1、目 录LINUX 加固方案 .11.安装最新安全补丁 42.网络和系统服务 43.核心调整 64.日志系统 75.文件/目录访问许可权限 .76.系统访问, 认证和授权 87.用户账号和环境 108.关键安全工具的安装 111.安装最新安全补丁项目: 注释:1 安装操作系统提供商发布的最新的安全补丁 各常见的Linux发布安全信息的 web地址:RedHat Linux: http:/ OpenLinux: http:/ Linux: http:/.br/atualizacoes/Debian GNU/Linux: http:/www.debian.org/security/Mandrake
2、Linux: http:/www.linux- http:/ : http:/www.suse.de/security/index.htmlYellow Dog Linux : http:/ 网络服务:设置项 注释:1 确保只有确实需要的服务在运行:先把所有通过ineted/xineted运行的网络服务关闭, 再打开确实需要的服务绝大多数通过inetd/xinetd运行的网络服务都可以被禁止,比如echo, exec, login, shell,who,finger等.对于telnet, r系列服务, ftp等 , 强烈建议使用 SSH来代替.2 设置xinetd 访问控制 在/etc/xin
3、etd.conf文件的”default ”块中加入如下行:only_from=/ / 每个/(比如192.168.1.0/24)对表示允许的源地址启动服务:设置项 注释:1 关闭NFS服务器进程:运行 chkconfig nfs offNFS通常存在漏洞会导致未授权的文件和系统访问.2 关闭NFS客户端进程:运行 chkconfig nfslock offchkconfig autofs off3 关闭NIS客户端进程:chkconfig ypbind offNIS系统在设计时就存在安全隐患4 关闭NIS服务器进程:运行 chkconfig ypserv offchkconfig yppass
4、wd off5 关闭其它基于RPC的服务:运行 chkconfig portmap off基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁止基于RPC的服务.6 关闭SMB服务运行 chkconfig smb off除非确实需要和Windows系统共享文件,否则应该禁止该服务.7 禁止Netfs脚本chkconfig netfs off如果不需要文件共享可禁止该脚本8 关闭打印机守护进程chkconfig lpd off如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录.9 关闭启动时运行的 X Server
5、sed s/id:5:initdefault:/id:3:initdefault:/ /etc/inittab.newmv /etc/inittab.new /etc/inittabchown root:root /etc/inittabchmod 0600 /etc/inittab对于专门的服务器没有理由要运行X Server, 比如专门的 Web服务器10 关闭Mail Serverchkconfig postfix off多数Unix/Linux系统运行Sendmail作为邮件服务器, 而该软件历史上出现过较多安全漏洞,如无必要,禁止该服务11 关闭Web Serverchkconfig
6、 httpd off可能的话,禁止该服务.12 关闭SNMPchkconfig snmpd off如果必需运行SNMP的话,应该更改缺省的community string13 关闭DNS Serverchkconfig named off可能的话,禁止该服务14 关闭 Database Serverchkconfig postgresql offLinux下常见的数据库服务器有Mysql, Postgre, Oracle等, 没有必要的话,应该禁止这些服务15 关闭路由守护进程chkconfig routed offchkconfig gated off组织里仅有极少数的机器才需要作为路由器来
7、运行.大多数机器都使用简单的”静态路由”, 并且它不需要运行特殊的守护进程16 关闭Webmin远程管理工具 Webmin是一个远程管理工具, 它有糟chkconfig webmin off 糕的认证和会话管理历史, 所以应该谨慎使用17 关闭Squid Web Cachechkconfig squid off如果必需使用, 应该谨慎配置18 可能的话禁止inetd/xinetdchkconfig inetd off 或chkconfig xinetd off如果没有网络服务通过inetd/xinetd运行则可以禁止它们19 设置守护进程掩码cd /etc/rc.d/init.dif “gre
8、p -l umask functions“ = “ ; thenecho “umask 022“ functionsfi系统缺省的umask 值应该设定为022以避免守护进程创建所有用户可写的文件3.核心调整设置项 注释:1 禁止core dump:cat /etc/security/limits.conf* soft core 0* hard core 0END_ENTRIES允许core dump会耗费大量的磁盘空间.2 限制NFS客户端使用特权端口:perl -i.orig -pe next if (/s*#/ | /s*$/);($res, hst) = split(“ “);fore
9、ach $ent (hst) undef(%set);($optlist) = $ent = /(.*?)/;foreach $opt (split(/,/, $optlist) $set$opt = 1;delete($set“insecure“);$set“secure“ = 1;$ent = s/(.*?)/;$ent .= “(“ . join(“,“, keys(%set) . “)“;$hst0 = “(secure)“ unless (hst);$_ = “$rest“ . join(“ “, hst) . “n“; /etc/exports可以防止非特权用户发起的automou
10、ted NFS攻击.3 网络参数调整:cat /etc/sysctl.confnet.ipv4.ip_forward = 0net.ipv4.conf.all.accept_source_route = 0详见: http:/ = 4096net.ipv4.conf.all.rp_filter = 1END_SCRIPTcat /etc/sysctl.confnet.ipv4.conf.all.send_redirects = 0net.ipv4.conf.all.accept_redirects = 0net.ipv4.conf.default.accept_redirects = 0END
11、_SCRIPTchown root:root /etc/sysctl.confchmod 0600 /etc/sysctl.confhttp:/ 注释:1 捕捉发送给AUTH 和AUTHPRIV facility的消息到日志文件/var/log/secure:if grep -c auth. /etc/syslog.conf -eq 0 thenecho -e “auth.*tttt/var/log/secure“ /etc/syslog.conffiif grep -c authpriv. /etc/syslog.conf eq 0 thenecho -e “authpriv.*tttt/v
12、ar/log/secure“ /etc/syslog.conffitouch /var/log/securechown root:root /var/log/securechmod 600 /var/log/secure.syslog中的AUTH 和AUTHPRIV facility包含了大量安全相关的信息, 不是所有Linux发布都记录这些日志信息.应该把这些信息记录到/var/log/secure文件中(该文件仅超级用户可读)5.文件/目录访问许可权限设置项 注释:1 对/etc/fstab中的可移动介质增加”nosuid”选项:awk ($2 /m.*/(floppy|cdrom)$/
13、print /etc/fstab /etc/fstab.newmv /etc/fstab.new /etc/fstabchown root:root /etc/fstabchmod 0644 /etc/fstab可以移动介质是引入恶意代码的一个重要途径.该设置可以防止普通用户通过CDROM或软盘引入SUID程序2 禁止普通用户来mount可移动文件系统:cd /etc/security在基于Linux 的发布中普通用户在控制台上有更大的权限, 可以使用CD-egrep -v (floppy|cdrom) console.perms console.perms.newmv console.per
14、ms.new console.permsgrep -v supermount /etc/fstab /etc/fstab.newmv /etc/fstab.new /etc/fstabchown root:root console.perms /etc/fstabchmod 0600 console.permschmod 0644 /etc/fstabROM和软盘驱动器.甚至在一些发布,比如Mandrake Linux上当在机器上插入软盘或光碟时系统会通过supermount来自动mount这些驱动器.3 对passwd, shadow, 和group文件设置正确的许可权限:cd /etcch
15、own root:root passwd shadow groupchmod 644 passwd groupchmod 400 shadow这些文件的属主和组应该为root, passwd和group文件的许可权限应该为644,shadow文件的许可权限应该为4004 对临时目录设置粘着位:chmod +t /tmpfind /var -type d -perm -0222 -xdev -exec chmod +t ;临时目录不设置粘着位会导致普通用户可以任意删除其它用户建立的临时文件5 查找未认证的SUID/SGID 可程序 :for part in awk ($3 = “ext2“ |
16、$3 = “ext3”) print $2 /etc/fstabdofind $part ( -perm -04000 -o -perm -02000 ) -type f -xdev -printdone6.系统访问, 认证和授权设置项 注释:1 在PAM配置文件中删除.rhosts支持:for file in echo /etc/pam.d/* ; dogrep -v rhosts_auth $file $file.newmv $file.new $filechown root:root $filechmod 644 $filedone禁止.rhost 支持有助于防止用户搞乱系统正常的访问控
17、制机制2 删除/etc/hosts.equiv文件:rm /etc/hosts.equiv/etc/hosts.equiv文件为系统上的所有用户设置全局信任关系,于.rhost的作用类似.3 校验/etc/ftpusers文件的内容 , 确认root和系统用户存在在该文件中/etc/ftpusers文件列出了所有禁止使用ftp的用户的名单 ,通常root 和系统用户都应该禁止使用ftp4 限制 at/cron给授权的用户:cd /etc/rm -f cron.deny at.denyecho root cron.allowecho root at.allowchown root:root cr
18、on.allow at.allowchmod 400 cron.allow at.allowCron.allow和at.allow文件列出了允许允许crontab和at 命令的用户名单 , 在多数系统上通常只有系统管理员才需要运行这些命令5 Crontab文件限制访问权限 :chown root:root /etc/crontabchmod 400 /etc/crontabchown -R root:root /var/spool/cronchmod -R go-rwx /var/spool/cronchown -R root:root /etc/cron.*chmod -R go-rwx /
19、etc/cron.*系统的crontab文件应该只能被cron守护进程(它以超级用户身份运行 )来访问,一个普通用户可以修改 crontab文件会导致他可以以超级用户身份执行任意程序6 建立恰当的警告banner:echo “Authorized uses only. All activity may be monitored and reported.“ /etc/motdchown root:root /etc/motdchmod 644 /etc/motdcat /etc/rc.d/rc.localecho “Authorized uses only. All activity may
20、be monitored and reported.“ /etc/issueecho “Authorized uses only. All activity may be monitored and reported.“ /etc/END改变登录banner可以隐藏操作系统类型和版本号和其它系统信息,这些信息可以会对攻击者有用.7 限制root 登录到系统控制台:cat /etc/securettytty1tty2tty3tty4tty5tty6END_FILEchown root:root /etc/securettychmod 400 /etc/securetty通常应该以普通用户身份访问
21、系统,然后通过其它授权机制(比如 su命令和sudo)来获得更高权限,这样做至少可以对登录事件进行跟踪8 设置LILO/GRUB口令:在/etc/lilo.conf文件的开头加入如下行:restrictedpassword=以root身份执行如下命令:chown root:root /etc/lilo.confchmod 600 /etc/lilo.conflilo对于GRUB:可以有助于防止基于控制台的物理攻击加入本行到/etc/grub.conf:password 以root身份执行如下命令:chown root:root /etc/grub.confchmod 600 /etc/grub
22、.conf7.用户账号和环境设置项 注释:1 清除或锁定系统账号:for user in uucp operatordo/usr/sbin/userdel $userdonefor user in adm alias apache axfrdns bin daemon dhcpd dnscache dnslog ftp games gdm gopher halt htdig ident lp mail mailnull named news nobody nscd postfix postgres qmaild qmaill qmailp qmailq qmailr qmails rpc rp
23、cuser squid sympa sync tinydns xfsdo/usr/sbin/usermod -L -s /dev/null $userdoneUucp和operator账号通常是不需要的,可以把它们从passwd 和shadow文件中删除,其它账号视具体情况而定 .要锁定一个账号,可以把该账号的 shell改为一个无效的shell, 比如/dev/null 验证没有遗留下来的+条目存在于passwd,shadow,group文件中:grep +: /etc/passwd /etc/shadow /etc/group这些条目可能会给攻击者提供一个途径来取得系统的访问权限,如果存在
24、的化应该删除2 验证是否有账号存在空口令的情况:awk -F: ($2 = “) print $1 /etc/shadow所有账号应该有一个强口令或者使用类似”NP” 或”*LOCKED*” 的口令字串来锁定账号3 检查除了root 以外是否还有其它账号的UID为0:awk -F: ($3 = 0) print $1 /etc/passwd任何UID为0的账号在系统上都具有超级用户权限.4 检查root 用户的$PATH 中是否有. 或者所有用户/组用户可写的目录超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马5 删除属于root 用户的具有潜在危险的文件:rm
25、 -f /.rshosts /.netrc /root/.rshosts /root/.netrc/.rhost, /.netrc 或 /root/.rhost , /root/.netrc文件都具有潜在的危险6 用户的home目录许可权限是否为755或更严格的限制:用户home目录的许可权限限制不严可能会导致恶意用户读/修改 /删除其for dir in awk -F: ($3 = 500) print $6 /etc/passwddochmod go-w $dirdone它用户的数据或取得其它用户的系统权限7 是否有用户的点文件是所有用户可读的:for dir in awk -F: ($3
26、 = 500) print $6 /etc/passwddofor file in $dir/.A-Za-z0-9*doif -f $file ; thenchmod o-w $filefidonedoneUnix/Linux下通常以”.” 开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限8 删除用户的.netrc文件:for dir in cut -f6 -d: /etc/passwddorm -f $dir/rc文件中可能会包含未加密的口令9 为用户设置合适的缺省umask值:cd /etcfor file in
27、profile csh.login csh.cshrc bashrcdoif grep -c umask $file -eq 0 ;thenecho “umask 022“ $filefichown root:root $filechmod 444 $filedone为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.8.关键安全工具的安装设置项 注释:1 安装SSH SSH是一个使用加密连接的安全的远程管理/数据传输协议.它可以用来替代telnet, r命令,ftp等传统的不安全的协议/命令.SSH 的最新实现软件可以在 ftp:/下载2 安装NTP NTP(网络时间协议)用于使网络上的多个系统间的时间同步,精确的系统时间有利于保证系统日志的准确性.
