LINUX安全配置手册

LLiinnuuxx安安全全配配置置手手册册Linux安全配置手册1综述本文档以典型安装的RedHatLinux为对象撰写而成，其他版本均基本类似，根据具体情况进行适当修改即可。文档中的操作需要以root用户登录至控制台进行，不推荐使用网络远程的方式进行补丁及配置修改等加固操作。部分操作需要重新启动服务器才会生效，注意某些数据库等应用需要先停止应用，然后才可以重新启动。加固之前首先应对系统中的重要文件及可能修改的文件进行备份，可参照使用以下脚本：forfilein/etc/inetd.conf/etc/hosts.equiv\/etc/ftpusers/etc/passwd/etc/shadow/etc/hosts.allow\/etc/hosts.deny/etc/proftpd.conf\/etc/rc.d/init.d/functions/etc/inittab\/etc/sysconfig/sendmail/etc/security/limits.conf\/etc/exports/etc/sysctl.conf/etc/syslog.conf\/etc/fstab/etc/security.console.perms/root/.rhosts\/root/.shosts/etc/shosts.equiv/etc/X11/xdm/Xservers\/etc/X11/xinit/xserverrc/etc/X11/gdm/gdm.conf\/etc/cron.allow/etc/cron.deny/etc/at.allow\/etc/at.deny/etc/crontab/etc/motd/etc/issue\/usr/share/config/kdm/kdmrc/etc/X11/gdm/gdm.conf\/etc/securetty/etc/security/access.conf/etc/lilo.conf\/etc/grub.conf/etc/login.defs/etc/group/etc/profile\/etc/csh.login/etc/csh.cshrc/etc/bashrc\/etc/ssh/sshd_config/etc/ssh/ssh_config\/etc/cups/cupsd.conf/etc/{,vsftpd/}vsftpd.conf\/etc/logrotate.conf/root/.bashrc/root/.bash_profile\/root/.cshrc/root/.tcshrc/etc/vsftpd.ftpusers;do[-f$file]&&/bin/cp$file$file-preCISdonefordirin/etc/xinetd.d/etc/rc[0123456].d\/var/spool/cron/etc/cron.*/etc/logrotate.d/var/log\/etc/pam.d/etc/skel;do[-d$dir]&&/bin/cp-r$dir$dir-preCISLinux安全配置手册2done补丁系统补丁系统内核版本使用uname-a查看。软件版本和补丁使用rpm-qa查看。使用up2date命令自动升级或去下载对应版本补丁手工单独安装。其他应用补丁除RedHat官方提供的系统补丁之外，系统也应对根据开放的服务和应用进行补丁，如APACHE、PHP、OPENSSL、MYSQL等应用进行补丁。具体升级方法：首先确认机器上安装了gcc及必要的库文件。然后去应用的官方网站下载对应的源代码包，如*.tar.gz再解压tarzxfv*.tar.gz再根据使用情况对编译配置进行修改，或直接采用默认配置cd*./configure再进行编译和安装makemakeinstall最小化xinetd网络服务停止默认服务说明：Xinetd是旧的inetd服务的替代，他提供了一些网络相关服务的启动调用方式。Xinetd应禁止以下默认服务的开放：chargenchargen-udpcups-lpddaytimedaytime-udpechoecho-udpekloginfingergssftpimapLinux安全配置手册3imapsipop2ipop3krb5-telnetkloginkshellktalkntalkpop3srexecrloginrshrsyncserversservices操作：停止一个服务chkconfig服务名off打开一个服务chkconfig服务名on也可以使用ntsysv命令进行服务开关调整其他说明：对于xinet必须开放的服务，应该注意服务软件的升级和安全配置，并推荐使用SSH和SSL对原明文的服务进行替换。如果条件允许，可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。操作：Xinetd、SSH和SSL、防火墙配置参见对应系统的用户手册，此不详述。最小化启动服务设置daemon权限unmask说明：默认系统umask至少为022，以防止daemon被其他低权限用户修改。操作：vi修改/etc/rc.d/init.d文件，umask值为022。同时检查/etc/rc.d/init.d中其他启动脚本权限是否为755。关闭xinetd服务说明：如果前面第二章关闭xinetd服务中所列的服务，都不需要开放，则可以直接关闭xinetd服务。操作：chkconfig--level12345xinetdoffLinux安全配置手册4关闭邮件服务说明：1)如果系统不需要作为邮件服务器，并不需要向外面发邮件，可以直接关闭邮件服务。2)如果不需要作为邮件服务器，但是允许用户发送邮件，可以设置Sendmail不运行在daemon模式。操作：1)chkconfig--level12345sendmailoff2)编辑/etc/sysconfig/senmail文件增添以下行DAEMON=noQUEUE=1h设置cd/etc/sysconfig/bin/chownroot:rootsendmail/bin/chmod644sendmail关闭图形登录服务说明：一般来说，大部分软件的安装和运行都不需要图形环境。如果不需要图形环境进行登录和操作，可以关闭XWindows的运行。操作：cp/etc/inittab/etc/inittab.bak编辑/etc/inittab文件修改id:5:initdefault:行为id:3:initdefault:chownroot:root/etc/inittabchmod0600/etc/inittab如需要XWindows的时候，可运行startx命令启动图形界面。关闭X字体服务器说明：如果关闭了XWindows服务，则Xfont服务器服务也应该进行关闭。Linux安全配置手册5操作：chkconfigxfsoff关闭其他默认启动服务说明：系统启动时会启动很多不必要的服务，这些不必要的服务均存在一定的安全隐患。一般可能存在以下不必要的服务：apmdcannaFreeWnngpmhpojinndirdaisdnkdcrotatelvsmars-nweoki4daemonprivoxyrstatdrusersdrwalldrwhodspamassassinwinenfsnfslockautofsypbindypservyppasswddportmapsmbnetfslpdapachehttpdtuxsnmpdnamedpostgresqlmysqldwebminkudzusquidcups加固时，应根据机器具体配置使用和应用情况对开放的服务进行调整，关闭不需要的服务。服务运行脚本一般都放在/etc/rc.d/rc*.d进行启动，可以使用chkconfig工具直接进行管理。对于必须通过/etc/rc.d/rc*.d开放的服务，应确保都已打上过最新的补丁。操作：chkconfig--level12345服务名off如果关闭了特定的服务，也应该同时对这些服务在系统中的用户加以锁定或删除可能包括以下用户rpcrpcuserlpapachehttphttpdnameddnsmysqlpostgressquidusermod-L要锁定的用户调整SMB服务说明：Samba服务器一般用来提供与Windows类似的文件和打印共享服务。除非十分必要，否则应关闭SMB（Windows文件共享）服务。可采用以下方式开放SMB服务。操作：chkconfigsmbon调整NFS服务器服务说明：NFS漏洞较多，经常被利用来取得未授权的文件或系统权限。除非十分必要，否则应关闭NFS服务。可采用以下方式开放SMB服务，并应该限制export文件系统的中的IP地址范围，以及增添只读权限。操作：Linux安全配置手册6chkconfig--level345nfson调整NFS客户端服务说明：NFS客户端服务一般用来访问其他NFS服务器。除非十分必要，否则应关闭此服务。可采用以下方式开放此服务。操作：chkconfig--level345nfslockonchkconfig--level345autofson调整NIS服务器服务说明：NIS用来提供基于UNIX的域管理和认证手段。除非十分必要，否则应关闭此服务。可采用以下方式开放此服务。操作：chkconfigypservonchkconfigyppasswddon调整NIS客户端服务说明：NIS客户端用来访问其他NIS服务器。除非十分必要，否则应关闭此服务。可采用以下方式开放此服务。操作：chkconfigypbindon调整RPC端口映射服务说明：RPC协议一般经过比较简单的或不经认证就可以得到一些非常敏感的信息。并且RPC系列服务都存在一些缓冲区溢出问题。在以下情况下可以考虑关闭RPC端口映射服务：服务器不是NFS服务器或客户端；Linux安全配置手册7服务器不是NIS服务器或客户端；服务器没有运行其它依赖于RPC服务的第三方软件；服务器不运行图形界面（x-windows）。操作：chkconfig--level345portmapon调整netfs服务说明：此服务会作为客户端挂接网络中的磁盘。如果没有网络文件共享协议如NFS，NovellNetware或Windows文件共享使用，则可以关闭此服务。操作：chkconfig--level345netfson调整打印机服务说明：UNIX打印服务存在较多的安全漏洞。如果系统不作为网络中的打印机服务器，则可以关闭此服务。如果必须使用此服务，首先应保证软件都经过最新的补丁，然和设置cupsd进程运行在非root用户和组。操作：if[-e/etc/init.d/cups];thenchkconfigcupsonsed's/^\#Userlp/Userlp/'/etc/cups/cupsd.conf\/etc/cups/cupsd.conf.newsed's/^\#Groupsys/Groupsys/'\/etc/cups/cupsd.conf.new/etc/cups/cupsd.confrm-f/etc/cups/cupsd.conf.new/bin/chownlp:sys/etc/cups/cupsd.conf/bin/chmod600/etc/cups/cupsd.conffichkconfighpojonchkconfiglpdonLinux安全配置手册8调整Web服务器服务说明：如果服务器必须开放Web，则需要作如下设置。应注意web目录权限设置，不要允许目录list。操作：chkconfigapahceon或chkconfighttpdon调整SNMP服务说明：简单网络管理协议SNMP一般用来监控网络上主机或设备的运行情况。如果必须打开，则必须更改默认通讯字。操作：chkconfigsnmpdon编辑/etc/snmp/snmpd.confcom2secnotConfig