REDHAT LINUX安全配置手册
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
tar zxfv *.tar.gz 再根据使用情况对编译配置进行修改,或直接采用默认配置
cd * ./configure 再进行编译和安装 make make install
最小化 xinetd 网络服务
停止默认服务
说明: Xinetd 是旧的 inetd 服务的替代,他提供了一些网络相关服务的启动调用方式。Xinetd 应禁 止以下默认服务的开放: chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers
2
补丁
Linux 安全配置手册
【机密】
系统补丁
系统内核版本使用 uname -a 查看。 软件版本和补丁使用 rpm -qa 查看。 使用 up2date 命令自动升级或去 ftp://update.redhat.com 下载对应版本补丁手工单独安装。
其他应用补丁
除 RedHat 官方提供的系统补丁之外,系统也应对根据开放的服务和应用进行补丁,如 APACHE、PHP、OPENSSL、MYSQL 等应用进行补丁。 具体升级方法: 首先确认机器上安装了 gcc 及必要的库文件。 然后去应用的官方网站下载对应的源代码包,如 *.tar.gz 再解压
关闭 xinetd 服务
说明: 如果前面第二章关闭 xinetd 服务中所列的服务,都不需要开放,则可以直接关闭 xinetd 服务。 操作: chkconfig --level 12345 xinetd off
4
关闭邮件服务
Linux 安全配置手册
【机密】
说明: 1) 如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接关闭邮件服务。 2) 如果不需要作为邮件服务器,但是允许用户发送邮件,可以设置 Sendmail 不运行在
调整 SMB 服务
说明: Samba 服务器一般用来提供与 Windows 类似的文件和打印共享服务。除非十分必要,否则 应关闭 SMB(Windows 文件共享)服务。可采用以下方式开放 SMB 服务。 操作: chkconfig smb on
调整 NFS 服务器服务
说明: NFS 漏洞较多,经常被利用来取得未授权的文件或系统权限。除非十分必要,否则应关闭 NFS 服务。可采用以下方式开放 SMB 服务,并应该限制 export 文件系统的中的 IP 地址范 围,以及增添只读权限。 操作:
调整 netfs 服务
【机密】
说明: 此服务会作为客户端挂接网络中的磁盘。如果没有网络文件共享协议如 NFS,NovellNetware 或 Windows 文件共享使用,则可以关闭此服务。 操作: chkconfig --level 345 netfs on
调整打印机服务
说明: UNIX 打印服务存在较多的安全漏洞。如果系统不作为网络中的打印机服务器,则可以关闭 此服务。如果必须使用此服务,首先应保证软件都经过最新的补丁,然和设置 cupsd 进程运 行在非 root 用户和组。 操作: if [ -e /etc/init.d/cups ] ; then chkconfig cups on sed 's/^\#User lp/User lp/' /etc/cups/cupsd.conf \ >/etc/cups/cupsd.conf.new sed 's/^\#Group sys/Group sys/' \ /etc/cups/cupsd.conf.new >/etc/cups/cupsd.conf rm -f /etc/cups/cupsd.conf.new /bin/chown lp:sys /etc/cups/cupsd.conf /bin/chmod 600 /etc/cups/cupsd.conf fi chkconfig hpoj on chkconfig lpd on
关闭 X 字体服务器
说明: 如果关闭了 X Windows 服务,则 X font 服务器服务也应该进行关闭。
5
Linux 安全配置手册
操作: chkconfig xfs off
关闭其他默认启动服务
【机密】
说明: 系统启动时会启动很多不必要的服务,这些不必要的服务均存在一定的安全隐患。一般可能 存在以下不必要的服务: apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups 加固时,应根据机器具体配置使用和应用情况对开放的服务进行调整,关闭不需要的服务。 服务运行脚本一般都放在/etc/rc.d/rc*.d 进行启动,可以使用 chkconfig 工具直接进行管理。 对于必须通过/etc/rc.d/rc*.d 开放的服务,应确保都已打上过最新的补丁。 操作: chkconfig --level 12345 服务名 off 如果关闭了特定的服务,也应该同时对这些服务在系统中的用户加以锁定或删除 可能包括以下用户 rpc rpcuser lp apache http httpd named dns mysql postgres squid usermod -L 要锁定的用户
关闭图形登录服务
说明: 一般来说,大部分软件的安装和运行都不需要图形环境。如果不需要图形环境进行登录和操 作,可以关闭 X Windows 的运行。 操作: cp /etc/inittab /etc/inittab.bak 编辑/etc/inittab 文件 修改 id:5:initdefault:行为 id:3:initdefault: chown root:root /etc/inittab chmod 0600 /etc/inittab 如需要 X Windows 的时候,可运行 startx 命令启动图形界面。
6
Linux 安全配置手册
chkconfig --level 345 nfs on
调整 NFS 客户端服务
【机密】
说明: NFS 客户端服务一般用来访问其他 NFS 服务器。除非十分必要,否则应关闭此服务。可采 用以下方式开放此服务。 操作: chkconfig --level 345 nfslock on chkconfig --level 345 autofs on
调整 RPC 端口映射服务
说明: RPC 协议一般经过比较简单的或不经认证就可以得到一些非常敏感的信息。并且 RPC 系列 服务都存在一些缓冲区溢出问题。 在以下情况下可以考虑关闭 RPC 端口映射服务: 服务器不是 NFS 服务器或客户端;
7
Linux 安全配置手册
服务器不是 NIS 服务器或客户端; 服务器没有运行其它依赖于 RPC 服务的第三方软件; 服务器不运行图形界面(x-windows)。 操作: chkconfig --level 345 portmap on
RedHat Linux 安全配置手册
【机密】
北京启明星辰信息技术有限公司
说明
Linux 安全配置手册
1.文档信息 文档名称 RedHat Linux 安全配置手册 版本编号 制作人 制作日期
【机密】
2.分发控制 编号 1 2
读者
文档权限
与文档的主要关系
3.版本历史 版本编号
创建日期
制作人
说明
1
Linux 安全配置手册
【机密】
综述
本文档针对安装的 RedHat Linux 为对象撰写而成,以 root 用户登录进行操作。不推荐使用 网络远程的方式进行补丁及配置修改等加固操作。 部分操作需要重新启动服务器才会生效,注意某些数据库等应用需要先停止应用,然后才可 以重新启动。 加固之前首先应对系统中的重要文件及可能修改的文件进行备份,可参照使用以下脚本: for file in /etc/inetd.conf /etc/hosts.equiv \ /etc/ftpusers /etc/passwd /etc/shadow /etc/hosts.allow \ /etc/hosts.deny /etc/proftpd.conf \ /etc/rc.d/init.d/functions /etc/inittab \ /etc/sysconfig/sendmail /etc/security/limits.conf \ /etc/exports /etc/sysctl.conf /etc/syslog.conf \ /etc/fstab /etc/security.console.perms /root/.rhosts \ /root/.shosts /etc/shosts.equiv /etc/X11/xdm/Xservers \ /etc/X11/xinit/xserverrc /etc/X11/gdm/gdm.conf \ /etc/cron.allow /etc/cron.deny /etc/at.allow \ /etc/at.deny /etc/crontab /etc/motd /etc/issue \ /usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm.conf \ /etc/securetty /etc/security/access.conf /etc/lilo.conf \ /etc/grub.conf /etc/login.defs /etc/group /etc/profile \ /etc/csh.login /etc/csh.cshrc /etc/bashrc \ /etc/ssh/sshd_config /etc/ssh/ssh_config \ /etc/cups/cupsd.conf /etc/{,vsftpd/}vsftpd.conf \ /etc/logrotate.conf /root/.bashrc /root/.bash_profile \ /root/.cshrc /root/.tcshrc /etc/vsftpd.ftpusers ; do [ -f $file ] && /bin/cp $file $file-preCIS done for dir in /etc/xinetd.d /etc/rc[0123456].d \ /var/spool/cron /etc/cron.* /etc/logrotate.d /var/log \ /etc/pam.d /etc/skel ; do [ -d $dir ] && /bin/cp -r $dir $dir-preCIS done
调整 NIS 服务器服务
说明: NIS 用来提供基于 UNIX 的域管理和认证手段。除非十分必要,否则应关闭此服务。可采用 以下方式开放此服务。 操作: chkconfig ypserv on chkconfig yppasswdd on
调整 NIS 客户端服务
说明: NIS 客户端用来访问其他 NIS 服务器。除非十分必要,否则应关闭此服务。可采用以下方式 开放此服务。 操作: chkconfig ypbind on
daemon 模式。 操作: 1) chkconfig --level 12345 sendmail off 2) 编辑/etc/sysconfig/senmail 文件 增添以下行 DAEMON=no QUEUE=1h 设置 cd /etc/sysconfig /bin/chown root:root sendmail /bin/chmod 644 sendmail
最小化启动服务
设置 daemon 权限 unmask
说明: 默认系统 umask 至少为 022,以防止 daemon 被其他低权限用户修改。 操作: vi 修改/etc/rc.d/init.d 文件,umask 值为 022。 同时检查/etc/rc.d/init.d 中其他启动脚本权限是否为 755。
3
Байду номын сангаас
Linux 安全配置手册
services 操作: 停止一个服务 chkconfig 服务名 off 打开一个服务 chkconfig 服务名 on 也可以使用 ntsysv 命令进行服务开关调整
其他
【机密】
说明: 对于 xinet 必须开放的服务,应该注意服务软件的升级和安全配置,并推荐使用 SSH 和 SSL 对原明文的服务进行替换。如果条件允许,可以使用系统自带的 iptables 或 tcp-wrapper 功能 对访问 IP 地址进行限制。 操作: Xinetd、SSH 和 SSL、防火墙配置参见对应系统的用户手册,此不详述。
cd * ./configure 再进行编译和安装 make make install
最小化 xinetd 网络服务
停止默认服务
说明: Xinetd 是旧的 inetd 服务的替代,他提供了一些网络相关服务的启动调用方式。Xinetd 应禁 止以下默认服务的开放: chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers
2
补丁
Linux 安全配置手册
【机密】
系统补丁
系统内核版本使用 uname -a 查看。 软件版本和补丁使用 rpm -qa 查看。 使用 up2date 命令自动升级或去 ftp://update.redhat.com 下载对应版本补丁手工单独安装。
其他应用补丁
除 RedHat 官方提供的系统补丁之外,系统也应对根据开放的服务和应用进行补丁,如 APACHE、PHP、OPENSSL、MYSQL 等应用进行补丁。 具体升级方法: 首先确认机器上安装了 gcc 及必要的库文件。 然后去应用的官方网站下载对应的源代码包,如 *.tar.gz 再解压
关闭 xinetd 服务
说明: 如果前面第二章关闭 xinetd 服务中所列的服务,都不需要开放,则可以直接关闭 xinetd 服务。 操作: chkconfig --level 12345 xinetd off
4
关闭邮件服务
Linux 安全配置手册
【机密】
说明: 1) 如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接关闭邮件服务。 2) 如果不需要作为邮件服务器,但是允许用户发送邮件,可以设置 Sendmail 不运行在
调整 SMB 服务
说明: Samba 服务器一般用来提供与 Windows 类似的文件和打印共享服务。除非十分必要,否则 应关闭 SMB(Windows 文件共享)服务。可采用以下方式开放 SMB 服务。 操作: chkconfig smb on
调整 NFS 服务器服务
说明: NFS 漏洞较多,经常被利用来取得未授权的文件或系统权限。除非十分必要,否则应关闭 NFS 服务。可采用以下方式开放 SMB 服务,并应该限制 export 文件系统的中的 IP 地址范 围,以及增添只读权限。 操作:
调整 netfs 服务
【机密】
说明: 此服务会作为客户端挂接网络中的磁盘。如果没有网络文件共享协议如 NFS,NovellNetware 或 Windows 文件共享使用,则可以关闭此服务。 操作: chkconfig --level 345 netfs on
调整打印机服务
说明: UNIX 打印服务存在较多的安全漏洞。如果系统不作为网络中的打印机服务器,则可以关闭 此服务。如果必须使用此服务,首先应保证软件都经过最新的补丁,然和设置 cupsd 进程运 行在非 root 用户和组。 操作: if [ -e /etc/init.d/cups ] ; then chkconfig cups on sed 's/^\#User lp/User lp/' /etc/cups/cupsd.conf \ >/etc/cups/cupsd.conf.new sed 's/^\#Group sys/Group sys/' \ /etc/cups/cupsd.conf.new >/etc/cups/cupsd.conf rm -f /etc/cups/cupsd.conf.new /bin/chown lp:sys /etc/cups/cupsd.conf /bin/chmod 600 /etc/cups/cupsd.conf fi chkconfig hpoj on chkconfig lpd on
关闭 X 字体服务器
说明: 如果关闭了 X Windows 服务,则 X font 服务器服务也应该进行关闭。
5
Linux 安全配置手册
操作: chkconfig xfs off
关闭其他默认启动服务
【机密】
说明: 系统启动时会启动很多不必要的服务,这些不必要的服务均存在一定的安全隐患。一般可能 存在以下不必要的服务: apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups 加固时,应根据机器具体配置使用和应用情况对开放的服务进行调整,关闭不需要的服务。 服务运行脚本一般都放在/etc/rc.d/rc*.d 进行启动,可以使用 chkconfig 工具直接进行管理。 对于必须通过/etc/rc.d/rc*.d 开放的服务,应确保都已打上过最新的补丁。 操作: chkconfig --level 12345 服务名 off 如果关闭了特定的服务,也应该同时对这些服务在系统中的用户加以锁定或删除 可能包括以下用户 rpc rpcuser lp apache http httpd named dns mysql postgres squid usermod -L 要锁定的用户
关闭图形登录服务
说明: 一般来说,大部分软件的安装和运行都不需要图形环境。如果不需要图形环境进行登录和操 作,可以关闭 X Windows 的运行。 操作: cp /etc/inittab /etc/inittab.bak 编辑/etc/inittab 文件 修改 id:5:initdefault:行为 id:3:initdefault: chown root:root /etc/inittab chmod 0600 /etc/inittab 如需要 X Windows 的时候,可运行 startx 命令启动图形界面。
6
Linux 安全配置手册
chkconfig --level 345 nfs on
调整 NFS 客户端服务
【机密】
说明: NFS 客户端服务一般用来访问其他 NFS 服务器。除非十分必要,否则应关闭此服务。可采 用以下方式开放此服务。 操作: chkconfig --level 345 nfslock on chkconfig --level 345 autofs on
调整 RPC 端口映射服务
说明: RPC 协议一般经过比较简单的或不经认证就可以得到一些非常敏感的信息。并且 RPC 系列 服务都存在一些缓冲区溢出问题。 在以下情况下可以考虑关闭 RPC 端口映射服务: 服务器不是 NFS 服务器或客户端;
7
Linux 安全配置手册
服务器不是 NIS 服务器或客户端; 服务器没有运行其它依赖于 RPC 服务的第三方软件; 服务器不运行图形界面(x-windows)。 操作: chkconfig --level 345 portmap on
RedHat Linux 安全配置手册
【机密】
北京启明星辰信息技术有限公司
说明
Linux 安全配置手册
1.文档信息 文档名称 RedHat Linux 安全配置手册 版本编号 制作人 制作日期
【机密】
2.分发控制 编号 1 2
读者
文档权限
与文档的主要关系
3.版本历史 版本编号
创建日期
制作人
说明
1
Linux 安全配置手册
【机密】
综述
本文档针对安装的 RedHat Linux 为对象撰写而成,以 root 用户登录进行操作。不推荐使用 网络远程的方式进行补丁及配置修改等加固操作。 部分操作需要重新启动服务器才会生效,注意某些数据库等应用需要先停止应用,然后才可 以重新启动。 加固之前首先应对系统中的重要文件及可能修改的文件进行备份,可参照使用以下脚本: for file in /etc/inetd.conf /etc/hosts.equiv \ /etc/ftpusers /etc/passwd /etc/shadow /etc/hosts.allow \ /etc/hosts.deny /etc/proftpd.conf \ /etc/rc.d/init.d/functions /etc/inittab \ /etc/sysconfig/sendmail /etc/security/limits.conf \ /etc/exports /etc/sysctl.conf /etc/syslog.conf \ /etc/fstab /etc/security.console.perms /root/.rhosts \ /root/.shosts /etc/shosts.equiv /etc/X11/xdm/Xservers \ /etc/X11/xinit/xserverrc /etc/X11/gdm/gdm.conf \ /etc/cron.allow /etc/cron.deny /etc/at.allow \ /etc/at.deny /etc/crontab /etc/motd /etc/issue \ /usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm.conf \ /etc/securetty /etc/security/access.conf /etc/lilo.conf \ /etc/grub.conf /etc/login.defs /etc/group /etc/profile \ /etc/csh.login /etc/csh.cshrc /etc/bashrc \ /etc/ssh/sshd_config /etc/ssh/ssh_config \ /etc/cups/cupsd.conf /etc/{,vsftpd/}vsftpd.conf \ /etc/logrotate.conf /root/.bashrc /root/.bash_profile \ /root/.cshrc /root/.tcshrc /etc/vsftpd.ftpusers ; do [ -f $file ] && /bin/cp $file $file-preCIS done for dir in /etc/xinetd.d /etc/rc[0123456].d \ /var/spool/cron /etc/cron.* /etc/logrotate.d /var/log \ /etc/pam.d /etc/skel ; do [ -d $dir ] && /bin/cp -r $dir $dir-preCIS done
调整 NIS 服务器服务
说明: NIS 用来提供基于 UNIX 的域管理和认证手段。除非十分必要,否则应关闭此服务。可采用 以下方式开放此服务。 操作: chkconfig ypserv on chkconfig yppasswdd on
调整 NIS 客户端服务
说明: NIS 客户端用来访问其他 NIS 服务器。除非十分必要,否则应关闭此服务。可采用以下方式 开放此服务。 操作: chkconfig ypbind on
daemon 模式。 操作: 1) chkconfig --level 12345 sendmail off 2) 编辑/etc/sysconfig/senmail 文件 增添以下行 DAEMON=no QUEUE=1h 设置 cd /etc/sysconfig /bin/chown root:root sendmail /bin/chmod 644 sendmail
最小化启动服务
设置 daemon 权限 unmask
说明: 默认系统 umask 至少为 022,以防止 daemon 被其他低权限用户修改。 操作: vi 修改/etc/rc.d/init.d 文件,umask 值为 022。 同时检查/etc/rc.d/init.d 中其他启动脚本权限是否为 755。
3
Байду номын сангаас
Linux 安全配置手册
services 操作: 停止一个服务 chkconfig 服务名 off 打开一个服务 chkconfig 服务名 on 也可以使用 ntsysv 命令进行服务开关调整
其他
【机密】
说明: 对于 xinet 必须开放的服务,应该注意服务软件的升级和安全配置,并推荐使用 SSH 和 SSL 对原明文的服务进行替换。如果条件允许,可以使用系统自带的 iptables 或 tcp-wrapper 功能 对访问 IP 地址进行限制。 操作: Xinetd、SSH 和 SSL、防火墙配置参见对应系统的用户手册,此不详述。