加载成功，点击访问 | 您所访问的可能是无图版，图片内容无法显示，点击这里访问|{$sysname}

首页 →文档下载

LINUX安全加固手册

以下为《LINUX安全加固手册》的无排版文字预览，完整内容请下载

LINUX安全加固手册

2010年8月6日

1概述 3

2 安装 3

3 用户帐号安全Password and account security 4

3.1 密码安全策略 4

3.2 检查密码是否安全 4

3.3 Password Shadowing 4

3.4 管理***.5 其它 5

4 网络服务安全(Network Service Security) 5

4.1服务过滤Filtering 6

4.2 /etc/inetd.conf 6

4.3 R 服务 7

4.4 Tcp_wrapper 7

4.5 /etc/hosts.equiv 文件 8

4.6 /etc/services 8

4.7 /etc/aliases 8

4.8 NFS 9

4.9 Trivial ftp (tftp) 9

4.10 Sendmail 9

4.11 finger 10

4.12 UUCP 10

4.13 World Wide Web (WWW) – httpd 10

4.14 FTP安全问题 11

5 系统设置安全(System Setting Security) 12

5.1限制控制台的使用 12

5.2系统关闭Ping 12

5.3关闭或更改系统信息 12

5.4 /etc/securetty文件 13

5.5 /etc/host.conf文件 13

5.6禁止IP源路径路由 13

5.7资源限制 13

5.8 LILO安全 14

5.9 Control-Alt-Delete 键盘关机命令 14

5.10日志系统安全 15

5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 15

6 文件系统安全(File System Security) 15

6.1文件权限 15

6.2控制mount上的文件系统 16

6.3备份与恢复 16

7 其它 16

7.1使用防火墙 16

7.2使用第三方安全工具 16

1概述

?近几年来Internet变得更加不安全了。网络的通信量日益加大，越来越多的重要交易正在通过网络完成，与此同时数据被损坏、截取和修改的风险也在增加。?

只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比过去任何时候都更真实地体现出这一点，基于Linux的系统也不能摆脱这个“普遍规律”而独善其身。因此，优秀的系统应当拥有完善的安全措施，应当足够坚固、能够抵抗来自Internet的侵袭，这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是，如果你不适当地运用Linux的安全工具，它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题，本文将为你解释必须掌握的Linux安全知识。?本文讲述了如何通过基本的安全措施，使Linux系统变得可靠。

2 安装

使系统处于单独（或隔离）的网络中。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击

安装完成后将下面软件卸载

pump apmd lsapnptools redhat-logos

mt-st kernel-pcmcia-cs Setserial redhat-relese

eject linuxconf kudzu gd

bc getty_ps raidtools pciutils

mailcap setconsole gnupg

用下面的命令卸载这些软件：

[root@deep]#rpm –e softwarename

卸载它们之前最好停掉三个进程：

[root@deep]# /etc/rc.d/init.d/apmd stop

[root@deep]# /etc/rc.d/init.d/sendmail stop

[root@deep]# /etc/rc.d/init.d/kudzu stop

3．用户帐号安全Password and account security

3.1 密码安全策略

口令至少为6位，并且包括特殊字符

口令不要太简单，不要以你或者有关人的相关信息构成的密码，比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等。

口令必须有有效期

发现有人长时间猜测口令，需要更换口令

3.2 检查密码是否安全

可以使用以下几种工具检查自己的密码是否安全:

JOHN,crack等暴力猜测密码工具

在线穷举工具，包括Emailcrk、流光等

3.3 Password Shadowing

使用shadow来隐藏密文（现在已经是默认配置）

定期检查shadow文件，如口令长度是否为空。

#awk -F: length($2)==0 {print $1} /etc/shadow

设置文件属性和属主

3.4 管理密码

设置口令有效最长时限（编辑/etc/login.defs文件）

口令最短字符　（如linux默认为５，可以通过编辑/etc/login.defs修改）

只允许特定用户使用su命令成为root。

编辑/etc/pam.d/su文件，在文件头部加上：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=wheel

Red hat 7.0中su文件已做了修改，直接去掉头两行的注释符就可以了

[root@deep]# usermod -G10 admin来将用户加入wheel组

3.5 其它

清除不必要的系统帐户

[root@deep]# userdel adm

[root@deep]# userdel lp

[root@deep]# userdel sync

[root@deep]# userdel shutdown

[root@deep]# userdel halt

[root@deep]# userdel news

[root@deep]# userdel uucp

[root@deep]# userdel operator

[root@deep]# userdel games (如果不使用 X Window，则删除)

[root@deep]# userdel gopher

[root@deep]# userdel ftp （如果不使用ftp服务则删除）

尽量不要在passwd文件中包含个人信息，防止被finger之类程序泄露。

修改shadow,passwd,gshadow文件不可改变位

[root@deep]# chattr +i /etc/passwd

[root@deep]# chattr +i /etc/shadow

[root@deep]# chattr +i /etc/group

[root@deep]# chattr +i /etc/gshadow

不要使用.netrc文件，可以预先生成$HOME/.netrc。设置为0000。

touch /.rhosts ；chmod 0 /.rhosts

使用ssh来代替telnetd,ftpd.pop等通用服务。传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据。?

4 网络服务安全(Network Service Security)

Linux系统对外提供强大、多样的服务，由于服务的多样性及其复杂性，在配置和管理这些服务时特别容易犯错误，另外，提供这些服务的软件本身也存在各种漏洞，所以，在决定系统对外开放服务时，必须牢记两个基本原则：

只对外开放所需要的服务，关闭所有不需要的服务。对外提供的服务越少，所面临的外部威胁越小。

将所需的不同服务分布在不同的主机上，这样不仅提高系统的性能，同时便于配置和管理，减小系统的安全风险。

在上述两个基本原则下，还要进一步检查系统服务的功能和安全漏洞。

这里针对主机所提供的服务进行相应基本安全配置，某些常用服务的安全配置请参考相关文档。

4.1服务过滤Filtering

在SERVER上禁止这些服务

如果一定要开放这些服务，通过防火墙、路由指定信任IP访问。

要确保只有真正需要的服务才被允许外部访问，并合法地通过用户的路由器过滤检查。尤其在下面的服务不是用户真正需要时候，要从路由器上将其过滤掉

NAME PORT PROTOCOL

echo 7 TCP/UDP

systat 11 TCP

netstat 15 TCP

bootp 67 UDP

tftp 69 UDP

link 87 TCP

supdup 95 TCP

sunrpc 111 TCP/UDP

news 144 TCP

snmp 161 UDP

xdmcp 177 UDP

exec 512 TCP

shell 514 TCP

printer 515 TCP

biff 512 UDP

who 513 UDP

syslog 514 UDP

uucp 540 TCP

route 520 UDP

openwin 2000 TCP

nfs 2049 UDP/TCP

x11 6000 to 6000+n TCP

注意：有些UDP服务可以导致DOS攻击和远程溢出，如

rpc.ypupdated

rpcbind

rpc.cmsd 100068

rpc.statd 100024

rpc.ttdbserver 100083

sadmind 100232/10

配置完成以后，利用网络扫描器模拟入侵者从外部进行扫描测试。如利用nmap

/etc/inetd.conf

确保文件权限设置为600

确保文件属主设置为root

注释掉所有不需要的服务，需要重新启动inetd进程

使用netstat –an命令，查看本机所提供的服务。确保已经停掉不需要的服务

R 服务

不必使用R服务

关闭R服务,Red hat 6.2在/etc/inetd.conf文件中注释以下服务，并且重新启动inetd服务。Red hat 7.0在/etc/xinetd.d目录中删除

exec 512 TCP

Rlogin 513 TCP

Rshell 514 TCP

预先生成$HOME/.rhosts，/etc/hosts.equiv文件，并且设置为0000,防止被写入”+ +”。（攻击者经常使用类似符号链接或者利用ROOTSHELL写入，并且远程打开受保护主机的R服务）

必须使用R服务

使用更安全版本的r服务。如Wietse Venema的logdaemon程序等。

在路由或者防火墙上禁止外部网络访问受保护主机的512,513 and 514 (TCP)端口。

使用TCP WRAPPERS设置可访问受保护主机R服务的信任机器。

Tcp_wrapper

该软件的作用是在Unix平台上过滤TCP/UDP服务，它目前已被广泛用于监视并过滤发生在主机上的ftp、telnet、rsh、rlogin、tftp、finger等标准TCP/UDP服务。

当系统安装TCP_wrapper之后，in.conf文件中 /usr/sbin/in.telnetd的in.telnetd会被TCP_wrapper附带的tcpd程序取代。该程序截获来自客户端的服务请求、记录请求发生的时间和IP地址，并按访问控制进行检查。当本次连接的用户、请求源的IP等信息符合管理员的预设值时，才将该次请求传递给系统in.telnetd，由系统in.telnetd完成后续工作；若连接不符合要求，该连接请求将被拒绝。同样，ftp、 rsh等TCP/UDP服务均可被tcpd取代，由tcpd充当二传手。

使用PARANOID 模式,用此参数后需要在/etc/hosts文件中加上允许使用telnet或ftp服务的客户端的名字和IP地址

在/etc/hosts.deny中设置为all:all，默认所有不允许

Access is denied by default.

# Deny access to everyone.

ALL: ALL@ALL, PARANOID #Matches any host whose name does not match its address, see

bellow.

在/etc/hosts.allow中设置允许的服务和地址

如：sshd: 208.164.186.1 gate.openarch.com

使用tcpdchk检查

UDP服务使用tcpwrapper时要使用/etc/inetd.conf中的nowait选项。

/etc/hosts.equiv 文件

不必使用/etc/hosts.equiv文件

从系统中删除此文件

预先生成/etc/hosts.equiv文件，并且设置为0000,防止被写入”+ +”。（攻击者经常使用类似符号链接或者利用ROOTSHELL写入，并且远程打开受保护主机的R服务）

必须使用/etc/hosts.equiv文件

确保此文件中可信赖主机为必须的。

如果使用NIS或者NIS+的话，此文件中的组应该是容易管理的。

信赖主机必须确保可靠

信赖主机使用全名，如例如 hostname.domainname.cn

任何时候都不应该出现”+”字符，因为这样会使任何一台主机上的任何用户都可以不加口令地访问系统

文件中不要使用'!' 和'#'符号，因为在该文件中那并不表示注释信息

文件开始字符不应该为'-'.，请查阅C8

确保该文件的访问权限被设置成600。

文件属主确保为ROOT。

在每次安装补丁程序或操作系统之后，都应该重新检查该文件夹的设置情况

4.6 /etc/services

确保文件权限设置为600

确保文件属主设置为root

如果需要提供一些常见服务，如telnetd等，可以在此修改端口

此文件为端口号和服务的对应关系，给此文件加上保护，避免没有授权的修改和删除

[root@deep]# chattr +i /etc/services

/etc/aliases

修改/etc/aliases文件，注释掉"decode" "games,ingress,system,toor,manager,….”.等

使用/usr/bin/newaliases命令激活新配置

确保文件权限设置为755

确保文件属主设置为root

4.8 NFS

NFS文件系统应注意以下几方面的安全

在外部路由上过滤端口111、2049 （TCP/UDP），不允许外部访问。

检查ＰＡＴＣＨ更新情况。

检查 /etc/exports 输出路径的权限,确定只有root能修改,??all user只能read

用exportfs 去增加或删除directories

exportfs -o access=engineering,ro=dancer /usr

exportfs -u /usr

假如你的机器没有NIS(YP server)的服务,当更改资料时记得修改

/etc/passwd/etc/group/etc/hosts/etc/ethers

不允许export出去包含本地入口的目录

确定对方机器是完全可信赖的。使用全名

确保输出列表没有超过256个字符。

使用showmount –e命令查看自己的export设置

将/etc/exports权限设置为644，属主为root

使用noexec,nodev.nosuid等选项控制mount的文件系统，在/etc/fstab中设置。

Trivial ftp (tftp)

无论何种情况下都不应该启动这个服务进程。

4.10 Sendmail

sendmail提供了许多在编译期间选择的功能特性。通常情况下，按照其缺省配置，即可满足一般用户的需要。但是，了解研究其提供的特性，可以实现对sendmail许多功能的更为准确的配置使用。从网络安全的角度考虑，通过合理地配置有关特性，可以在提供服务和保证安全之间找到更为准确的平衡点(配置特性的方法是将需要的特性加入到相应系统的.mc文件中,然后利用工具m4生成最终的sendmail.cf文件。目前最新版本是sendmail8.11.1.(doc.001pp.com)