中国联通内网Linux系统安全配置指南
3.1.8 配置项名称 操作步骤 安全建议 备 注
3.1.9 配置项名称 操作步骤 安全建议 备 注
远程连接的安全性配置 远程连接的安全性配置 执行:find / -name .netrc,检查系统中是否有.netrc文件, 执行:find / -name .rhosts ,检查系统中是否有.rhosts文件 如无必要,删除这两个文件 可能某些应用需要使用远程连接 用户的umask安全配置 用户的umask安全配置 执行:more /etc/profile more /etc/csh.login more /etc/csh.cshrc more /etc/bashrc检查是否包含umask值 建议设置用户的默认umask=077 使用合适的umask可提高系统安全性 3.2 文件系统
3.2.1. 重要目录和文件的权限设置 配置项名称 重要目录和文件的权限设置 执行以下命令检查目录和文件的权限设置情况: ls –l /etc/ ls –l /etc/rc.d/init.d/ ls –l /tmp ls –l /etc/inetd.conf ls –l /etc/passwd ls –l /etc/shadow ls –l /etc/group ls –l /etc/security ls –l /etc/services ls -l /etc/rc*.d 对于重要目录,建议执行如下类似操作: # chmod -R 750 /etc/rc.d/init.d/* 这样只有root可以读、写和执行这个目录下的脚本。 操作步骤 安全建议 备 注
3.2.2. 查找未授权的SUID/SGID文件 配置项名称 SUID/SGID文件 用下面的命令查找系统中所有的SUID和SGID程序,执行: for PART in `grep -v ^# /etc/fstab | awk '($6 != \find $PART \\( -perm -04000 -o -perm -02000 \\) -type f -xdev -print done 建议经常性的对比suid/sgid文件列表,以便能够及时发现可疑的后门程序。 系统中SUID和SGID文件很有可能成为安全隐患,必须被严密监控。因为这些程序都给执行它的用户一些特权,所以要确保危险的SUID程序没有被安装。 3
操作步骤 安全建议 备 注 中国联通内网Linux系统安全配置指南
黑客常常利用SUID程序,故意留下一个SUID的程序作为下次进入系统的后门。注意系统中所有的SUID和SGID的程序,并跟踪它们,这样可尽早发现入侵者。
3.2.3. 查找没有包含粘性位的任何人都有写权限的目录 配置项名称 检查任何人都有写权限的目录 在系统中定位任何人都有写权限的目录用下面的命令: for PART in `awk '($3 == \{ print $2 }' /etc/fstab`; do find $PART -xdev -type d \\( -perm -0002 -a ! -perm -1000 \\) -print done 返回值应为空 按实际需求更改权限, 检查哪些目录是任何人都具备写操作权限并且没有粘性位。 操作步骤 安全建议 备 注
3.2.4. 查找任何人都有写权限的文件 配置项名称 查找任何人都有写权限的文件 在系统中定位任何人都有写权限的文件用下面的命令: for PART in `grep -v ^# /etc/fstab | awk '($6 != \find $PART -xdev -type f \\( -perm -0002 -a ! -perm -1000 \\) -print done 按实际需求更改权限,执行:chmod o-w 文件名 操作步骤 安全建议 备 注
3.2.5. 没有属主的文件 配置项名称 检查没有属主的文件 定位系统中没有属主的文件用下面的命令: for PART in `grep -v ^# /etc/fstab | awk '($6 != \find $PART -nouser -o -nogroup -print done 注意:不用管“/dev”目录下的那些文件。 建议严格审查所有无属主的可疑文件。 发现没有属主的文件往往就意味着有黑客入侵你的系统了。不能允许没有属主的文件存在。如果在系统中发现了没有属主的文件或目录,先查看它的完整性,如果一切正常,给它一个属主。有时候卸载程序可能会出现一些没有属主的文件或目录,在这种情况下可以把这些文件和目录删除掉。 操作步骤 安全建议 备 注 3.2.6. 异常隐含文件 配置项名称 异常隐含文件 在系统的每个地方都要查看一下有没有异常隐含文件(点号是起始字符的,用“ls”命令看不到的文件),因为这些文件可能是隐藏的黑客工具或者其它一些信息(口令破解程序、其它系统的口令文件,等等)。在UNIX下,一个常用的技术就是用一些特殊的名,如:“…”、“.. ”(点点空格)或“..^G”(点点control-G),4
操作步骤 中国联通内网Linux系统安全配置指南
来隐含文件或目录。 用“find”程序可以查找到这些隐含文件。例如: # find / -name \–xdev # find / -name \-print -xdev | cat -v 同时也要注意象“.xx”和“.mail”这样的文件名的。(这些文件名看起来都很象正常的文件名) 安全建议 备 注 建议严格审查系统中的异常隐含文件 3.3 网络与服务
3.3.1. 检查xinetd中基本网络服务配置 配置项名称 操作步骤 xinetd中基本网络服务配置 执行:ls –l /etc/xinetd.d more * |grep disable 检查/etc/xinetd.d目录中的包含的基本的网络服务的配置文件 建议禁止下列不必要的基本网络服务。 chargen chargen-udp cups-lpd cups daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services sgi_fam talk telnet tftp time time-udp vsftpd wu-ftpd 执行:chkconfig ${FILE} off 关闭不需要的服务 more * |grep disable 中*为/etc/xinetd.d下的文件, disable=yes说明服务关闭 disable=yes说明服务启动 安全建议 备 注
3.3.2. 只在必需NFS时,才开启NFS 配置项名称 操作步骤 安全建议 备 注
3.3.3. 常规网络服务 配置项名称 常规网络服务 询问管理员或执行以下操作检查系统运行那些常规网络服务,并记录各类服务的服务系统软件类型和版本,对于运行的服务,提取相关配置文件信息: telnet localhost 80 telnet localhost 25 telnet localhost 110 telnet localhost 143 telnet localhost 443 telnet localhost 21 确保web / mail / ftp等常规网络服务的运行正常 只在必需NFS时,才开启NFS 执行:chkconfig - -level 345 nfs on 起用NFS chkconfig - -level 345 nfs off 停用NFS 如非必要,建议停止NFS。Linux默认停止NFS 在不需要的情况下,不启用NFS 操作步骤 安全建议 备 注 5
中国联通内网Linux系统安全配置指南
3.4 日志审计
3.4.1. at/cron任务授权 配置项名称 操作步骤 安全建议 备 注
3.4.2. 登录事件记录 配置项名称 操作步骤 安全建议 备 注 3.4.3. syslog.conf配置 配置项名称 Syslog.conf的配置审核 执行:more /etc/syslog.conf,查看是否设置了下列项: kern.warning;*.err;authpriv.none\\t@loghost *.info;mail.none;authpriv.none;cron.none\\t@loghost *.emerg\\t@loghost local7.*\\t@loghost 建议配置专门的日志服务器,加强日志信息的异地同步备份。 syslog登录事件记录 执行命令:more /etc/syslog.conf 查看参数authpriv值 记录所有登录事件 Cron任务授权 执行:ls –l /etc/cron.deny /etc/at.deny 查看cron.deny、 at.deny文件的授权情况 只允许指定授权用户启用cron/at任务,删除cron.deny at.deny文件,建立cron.allow at.allow文件 操作步骤 安全建议 备 注 3.5 系统文件
3.5.1. 系统磁盘状态 配置项名称 操作步骤 安全建议 备 注
3.5.2. core dump状态 配置项名称 操作步骤 安全建议 备 注 4
评审与修订
本指南每年审查一次,并根据需要进行修订。如遇国家相关法律法规发生变化或中
6
系统磁盘状态 执行:df –k,检查当前系统文件配置情况 及时处理磁盘空间不足情况 系统core dump状态 执行:more /etc/security/limits.conf 检查是否包含下列项: * soft core 0 * hard core 0 关闭系统的core dump core dump中可能包括系统信息,易被入侵者利用 中国联通内网Linux系统安全配置指南
国联通企业信息安全策略发生重大变更等情况时,本指南将适时修订。
7
百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读,免费范文网,提供经典小说综合文库Linux系统安全配置指南(基线)(2)在线全文阅读。
相关推荐: