LINUX安全加固手册

LINUX安全加固手册

用户帐号安全Password and account security

43、1 密码安全策略

43、2 检查密码是否安全

43、3 Password Shadowing

43、4 管理密码

43、5 其它54 网络服务安全(Network Service Security)

54、1服务过滤Filtering

64、2/etc/inetd、conf

64、3R 服务

74、4Tcp_wrapper

74、5/etc/hosts、equiv 文件

84、6 /etc/services

84、7/etc/aliases

84、8 NFS

94、9Trivial ftp (tftp)

94、10 Sendmail

94、11 finger104、12UUCP104、13World Wide Web (WWW)

–httpd104、14FTP安全问题115系统设置安全(System Setting Security)1

25、1限制控制台的使用1

25、2系统关闭Ping1

25、3关闭或更改系统信息1

25、4 /etc/securetty文件1

35、5 /etc/host、conf文件1

35、6禁止IP源路径路由1

35、7资源限制1

35、8 LILO安全1

45、9 Control-Alt-Delete 键盘关机命令1

45、10日志系统安全1

55、11修正脚本文件在“/etc/rc、d/init、d”目录下的权限156文件系统安全(File System Security)1

56、1文件权限1

56、2控制mount上的文件系统1

66、3备份与恢复167其它1

67、1使用防火墙1

67、2使用第三方安全工具161概述近几年来Internet变得更加不安全了。网络的通信量日益加大，越来越多的重要交易正在通过网络完成，与此同时数据被损坏、截取和修改的风险也在增加。

只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比过去任何时候都更真实地体现出这一点，基于Linux的系统也不能摆脱这个“普遍规律”而独善其身。因此，优秀的系统应当拥有完善的安全措施，应当足够坚固、能够抵抗来自Internet的侵袭，这正是Linux之所以流行并且成为Internet 骨干力量的主要原因。但是，如果你不适当地运用Linux的安全工具，它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题，本文将为你解释必须掌握的Linux安全知识。本文讲述了如何通过基本的安全措施，使Linux系统变得可靠。

2 安装使系统处于单独（或隔离）的网络中。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击安装完成后将下面软件卸载pumpapmdlsapnptoolsredhat-logosmt-stkernel-pcmcia-csSetserialredhat-r eleseejectlinuxconfkudzugdbcgetty_psraidtoolspciutilsmailcapsetconsol egnupg用下面的命令卸载这些软件：[root@deep]#rpm –e softwarename卸载它们之前最好停掉三个进程：[root@deep]# /etc/rc、d/init、d/apmd stop[root@deep]# /etc/rc、d/init、d/sendmail stop[root@deep]# /etc/rc、d/init、d/kudzu stop

3、用户帐号安全Password and account security

3、1 密码安全策略l 口令至少为6位，并且包括特殊字符l 口令不要太简单，不要以你或者有关人的相关信息构成的密码，比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等。l 口令必须有有效期l 发现有人

长时间猜测口令，需要更换口令

3、2 检查密码是否安全可以使用以下几种工具检查自己的密码是否安全:l JOHN,crack等暴力猜测密码工具l 在线穷举工具，包括Emailcrk、流光等

3、3 Password Shadowingl 使用shadow来隐藏密文（现在已经是默认配置）l 定期检查shadow文件，如口令长度是否为空。#awkG10 admin来将用户加入wheel组

3、5 其它l 清除不必要的系统帐户[root@deep]# userdel adm[root@deep]# userdel lp[root@deep]# userdel sync[root@deep]# userdel shutdown[root@deep]# userdel halt[root@deep]# userdel news[root@deep]# userdel uucp[root@deep]# userdel operator[root@deep]# userdel games (如果不使用X Window，则删除)[root@deep]# userdel gopher[root@deep]# userdel ftp （如果不使用ftp服务则删除）l 尽量不要在passwd文件中包含个人信息，防止被finger之类程序泄露。l 修改shadow,passwd,gshadow文件不可改变位[root@deep]# chattr +i /etc/passwd[root@deep]# chattr +i /etc/shadow[root@deep]# chattr +i /etc/group[root@deep]# chattr +i /etc/gshadowl 不要使用、netrc文件，可以预先生成$HOME/、netrc。设置为0000。touch /、rhosts ；chmod 0 /、rhosts l 使用ssh来代替telnetd,ftpd、pop等通用服务。传统的网络服务程序，如：ftp、pop和telnet在本质上都是不安全的，因为它们在网络上用明文传送口令和数据。4 网络服务安全(Network Service Security)Linux系统对外提供强大、多样的服务，由于服务的多样性及其复杂性，在配置和管理这些服务时特别容易犯错误，另外，提供这些服务的软件本身也存在各种漏洞，所以，在决定系统对外开放服务时，必须牢记两个基本原则：l 只对外开放所需要的服务，关闭所有不需要的服务。对外提供的服务越少，所面临的外部威胁越小。l 将所需的不同服务分布在不同的主机上，这样不仅提高系统的性能，同时便于配置和管理，减小系统的安全风险。在上述两个基本原则下，还要进一步检查系统服务的功能和安全漏洞。这里针对主机所提供的服务进行相应基本安全配置，某些常用服务的安全配置请参考相关文档。

4、1服务过滤Filteringl 在SERVER上禁止这些服务l 如果一定要开放这些服务，通过防火墙、路由指定信任IP访问。l 要确保只有真正需要的服务