompttimeout=00 # 把該行改為 00

28、，系統(tǒng)啟動(dòng)時(shí)將不再等待，而直接啟動(dòng) LINUXmessage=/boot/messagelinear default=linux restricted # 加入該行 password= is-0ne # 加入該行并設(shè)置自己的密碼（明文） image=/boot/vmlinuz-2.4.18 label=linux root=/dev/hda6 read-only 第二步：因?yàn)椤?etc/lilo.conf”文件中包含明文密碼，所以要把它設(shè)置為root 權(quán)限讀取。 # chmod 0600 /etc/lilo.conf 第三步：更新系統(tǒng)，以便對(duì)“/etc/lilo.conf”文件做的修改起作用。

29、 # /sbin/lilo -v 第四步：使用“chattr”命令使“/etc/lilo.conf”文件不可改變。 # chattr +i /etc/lilo.conf 這樣可以在一定程度上防止對(duì)“/etc/lilo.conf”任何改變（意外或其他原因）最后將/etc/lilo.conf 文件權(quán)限改為 600 LINUX 評(píng)估加固手冊(cè) 第 13 頁 共 14 頁# chmod 600 /etc/lilo.confpassword 用于系統(tǒng)啟動(dòng)時(shí)應(yīng)當(dāng)輸入密碼；restricted 用于命令行啟動(dòng)系統(tǒng)時(shí)（如：進(jìn)入單用戶模式）需要輸入密碼。7、系統(tǒng)內(nèi)核參數(shù)的配置、系統(tǒng)內(nèi)核參數(shù)的配置RedHat Li

30、nux 使用 sysctl 命令控制內(nèi)核參數(shù)，并可以在/etc/sysctl.conf 中設(shè)置啟動(dòng)的內(nèi)核參數(shù)。比較重要的網(wǎng)絡(luò)安全參數(shù)有：net.ipv4.conf.default.accept_source_route=0 不接收源路由 ip 包net.ipv4.conf.default.send_redirects=0 不發(fā)送重定向 ip 包net.ipv4.conf.default.accept_redirects=0 不接收重定向 ip 包net.ipv4.icmp_echo_ignore_broadcasts=1 忽略 icmp 廣播包net.ipv4.ip_forward=0 禁止 ip 轉(zhuǎn)發(fā)sysctl -a 查看所有的內(nèi)核參數(shù)sysctl -w net.ipv4.ip_forward=0 禁止 ip 轉(zhuǎn)發(fā)使用 vi 編輯/etc/sysctl.conf 文件，添加網(wǎng)絡(luò)安全參數(shù)# For binary values, 0 is disabled, 1 is enabled