LinuxLinux安全配置手册安全配置手册综述本文档以典型安装的RedHatLinux为对象撰写而成,其他版本均基本类似,根据具体情况进行适当修改即可。文档中的操作需要以root用户登录至控制台进行,不推荐使用网络远程的方式进行补丁及配置修改等加固操作。第1页共26页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第1页共26页部分操作需要重新启动服务器才会生效,注意某些数据库等应用需要先停止应用,然后才可以重新启动。加固之前首先应对系统中的重要文件及可能修改的文件进行备份,可参照使用以下脚本:forfilein/etc/inetd.conf/etc/hosts.equiv\/etc/ftpusers/etc/passwd/etc/shadow/etc/hosts.allow\/etc/hosts.deny/etc/proftpd.conf\/etc/rc.d/init.d/functions/etc/inittab\/etc/sysconfig/sendmail/etc/security/limits.conf\/etc/exports/etc/sysctl.conf/etc/syslog.conf\/etc/fstab/etc/security.console.perms/root/.rhosts\/root/.shosts/etc/shosts.equiv/etc/X11/xdm/Xservers\/etc/X11/xinit/xserverrc/etc/X11/gdm/gdm.conf\/etc/cron.allow/etc/cron.deny/etc/at.allow\/etc/at.deny/etc/crontab/etc/motd/etc/issue\/usr/share/config/kdm/kdmrc/etc/X11/gdm/gdm.conf\/etc/securetty/etc/security/access.conf/etc/lilo.conf\/etc/grub.conf/etc/login.defs/etc/group/etc/profile\/etc/csh.login/etc/csh.cshrc/etc/bashrc\/etc/ssh/sshd_config/etc/ssh/ssh_config\/etc/cups/cupsd.conf/etc/{,vsftpd/}vsftpd.conf\/etc/logrotate.conf/root/.bashrc/root/.bash_profile\/root/.cshrc/root/.tcshrc/etc/vsftpd.ftpusers;do[-f$file]&&/bin/cp$file$file-preCISdonefordirin/etc/xinetd.d/etc/rc[0123456].d\/var/spool/cron/etc/cron.*/etc/logrotate.d/var/log\/etc/pam.d/etc/skel;do[-d$dir]&&/bin/cp-r$dir$dir-preCISdone补丁系统补丁系统内核版本使用uname-a查看。软件版本和补丁使用rpm-qa查看。使用up2date命令自动升级或去ftp://update.redhat.com下载对应版本补丁手工单独安装。第2页共26页第1页共26页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第2页共26页其他应用补丁除RedHat官方提供的系统补丁之外,系统也应对根据开放的服务和应用进行补丁,如APACHE、PHP、OPENSSL、MYSQL等应用进行补丁。具体升级方法:首先确认机器上安装了gcc及必要的库文件。然后去应用的官方网站下载对应的源代码包,如*.tar.gz再解压tarzxfv*.tar.gz再根据使用情况对编译配置进行修改,或直接采用默认配置cd*./configure再进行编译和安装makemakeinstall最小化xinetd网络服务停止默认服务说明:Xinetd是旧的inetd服务的替代,他提供了一些网络相关服务的启动调用方式。Xinetd应禁止以下默认服务的开放:chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimapimapsipop2ipop3krb5-telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncserversservices操作:停止一个服务chkconfig服务名off打开一个服务chkconfig服务名on也可以使用ntsysv命令进行服务开关调整其他说明:对于xinet必须开放的服务,应该注意服务软件的升级和安全配置,并推荐使用SSH和SSL对原明文的服务进行替换。如果条件允许,可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。第3页共26页第2页共26页编号:时间:2021年x月x日书山有路勤为径,学海无涯苦作舟页码:第3页共26页操作:Xinetd、SSH和SSL、防火墙配置参见对应系统的用户手册,此不详述。最小化启动服务设置daemon权限unmask说明:默认系统umask至少为022,以防止daemon被其他低权限用户修改。操作:vi修改/etc/rc.d/init.d文件,umask值为022。同时检查/etc/rc.d/init.d中其他启动脚本权限是否为755。关闭xinetd服务说明:如果前面第二章关闭xinetd服务中所列的服务,都不需要开放,则可以直接关闭xinetd服务。操作:chkconfig--level12345xinetdoff关闭邮件服务说明:1)如果系统不需要作为邮件服务器,并不需要向外面发邮件,可以直接关闭邮件服务...
