LINUX安全配置手册VIP免费

LinuxLinux安全配置手册安全配置手册综述本文档以典型安装的RedHatLinux为对象撰写而成，其他版本均基本类似，根据具体情况进行适当修改即可。文档中的操作需要以root用户登录至控制台进行，不推荐使用网络远程的方式进行补丁及配置修改等加固操作。部分操作需要重新启动服务器才会生效，注意某些数据库等应用需要先停止应用，然后才可以重新启动。加固之前首先应对系统中的重要文件及可能修改的文件进行备份，可参照使用以下脚本：forfilein/etc/inetd.conf/etc/hosts.equiv\/etc/ftpusers/etc/passwd/etc/shadow/etc/hosts.allow\/etc/hosts.deny/etc/proftpd.conf\/etc/rc.d/init.d/functions/etc/inittab\/etc/sysconfig/sendmail/etc/security/limits.conf\/etc/exports/etc/sysctl.conf/etc/syslog.conf\/etc/fstab/etc/security.console.perms/root/.rhosts\/root/.shosts/etc/shosts.equiv/etc/X11/xdm/Xservers\/etc/X11/xinit/xserverrc/etc/X11/gdm/gdm.conf\/etc/cron.allow/etc/cron.deny/etc/at.allow\/etc/at.deny/etc/crontab/etc/motd/etc/issue\/usr/share/config/kdm/kdmrc/etc/X11/gdm/gdm.conf\/etc/securetty/etc/security/access.conf/etc/lilo.conf\/etc/grub.conf/etc/login.defs/etc/group/etc/profile\/etc/csh.login/etc/csh.cshrc/etc/bashrc\/etc/ssh/sshd_config/etc/ssh/ssh_config\/etc/cups/cupsd.conf/etc/{,vsftpd/}vsftpd.conf\/etc/logrotate.conf/root/.bashrc/root/.bash_profile\/root/.cshrc/root/.tcshrc/etc/vsftpd.ftpusers;do[-f$file]&&/bin/cp$file$file-preCISdonefordirin/etc/xinetd.d/etc/rc[0123456].d\/var/spool/cron/etc/cron.*/etc/logrotate.d/var/log\/etc/pam.d/etc/skel;do[-d$dir]&&/bin/cp-r$dir$dir-preCISdone补丁系统补丁系统内核版本使用uname-a查看。软件版本和补丁使用rpm-qa查看。使用up2date命令自动升级或去ftp://update.redhat.com下载对应版本补丁手工单独安装。其他应用补丁除RedHat官方提供的系统补丁之外，系统也应对根据开放的服务和应用进行补丁，如APACHE、PHP、OPENSSL、MYSQL等应用进行补丁。具体升级方法：首先确认机器上安装了gcc及必要的库文件。然后去应用的官方网站下载对应的源代码包，如*.tar.gz再解压tarzxfv*.tar.gz再根据使用情况对编译配置进行修改，或直接采用默认配置cd*./configure再进行编译和安装makemakeinstall最小化xinetd网络服务停止默认服务说明：Xinetd是旧的inetd服务的替代，他提供了一些网络相关服务的启动调用方式。Xinetd应禁止以下默认服务的开放：chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimapimapsipop2ipop3krb5-telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncserversservices操作：停止一个服务chkconfig服务名off打开一个服务chkconfig服务名on也可以使用ntsysv命令进行服务开关调整其他说明：对于xinet必须开放的服务，应该注意服务软件的升级和安全配置，并推荐使用SSH和SSL对原明文的服务进行替换。如果条件允许，可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。操作：Xinetd、SSH和SSL、防火墙配置参见对应系统的用户手册，此不详述。最小化启动服务设置daemon权限unmask说明：默认系统umask至少为022，以防止daemon被其他低权限用户修改。操作：vi修改/etc/rc.d/init.d文件，umask值为022。同时检查/etc/rc.d/init.d中其他启动脚本权限是否为755。关闭xinetd服务说明：如果前面第二章关闭xinetd服务中所列的服务，都不需要开放，则可以直接关闭xinetd服务。操作：chkconfig--level12345xinetdoff关闭邮件服务说明：1)如果系统不需要作为邮件服务器，并不需要向外面发邮件，可以直接关闭邮件服务。2)如果不需要作为邮件服务器，但是允许用户发送邮件，可以设置Sendmail不运行在daemon模式。操作：1)chkconfig--level12345sendmailoff2)编辑/etc/sysconfig/senmail文件增添以下行DAEMON=noQUEUE=1h设置cd/etc/sysconfig/bin/chownroot:rootsendmail/bin/chmod644sendmail关闭图形登录...