Linux系统安全加固手册

密级：商业秘密LINUX 评估加固手册安氏领信科技进展有限公司”二〇二五二〇二五年十一月'目 录1、系统补丁的安装 32、帐户、口令策略的加固 32．1、删除或禁用系统无用的用户 32．2、口令策略的设置 42．3、系统是否允许 ROOT 远程登录 42．4、ROOT 的环境变量设置 53、网络与服务加固 53．1、RC?。D 中的服务的设置 53．2、/ETC/INETD。CONF 中服务的设置 63．3、NFS 的配置 83．4、SNMP 的配置 83．5、SENDMAIL 的配置 93．6、DNS(BIND）的配置 93．7、网络连接访问控制的设置 94、信任主机的设置 105、日志审核的设置 116、物理安全加固 117、系统内核参数的配置 128、选装安全工具 131、系统补丁的安装RedHat 使用 RPM 包实现系统安装的管理，系统没有单独补丁包(Patch）.假如出现新的漏洞，则发布一个新的 RPM 包，版本号(Version)不变，Release 做相应的调整。因此检查 RH Linux 的补丁安装情况只能列出所有安装的软件，和 RH 网站上发布的升级软件对比,检查其中的变化.通过访问官方站点下载最新系统补丁，RedHat 公司补丁地址如下：http ： //www.redhat 。 com/corp/support/errata/ rpm —qa 查看系统当前安装的 rpm 包rpm —ivh package1 安装 RPM 包rpm -Uvh package1 升级 RPM 包rpm -Fvh package1 升级 RPM 包（假如原先没有安装，则不安装）2、帐户、口令策略的加固2．1、删除或禁用系统无用的用户询问系统管理员，确认其需要使用的帐户假如下面的用户及其所在的组经过确认不需要，可以删除。lp, sync， shutdown, halt, news， uucp， operator, games， gopher修改一些系统帐号的 shell 变量，例如 uucp，ftp 和 news 等，还有一些仅仅需要 FTP 功能的帐号,检查并取消/bin/bash 或者/bin/sh 等 Shell 变量。可以在/etc/passwd 中将它们的 shell 变量设为/bin/false 或者/dev/null 等。也可以通过 passwd groupdel 来锁定用户、删除组。passwd —l user1 锁定 user1 用户passwd —u user1 解锁 user1 用户groupdel lp 删除 lp 组。2．2、口令策略的设置RedHat Linux 总体口令策略的设定分两处进行，第一部分是在/etc/login.defs 文件中定义，其中有四项相关内容：PASS_MAX_DAYS 密码最长时效(天）PASS_MIN_DAYS 密码最短时效(天）PASS_MIN_LEN 最短密码长度PASS_WARN_AGE 密码过期前 PASS_WARN_AGE 天警告用...