Linux系統(tǒng)安全加固手冊(cè).doc

LINUX 評(píng)估加固手冊(cè) 第 1 頁(yè) 共 14 頁(yè) 密 級(jí)：商業(yè)秘密 LINUX 評(píng)估加固手冊(cè) 安氏領(lǐng)信科技發(fā)展有限公司 二一九二一九年十月 LINUX 評(píng)估加固手冊(cè) 第 2 頁(yè) 共 14 頁(yè) 目 錄 1、系統(tǒng)補(bǔ)丁的安裝 3 2、帳戶、口令策略的加固 3 21、刪除或禁用系統(tǒng)無(wú)用的用戶 3 22、口令策略的設(shè)置 4 23、系統(tǒng)是否允許 ROOT 遠(yuǎn)程登錄 .4 24、ROOT 的環(huán)境變量設(shè)置 5 3、網(wǎng)絡(luò)與服務(wù)加固 5 31、RC?.D 中的服務(wù)的設(shè)置 .5 32、/ETC/INETD .CONF 中服務(wù)的設(shè)置 .6 33、NFS 的配置 .8 34、SNMP 的配置 8 35、SENDMAIL 的配置 9 36、DNS （BIND ）的配置 .9 37、網(wǎng)絡(luò)連接訪問(wèn)控制的設(shè)置 9 4、信任主機(jī)的設(shè)置 10 5、日志審核的設(shè)置 11 6、物理安全加固 11 7、系統(tǒng)內(nèi)核參數(shù)的配置 12 8、選裝安全工具 13 LINUX 評(píng)估加固手冊(cè) 第 3 頁(yè) 共 14 頁(yè) 1、系統(tǒng)補(bǔ)丁的安裝 RedHat 使用 RPM 包實(shí)現(xiàn)系統(tǒng)安裝的管理，系統(tǒng)沒(méi)有單獨(dú)補(bǔ)丁包（Patch） 。如 果出現(xiàn)新的漏洞，則發(fā)布一個(gè)新的 RPM 包，版本號(hào)（ Version）不變，Release 做相應(yīng)的調(diào)整。因此檢查 RH Linux 的補(bǔ)丁安裝情況只能列出所有安裝的軟件， 和 RH 網(wǎng)站上發(fā)布的升級(jí)軟件對(duì)照，檢查其中的變化。 通過(guò)訪問(wèn)官方站點(diǎn)下載最新系統(tǒng)補(bǔ)丁，RedHat 公司補(bǔ)丁地址如下： rpm -qa 查看系統(tǒng)當(dāng)前安裝的 rpm 包 rpm -ivh package1 安裝 RPM 包 rpm -Uvh package1 升級(jí) RPM 包 rpm -Fvh package1 升級(jí) RPM 包（如果原先沒(méi)有安裝，則不安裝） 2、帳戶、口令策略的加固 21、刪除或禁用系統(tǒng)無(wú)用的用戶 詢問(wèn)系統(tǒng)管理員，確認(rèn)其需要使用的帳戶 如果下面的用戶及其所在的組經(jīng)過(guò)確認(rèn)不需要，可以刪除。 lp, sync, shutdown, halt, news, uucp, operator, games, gopher 修改一些系統(tǒng)帳號(hào)的 shell 變量，例如 uucp,ftp 和 news 等，還有一些僅 僅需要 FTP 功能的帳號(hào)，檢查并取消/bin/bash 或者/bin/sh 等 Shell 變量?？?以在/etc/passwd 中將它們的 shell 變量設(shè)為/bin/false 或者/dev/null 等。 也可以通過(guò) passwd groupdel 來(lái)鎖定用戶、刪除組。 passwd -l user1 鎖定 user1 用戶 passwd -u user1 解鎖 user1 用戶 groupdel lp 刪除 lp 組。 LINUX 評(píng)估加固手冊(cè) 第 4 頁(yè) 共 14 頁(yè) 22、口令策略的設(shè)置 RedHat Linux 總體口令策略的設(shè)定分兩處進(jìn)行，第一部分是在/etc/login.defs 文 件中定義，其中有四項(xiàng)相關(guān)內(nèi)容： PASS_MAX_DAYS 密碼最長(zhǎng)時(shí)效（天） PASS_MIN_DAYS 密碼最短時(shí)效（天） PASS_MIN_LEN 最短密碼長(zhǎng)度 PASS_WARN_AGE 密碼過(guò)期前 PASS_WARN_AGE 天警告用戶 編輯/etc/login.defs 文件，設(shè)定： PASS_MAX_DAYS=90 PASS_MIN_DAYS=0 PASS_MIN_LEN=8 PASS_WARN_AGE=30 另外可以在/etc/pam.d/system-auth 文件中的 cracklib 項(xiàng)中定義口令強(qiáng)度： difok minlen dcredit ucredit lcredit ocredit 使用 vi 編輯/etc/pam.d/system-auth 文件，設(shè)置 cracklib 的屬性 #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_access.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= difok=4 minlen=12 dcredit=1 ucredit=2 lcredit=2 ocredit=1 password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shado w password required /lib/security/pam_deny.so LINUX 評(píng)估加固手冊(cè) 第 5 頁(yè) 共 14 頁(yè) session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so 23、系統(tǒng)是否允許 root 遠(yuǎn)程登錄 RedHat 在文件/etc/securetty 中定義 root 用戶可以登錄的端口；默認(rèn)其中只包含 vc/1-11 和 tty1-11，即 root 用戶只能從本地登錄。 24、root 的環(huán)境變量設(shè)置 系統(tǒng)的環(huán)境變量在下列文件中設(shè)置： Bash： /etc/profile /.bash_profile /.bash_login /.profile /.bashrc /etc/bashrc Tcsh/Csh： /etc/csh.cshrc /etc/csh.login /.tcshrc 或/.cshrc /.history /.login /.cshdirs printenv 查看用戶的環(huán)境變量 檢查環(huán)境變量 PATH，確保其中不包含本地目錄（.） 。 3、網(wǎng)絡(luò)與服務(wù)加固 31、rc?.d 中的服務(wù)的設(shè)置 LINUX 評(píng)估加固手冊(cè) 第 6 頁(yè) 共 14 頁(yè) RedHat 的服務(wù)主要由/etc/inittab 和/etc/rc?.d/S*文件啟動(dòng)，事實(shí)上， /etc/inittab 的 主要任務(wù)是為每一個(gè) runlevel 指定啟動(dòng)文件，從而啟動(dòng) /etc/rc?.d/S*文件。例如， 在默認(rèn)的運(yùn)行級(jí)別 3 中系統(tǒng)將運(yùn)行/etc/rc3.d/目錄中所有 S 打頭的文件。 runlevel 檢查當(dāng)前運(yùn)行級(jí)別（第一項(xiàng)是 pre-runlevel，第二項(xiàng)是當(dāng)前的 runlevel） chkconfig list 檢查所有級(jí)別中啟動(dòng)的服務(wù)情況 chkconfig list |grep 3:on 檢查某一級(jí)別（例如級(jí)別 3）中啟動(dòng)的服務(wù) chkconfig sendmail off 將 sendmail 從啟動(dòng)目錄中除去 檢查以下服務(wù)，如果不需要，關(guān)閉之在（/etc/inittab 中注釋掉） ；否則，參照 3.3 3.4 3.5 3.6 進(jìn)行配置： portmap（啟動(dòng) rpcbind/portmap 服務(wù)） nfslock （啟動(dòng) rpc.lockd 和 rpc.statd） httpd （啟動(dòng) apache） named （啟動(dòng) bind） sendmail （啟動(dòng) sendmail） smb （啟動(dòng) samba 服務(wù)） snmpd （啟動(dòng) snmp 服務(wù)） snmptrapd （啟動(dòng) snmp trap 服務(wù)） nfs （啟動(dòng) nfs 服務(wù)） 32、/etc/inetd.conf 中服務(wù)的設(shè)置 由 INETD 啟動(dòng)的服務(wù)在文件/etc/inetd.conf 定義。 建議關(guān)閉由 inetd 啟動(dòng)的所有服務(wù)；如果有管理上的需要，可以打開(kāi) telnetd、ftpd、rlogind、rshd 等服務(wù)。 可從/etc/inetd.conf 中刪除的服務(wù)（在 /etc/inetd.conf 中注釋掉）： shell kshell login klogin exec LINUX 評(píng)估加固手冊(cè) 第 7 頁(yè) 共 14 頁(yè) comsat uucp bootps finger systat netstat tftp talk ntalk rpc.rquotad rpc.rexd rpc.rusersd rpc.ttdbserver rpc.sprayd rpc.cmsd rpc.rwalld rpc.pcnfsd rpc.rstatd rpc.ssalld echo discard chargen daytime time comsat websm instsrv imap2 pop3 LINUX 評(píng)估加固手冊(cè) 第 8 頁(yè) 共 14 頁(yè) kfcli xmquery RedHat Linux 7.3 以后使用了新版本的 xinetd 取代了老版本的 inetd，在配置方 面最大的不同在于使用了/etc/xinetd.d/配置目錄取代了/etc/inetd.conf 配置文件。 每一項(xiàng)服務(wù)/etc/xinetd.d/ 中都有一個(gè)相應(yīng)的配置文件，例如 telnetd 的配置文件是 /etc/xinetd.d/telnet。查看每一個(gè)配置文件 disable 屬性的定義（yes/no）就可以確 定該服務(wù)是否啟動(dòng)（默認(rèn)是 yes） 。 使用 vi 編輯/etc/xinetd.d/ 中的配置文件，在不需要啟動(dòng)的服務(wù)配置文件中添加 disable=yes。建議關(guān)閉所有服務(wù)，如果管理需要，則可以打開(kāi) telnetd 和 ftpd 服 務(wù)。 使用 vi 編輯/etc/xinetd.d/rlogin 文件，控制 rlogin 服務(wù)的啟動(dòng)狀態(tài) # default: on # description: rlogind is the server for the rlogin(1) program. The server # provides a remote login facility with authentication based on # privileged port numbers from trusted hosts. service login disable = yes socket_type = stream wait = no user = root log_on_success += USERID log_on_failure += USERID server = /usr/sbin/in.rlogind 33、NFS 的配置 NFS 系統(tǒng)的組成情況： nfsd NFS 服務(wù)進(jìn)程，運(yùn)行在服務(wù)器端，處理客戶的讀寫請(qǐng)求 mountd 加載文件系統(tǒng)服務(wù)進(jìn)程，運(yùn)行在服務(wù)器端，處理客戶加載 nfs 文件 系統(tǒng)的請(qǐng)求 /etc/exports 定義服務(wù)器對(duì)外輸出的 NFS 文件系統(tǒng) /etc/fstab 定義客戶端加載的 NFS 文件系統(tǒng) 如果系統(tǒng)不需要 NFS 服務(wù)，可以使用 chkconfig 關(guān)閉 NFS 服務(wù)；如果不能關(guān)閉， 使用 showmount -e 或直接查看/etc/exports 文件檢查輸出的文件系統(tǒng)是否必要， LINUX 評(píng)估加固手冊(cè) 第 9 頁(yè) 共 14 頁(yè) 以及屬性是否妥當(dāng)（readonly 等） 。 chkconfig -list nfs 顯示 NFS 服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng) /etc/init.d/nfs start|stop 啟動(dòng)|停止 nfs 服務(wù) showmount -e 顯示本機(jī)輸出的 NFS 文件系統(tǒng) mount 顯示本機(jī)加載的文件系統(tǒng)（包括 NFS 文件系統(tǒng)） 34、SNMP 的配置 如果系統(tǒng)不需要 SNMP 服務(wù)，可以關(guān)閉該服務(wù)（使用 chkconfig 命令） ；如果不 能關(guān)閉，需要在/etc/snmpd.conf 中指定不同的 community name。 chkconfig -list snmpd 顯示 snmpd 服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng) chkconfig snmpd off 將 snmpd 服務(wù)從啟動(dòng)目錄中去掉 /etc/init.d/snmpd start|stop 啟動(dòng)| 停止 snmpd 服務(wù) 35、Sendmail 的配置 如果系統(tǒng)不需要 Sendmail 服務(wù)，可以關(guān)閉該服務(wù)（使用 chkconfig 命令） ；如果 不能關(guān)閉，將 sendmail 服務(wù)升級(jí)到最新，并在其配置文件/etc/sendmail.cf 中指 定不同 banner（參見(jiàn)示例） 。 chkconfig -list sendmail 顯示 sendmail 服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng) chkconfig sendmail off 將 sendmail 服務(wù)從啟動(dòng)目錄中去掉 /etc/init.d/sendmail start|stop 啟動(dòng)|停止 sendmail 服務(wù) 36、DNS（Bind）的配置 如果系統(tǒng)不需要 DNS 服務(wù)，可以關(guān)閉該服務(wù)（使用 chkconfig 命令） ；如果不能 關(guān)閉，將 DNS 服務(wù)升級(jí)到最新，并在其配置文件修改版本號(hào)（參見(jiàn)示例） 。 chkconfig -list named 顯示 named 服務(wù)是否在系統(tǒng)啟動(dòng)時(shí)啟動(dòng) chkconfig named off 將 named 服務(wù)從啟動(dòng)目錄中去掉 /etc/init.d/named start|stop 啟動(dòng)| 停止 named 服務(wù) LINUX 評(píng)估加固手冊(cè) 第 10 頁(yè) 共 14 頁(yè) 37、網(wǎng)絡(luò)連接訪問(wèn)控制的設(shè)置 RedHat 7.3 以后版本中存在以下集中方式可以對(duì)網(wǎng)絡(luò)連接設(shè)置訪問(wèn)控制： 1、使用 iptable 或 ipchains 進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制；參見(jiàn) iptables 和 ipchains 的 manual。 2、使用 xinetd 本身的訪問(wèn)控制機(jī)制對(duì) xinetd 啟動(dòng)的服務(wù)進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制； xinetd 可以在其配置文件中使用 only_from 和 no_access 指令限制可以訪問(wèn)該 服務(wù)的主機(jī)，tcpd 的配置文件是/etc/hosts.allow 和/etc/hosts.deny；具體配置 方法參見(jiàn) manual。 使用 xinetd 自帶的訪問(wèn)控制機(jī)制控制對(duì) telnet 服務(wù)的訪問(wèn) # default: on # description: The telnet server serves telnet sessions; it uses # unencrypted username/password pairs for authentication. service telnet disable = no flags = REUSE socket_type = stream wait = no user = root server = /usr/sbin/in.telnetd log_on_failure += USERID # allow access from host freebsd and network 172.16.0.0/24 only_from = freebsd 172.16.0.0/24 # also allow access from host 192.168.0.159 only_from += 192.168.0.159 # deny access from host freebsd if uncomment the following line # no_access = freebsd 3、使用 pam 系統(tǒng)中的 pam_access 模塊提供的訪問(wèn)控制機(jī)制；配置文件是 /etc/security/access.conf，該文件中提供了該文件的語(yǔ)法。 使用 pam_access 進(jìn)行網(wǎng)絡(luò)訪問(wèn)控制 在 pam 文件中添加 pam_access 模塊（以 system-auth 文件為例） #%PAM-1.0 # This file is auto-generated. # User changes will be destroyed the next time authconfig is run. auth required /lib/security/pam_env.so auth sufficient /lib/security/pam_unix.so likeauth nullok auth required /lib/security/pam_deny.so account required /lib/security/pam_access.so account required /lib/security/pam_unix.so password required /lib/security/pam_cracklib.so retry=3 type= difok=4 mi LINUX 評(píng)估加固手冊(cè) 第 11 頁(yè) 共 14 頁(yè) nlen=12 dcredit=1 ucredit=2 lcredit=2 ocredit=1 password sufficient /lib/security/pam_unix.so nullok use_authtok md5 shado w password required /lib/security/pam_deny.so session required /lib/security/pam_limits.so session required /lib/security/pam_unix.so 4、信任主機(jī)的設(shè)置 參照 3.2（/etc/inetd.conf 中服務(wù)的啟動(dòng)情況）檢查 rlogin、rsh 、rexec 服務(wù)是否 啟動(dòng)。如果啟動(dòng)，查看配置文件/etc/hosts.equiv（全局配置文件）和 /.rhosts（單獨(dú)用戶的配置文件）文件，檢查文件是否配置妥當(dāng)。 建議關(guān)閉 R 系列服務(wù)（rlogin、rsh、rexec） ；如果不能關(guān)閉，則需要檢查配置文 件，確保沒(méi)有失當(dāng)?shù)呐渲茫ú荒艽嬖凇?”或”+ +”，如果存在，咨詢系統(tǒng)管理員 是為何這樣配置） 。 5、日志審核的設(shè)置 對(duì) ssh、su 登錄日志進(jìn)行記錄 編輯 syslogd 配置文件 # vi /etc/syslog.conf 加入以下信息，使和登陸驗(yàn)證有關(guān)的日志信息記錄到 secure 文件中 # The authpriv file has restricted access. authpriv.* /var/log/secure 重新啟動(dòng) syslogd： # /etc/rc.d/init.d/syslog restart 6、物理安全加固 啟動(dòng) LILO 時(shí)需要密碼 LINUX 評(píng)估加固手冊(cè) 第 12 頁(yè) 共 14 頁(yè) 第一步：編輯 lilo.conf 文件（vi /etc/lilo.conf） ，加入或改變這三個(gè)參數(shù) （加#的部分）： boot=/dev/hda prompt timeout=00 # 把該行改為 00，系統(tǒng)啟動(dòng)時(shí)將不再等待，而直接啟動(dòng) LINUX message=/boot/message linear default=linux restricted # 加入該行 password= is-0ne # 加入該行并設(shè)置自己的密碼（明文） image=/boot/vmlinuz-2.4.18 label=linux root=/dev/hda6 read-only 第二步：因?yàn)椤?etc/lilo.conf”文件中包含明文密碼，所以要把它設(shè)置為 root 權(quán)限讀取。 # chmod 0600 /etc/lilo.conf 第三步：更新系統(tǒng)，以便對(duì)“/etc/lilo.conf”文件做的修改起作用。 # /sbin/lilo -v 第四步：使用“chattr”命令使“/etc/lilo.conf”文件不可改變。 # chattr +i /etc/lilo.conf 這樣可以在一定程度上防止對(duì)“/etc/lilo.conf”任何改變（意外或其他 原因） 最后將/etc/lilo.conf 文件權(quán)限改為 600 LINUX 評(píng)估加固手冊(cè) 第 13 頁(yè) 共 14 頁(yè) # chmod 600 /etc/lilo.conf password 用于系統(tǒng)啟動(dòng)時(shí)應(yīng)當(dāng)輸入密碼； restricted 用于命令行啟動(dòng)系統(tǒng)時(shí)（如：進(jìn)入單用戶模式）需要輸入密碼。 7、系統(tǒng)內(nèi)核參數(shù)的配置 RedHat Linux 使用 sysctl 命令控制內(nèi)核參數(shù)，并可以在/etc/sysctl.conf 中設(shè)置啟 動(dòng)的內(nèi)核參數(shù)。比較重要的網(wǎng)絡(luò)安全參數(shù)有： net.ipv4.conf.default.accept_source_route=0 不接收源路由 ip 包 net.ipv4.conf.default.send_redirects=0 不發(fā)送重定向 ip 包 net.ipv4.conf.default.accept_redirects=0 不接收重定向 ip 包 net.ipv4.icmp_echo_ignore_broadcasts=1 忽略 icmp 廣播包 net.ipv4.ip_forward=0 禁止 ip 轉(zhuǎn)發(fā) sysctl -a 查看所有的內(nèi)核參數(shù) sysctl -w net.ipv4.ip_forward=0 禁止 ip 轉(zhuǎn)發(fā) 使用 vi 編輯/etc/sysctl.conf 文件，添加網(wǎng)絡(luò)安全參數(shù) # For binary values, 0 is disabled, 1 is enabled. See sysctl(8) for # more details. # Controls IP packet forwarding net.ipv4.ip_forward = 0 # Controls source route verification net.ipv4.conf.default.rp_filter = 1 # Controls the System Request debugging functionality of the kernel kernel.sysrq = 0 # Controls whether core dumps will append the PID to the core filename. # Useful for debugging multi-threaded applications. kernel.core_uses_pid = 1 # Add the networking security parameters # net.ipv4.conf.default.send_redirects=0 net.ipv4.conf.default.accept_source_route=0 net.ipv4.conf.default.accept_redirects=0 net.ipv4.icmp_echo_ignore_broadcasts=1 net.ipv4.ip_forward=0 LINUX 評(píng)估加固手冊(cè) 第 14 頁(yè) 共 14 頁(yè) 8、選裝安全工具 工具名稱 TCP Wrapper 工具用途 該軟件為大多數(shù)網(wǎng)絡(luò)服務(wù)提供訪問(wèn)控制與日志記錄的功能。 相關(guān)信息 ftp:/ftp.porcupine.org/pub/security/ 工具名稱 Tripwire 工具用途 該工具為關(guān)鍵文件創(chuàng)建檢驗(yàn)值數(shù)據(jù)庫(kù)，當(dāng)這些關(guān)鍵文件發(fā)生變 化時(shí)，給 root 以提示信息。 相關(guān)信息 ftp:/coast.cs.purdue.edu/pub/tools/unix/ids/tripwire/ 工具名稱 lsof 工具用途 該工具報(bào)告進(jìn)程打開(kāi)的文件、進(jìn)程偵聽(tīng)的端口等信息。 相關(guān)信息 ftp:/coast.cs.purdue.edu/pub/tools/unix/sysutils/lsof/ 工具名稱 SSH 工具用途 該工具為主機(jī)間遠(yuǎn)程通訊提供加密通道。用來(lái)代替 rsh、rlogin、telnet 等遠(yuǎn)程登錄工具。 相關(guān)信息