亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標(biāo)題: LINUX安全加固 [打印本頁(yè)]

作者: gaoshixing 時(shí)間: 2010-01-28 20:18
標(biāo)題: LINUX安全加固

本文來(lái)自:
http://security.zdnet.com.cn/security_zone/2009/1214/1556391.shtml
Redhat是目前企業(yè)中用的最多的一類(lèi)Linux，而目前針對(duì)Redhat攻擊的黑客也越來(lái)越多了。我們要如何為這類(lèi)服務(wù)器做好安全加固工作呢?
　　一. 賬戶安全
　　1.1 鎖定系統(tǒng)中多余的自建帳號(hào)
　　檢查方法:
　　執(zhí)行命令
　　#cat /etc/passwd
　　#cat /etc/shadow
　　查看賬戶、口令文件，與系統(tǒng)管理員確認(rèn)不必要的賬號(hào)。對(duì)于一些保留的系統(tǒng)偽帳戶如：bin, sys，adm，uucp，lp, nuucp，hpdb, www, daemon等可根據(jù)需要鎖定登陸。
　　備份方法：
　　#cp -p /etc/passwd /etc/passwd_bak
　　#cp -p /etc/shadow /etc/shadow_bak
　　加固方法:
　　使用命令passwd -l 鎖定不必要的賬號(hào)。
　　使用命令passwd -u 解鎖需要恢復(fù)的賬號(hào)。
　　

　　圖1
　　風(fēng)險(xiǎn):
　　需要與管理員確認(rèn)此項(xiàng)操作不會(huì)影響到業(yè)務(wù)系統(tǒng)的登錄
　　1.2設(shè)置系統(tǒng)口令策略
　　檢查方法：
　　使用命令
　　#cat /etc/login.defs|grep PASS查看密碼策略設(shè)置
　　備份方法：
　　cp -p /etc/login.defs /etc/login.defs_bak
　　加固方法：
　　#vi /etc/login.defs修改配置文件
　　PASS_MAX_DAYS 90 #新建用戶的密碼最長(zhǎng)使用天數(shù)
　　PASS_MIN_DAYS 0 #新建用戶的密碼最短使用天數(shù)
　　PASS_WARN_AGE 7 #新建用戶的密碼到期提前提醒天數(shù)
　　PASS_MIN_LEN 9 #最小密碼長(zhǎng)度9
　　

　　圖2
　　風(fēng)險(xiǎn)：無(wú)可見(jiàn)風(fēng)險(xiǎn)
　　1.3禁用root之外的超級(jí)用戶
　　檢查方法：
　　#cat /etc/passwd 查看口令文件，口令文件格式如下：
　　login_name：password：user_ID：group_ID：comment：home_dir：command
　　login_name：用戶名
　　password：加密后的用戶密碼
　　user_ID：用戶ID，(1 ~ 6000) 若用戶ID=0，則該用戶擁有超級(jí)用戶的權(quán)限。查看此處是否有多個(gè)ID=0。
　　group_ID：用戶組ID
　　comment：用戶全名或其它注釋信息
　　home_dir：用戶根目錄
　　command：用戶登錄后的執(zhí)行命令
　　備份方法：
　　#cp -p /etc/passwd /etc/passwd_bak
　　加固方法：
　　使用命令passwd -l 鎖定不必要的超級(jí)賬戶。
　　使用命令passwd -u 解鎖需要恢復(fù)的超級(jí)賬戶。
　　風(fēng)險(xiǎn)：需要與管理員確認(rèn)此超級(jí)用戶的用途。
　　1.4 限制能夠su為root的用戶
　　檢查方法：
　　#cat /etc/pam.d/su,查看是否有auth required /lib/security/pam_wheel.so這樣的配置條目
　　備份方法：#cp -p /etc/pam.d /etc/pam.d_bak
　　加固方法：
　　#vi /etc/pam.d/su
　　在頭部添加：
　　auth required /lib/security/pam_wheel.so group=wheel
　　這樣，只有wheel組的用戶可以su到root
　　#usermod -G10 test 將test用戶加入到wheel組
　　

　　圖3
　　風(fēng)險(xiǎn)：需要PAM包的支持;對(duì)pam文件的修改應(yīng)仔細(xì)檢查，一旦出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無(wú)法登陸;和管理員確認(rèn)哪些用戶需要su。
　　當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問(wèn)題時(shí)，首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息，根據(jù)這些信息判斷用戶賬號(hào)的有效
　　性。如果是因?yàn)镻AM驗(yàn)證故障，而引起root也無(wú)法登錄，只能使用single user或者rescue模式進(jìn)行排錯(cuò)。
　　1.5 檢查shadow中空口令帳號(hào)
　　檢查方法：
　　#awk -F: '( == "") { print }' /etc/shadow
　　備份方法：cp -p /etc/shadow /etc/shadow_bak
　　加固方法：對(duì)空口令賬號(hào)進(jìn)行鎖定，或要求增加密碼
　　

　　圖4
　　風(fēng)險(xiǎn)：要確認(rèn)空口令賬戶是否和應(yīng)用關(guān)聯(lián)，增加密碼是否會(huì)引起應(yīng)用無(wú)法連接。
　　二、最小化服務(wù)
　　2.1 停止或禁用與承載業(yè)務(wù)無(wú)關(guān)的服務(wù)
　　檢查方法：
　　#who –r或runlevel 查看當(dāng)前init級(jí)別
　　#chkconfig --list 查看所有服務(wù)的狀態(tài)
　　備份方法：記錄需要關(guān)閉服務(wù)的名稱
　　加固方法：
　　#chkconfig --level on|off|reset 設(shè)置服務(wù)在個(gè)init級(jí)別下開(kāi)機(jī)是否啟動(dòng)
　　

　　圖5
　　風(fēng)險(xiǎn)：某些應(yīng)用需要特定服務(wù)，需要與管理員確認(rèn)。
　　三、數(shù)據(jù)訪問(wèn)控制
　　3.1 設(shè)置合理的初始文件權(quán)限
　　檢查方法：
　　#cat /etc/profile 查看umask的值
　　備份方法：
　　#cp -p /etc/profile /etc/profile_bak
　　加固方法：
　　#vi /etc/profile
　　umask=027
　　風(fēng)險(xiǎn)：會(huì)修改新建文件的默認(rèn)權(quán)限，如果該服務(wù)器是WEB應(yīng)用，則此項(xiàng)謹(jǐn)慎修改。
　　四、網(wǎng)絡(luò)訪問(wèn)控制
　　4.1 使用SSH進(jìn)行管理
　　檢查方法：
　　#ps –aef | grep sshd 查看有無(wú)此服務(wù)
　　備份方法：
　　加固方法：
　　使用命令開(kāi)啟ssh服務(wù)
　　#service sshd start
　　風(fēng)險(xiǎn)：改變管理員的使用習(xí)慣
　　4.2 設(shè)置訪問(wèn)控制策略限制能夠管理本機(jī)的IP地址
　　檢查方法：
　　#cat /etc/ssh/sshd_config 查看有無(wú)AllowUsers的語(yǔ)句
　　備份方法：
　　#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
　　加固方法：
　　#vi /etc/ssh/sshd_config，添加以下語(yǔ)句
　　AllowUsers *@10.138.*.* 此句意為：僅允許10.138.0.0/16網(wǎng)段所有用戶通過(guò)ssh訪問(wèn)
　　保存后重啟ssh服務(wù)
　　#service sshd restart
　　風(fēng)險(xiǎn)：需要和管理員確認(rèn)能夠管理的IP段
　　4.3 禁止root用戶遠(yuǎn)程登陸
　　檢查方法：
　　#cat /etc/ssh/sshd_config 查看PermitRootLogin是否為no
　　備份方法：
　　#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
　　加固方法：
　　#vi /etc/ssh/sshd_config
　　PermitRootLogin no
　　保存后重啟ssh服務(wù)
　　service sshd restart
　　

　　圖6
　　風(fēng)險(xiǎn)：root用戶無(wú)法直接遠(yuǎn)程登錄，需要用普通賬號(hào)登陸后su
　　4.4 限定信任主機(jī)
　　檢查方法：
　　#cat /etc/hosts.equiv 查看其中的主機(jī)
　　#cat /$HOME/.rhosts 查看其中的主機(jī)
　　備份方法：
　　#cp -p /etc/hosts.equiv /etc/hosts.equiv_bak
　　#cp -p /$HOME/.rhosts /$HOME/.rhosts_bak
　　加固方法：
　　#vi /etc/hosts.equiv 刪除其中不必要的主機(jī)
　　#vi /$HOME/.rhosts 刪除其中不必要的主機(jī)
　　風(fēng)險(xiǎn)：在多機(jī)互備的環(huán)境中，需要保留其他主機(jī)的IP可信任。
　　4.5 屏蔽登錄banner信息
　　檢查方法：
　　#cat /etc/ssh/sshd_config 查看文件中是否存在Banner字段，或banner字段為NONE
　　#cat /etc/motd 查看文件內(nèi)容，該處內(nèi)容將作為banner信息顯示給登錄用戶。
　　備份方法：
　　#cp -p /etc/ssh/sshd_config /etc/ssh/sshd_config_bak
　　#cp -p /etc/motd /etc/motd_bak
　　加固方法：
　　#vi /etc/ssh/sshd_config
　　banner NONE
　　#vi /etc/motd
　　刪除全部?jī)?nèi)容或更新成自己想要添加的內(nèi)容
　　風(fēng)險(xiǎn)：無(wú)可見(jiàn)風(fēng)險(xiǎn)
　　4.6 防止誤使用Ctrl+Alt+Del重啟系統(tǒng)
　　檢查方法：
　　#cat /etc/inittab|grep ctrlaltdel 查看輸入行是否被注釋
　　備份方法：
　　#cp -p /etc/inittab /etc/inittab_bak
　　加固方法：
　　#vi /etc/inittab
　　在行開(kāi)頭添加注釋符號(hào)“#”
　　#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
　　

　　圖7
　　風(fēng)險(xiǎn)：無(wú)可見(jiàn)風(fēng)險(xiǎn)
　　五、用戶鑒別
　　5.1 設(shè)置帳戶鎖定登錄失敗鎖定次數(shù)、鎖定時(shí)間
　　檢查方法：
　　#cat /etc/pam.d/system-auth 查看有無(wú)auth required pam_tally.so條目的設(shè)置
　　備份方法：
　　#cp -p /etc/pam.d/system-auth /etc/pam.d/system-auth_bak
　　加固方法：
　　#vi /etc/pam.d/system-auth
　　auth required pam_tally.so onerr=fail deny=6 unlock_time=300 設(shè)置為密碼連續(xù)錯(cuò)誤6次鎖定，鎖定時(shí)間300秒
　　解鎖用戶 faillog -u -r
　　風(fēng)險(xiǎn)：需要PAM包的支持;對(duì)pam文件的修改應(yīng)仔細(xì)檢查，一旦出現(xiàn)錯(cuò)誤會(huì)導(dǎo)致無(wú)法登陸;
　　當(dāng)系統(tǒng)驗(yàn)證出現(xiàn)問(wèn)題時(shí)，首先應(yīng)當(dāng)檢查/var/log/messages或者/var/log/secure中的輸出信息，根據(jù)這些信息判斷用戶賬號(hào)的有效
　　性。
　　5.2 修改帳戶TMOUT值，設(shè)置自動(dòng)注銷(xiāo)時(shí)間
　　檢查方法：
　　#cat /etc/profile 查看有無(wú)TMOUT的設(shè)置
　　備份方法：
　　#cp -p /etc/profile /etc/profile_bak
　　加固方法：
　　#vi /etc/profile
　　增加
　　TMOUT=600 無(wú)操作600秒后自動(dòng)退出
　　風(fēng)險(xiǎn)：無(wú)可見(jiàn)風(fēng)險(xiǎn)
　　5.3 Grub/Lilo密碼
　　檢查方法：
　　#cat /etc/grub.conf|grep password 查看grub是否設(shè)置密碼
　　#cat /etc/lilo.conf|grep password 查看lilo是否設(shè)置密碼
　　備份方法：
　　#cp -p /etc/grub.conf /etc/grub.conf_bak
　　#cp -p /etc/lilo.conf /etc/lilo.conf_bak
　　加固方法：為grub或lilo設(shè)置密碼
　　風(fēng)險(xiǎn)：etc/grub.conf通常會(huì)鏈接到/boot/grub/grub.conf
　　5.4 限制FTP登錄
　　檢查方法：
　　#cat /etc/ftpusers 確認(rèn)是否包含用戶名，這些用戶名不允許登錄FTP服務(wù)
　　備份方法：
　　#cp -p /etc/ftpusers /etc/ftpusers_bak
　　加固方法：
　　#vi /etc/ftpusers 添加行，每行包含一個(gè)用戶名，添加的用戶將被禁止登錄FTP服務(wù)
　　風(fēng)險(xiǎn)：無(wú)可見(jiàn)風(fēng)險(xiǎn)
　　5.5 設(shè)置Bash保留歷史命令的條數(shù)
　　檢查方法：
　　#cat /etc/profile|grep HISTSIZE=
　　#cat /etc/profile|grep HISTFILESIZE= 查看保留歷史命令的條數(shù)
　　備份方法：
　　#cp -p /etc/profile /etc/profile_bak
　　加固方法：
　　#vi /etc/profile
　　修改HISTSIZE=5和HISTFILESIZE=5即保留最新執(zhí)行的5條命令
　　

　　圖8
　　風(fēng)險(xiǎn)：無(wú)可見(jiàn)風(fēng)險(xiǎn)
　　六、審計(jì)策略
　　6.1 配置系統(tǒng)日志策略配置文件
　　檢查方法：
　　#ps –aef | grep syslog 確認(rèn)syslog是否啟用
　　#cat /etc/syslog.conf 查看syslogd的配置，并確認(rèn)日志文件是否存在
　　系統(tǒng)日志(默認(rèn))/var/log/messages
　　cron日志(默認(rèn))/var/log/cron
　　安全日志(默認(rèn))/var/log/secure
　　備份方法：
　　#cp -p /etc/syslog.conf
　　

　　圖9
　　6.2 為審計(jì)產(chǎn)生的數(shù)據(jù)分配合理的存儲(chǔ)空間和存儲(chǔ)時(shí)間
　　檢查方法：
　　#cat /etc/logrotate.conf 查看系統(tǒng)輪詢配置，有無(wú)
　　# rotate log files weekly
　　weekly
　　# keep 4 weeks worth of backlogs
　　rotate 4 的配置
　　備份方法：
　　#cp -p /etc/logrotate.conf /etc/logrotate.conf_bak
　　加固方法：
　　#vi /etc/logrotate.d/syslog
　　增加
　　rotate 4 日志文件保存?zhèn)€數(shù)為4，當(dāng)?shù)?個(gè)產(chǎn)生后，刪除最早的日志
　　size 100k 每個(gè)日志的大小
　　加固后應(yīng)類(lèi)似如下內(nèi)容：
　　/var/log/syslog/*_log {
　　missingok
　　notifempty
　　size 100k # log files will be rotated when they grow bigger that 100k.
　　rotate 5 # will keep the logs for 5 weeks.
　　compress # log files will be compressed.
　　sharedscripts
　　postrotate
　　/etc/init.d/syslog condrestart >/dev/null 2>1 || true
　　endscript
　　}
　　

本文來(lái)自ChinaUnix博客，如果查看原文請(qǐng)點(diǎn)：http://blog.chinaunix.net/u/8045/showart_2163497.html

作者: qmail-czw 時(shí)間: 2010-03-01 15:12
好東西頂!!!

歡迎光臨 Chinaunix (http://72891.cn/)