Linux安全配置手册模板.doc

1、 Linux安全配置手册 综述 本文档以经典安装RedHat Linux为对象撰写而成，其它版本均基础类似，依据具体情况进行合适修改即可。 文档中操作需要以root用户登录至控制台进行，不推荐使用网络远程方法进行补丁及配置修改等加固操作。 部分操作需要重新开启服务器才会生效，注意一些数据库等应用需要先停止应用，然后才能够重新开启。 加固之前首先应对系统中关键文件及可能修改文件进行备份，可参考使用以下脚本： for file in /etc/inetd.conf /etc/hosts

2、equiv \ /etc/ftpusers /etc/passwd /etc/shadow /etc/hosts.allow \ /etc/hosts.deny /etc/proftpd.conf \ /etc/rc.d/init.d/functions /etc/inittab \ /etc/sysconfig/sendmail /etc/security/limits.conf \ /etc/exports /etc/sysctl.conf /etc/syslog.conf \ /etc/fstab /etc/security.console.perms /root/.rho

3、sts \ /root/.shosts /etc/shosts.equiv /etc/X11/xdm/Xservers \ /etc/X11/xinit/xserverrc /etc/X11/gdm/gdm.conf \ /etc/cron.allow /etc/cron.deny /etc/at.allow \ /etc/at.deny /etc/crontab /etc/motd /etc/issue \ /usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm.conf \ /etc/securetty /etc/security/access

4、conf /etc/lilo.conf \ /etc/grub.conf /etc/login.defs /etc/group /etc/profile \ /etc/csh.login /etc/csh.cshrc /etc/bashrc \ /etc/ssh/sshd_config /etc/ssh/ssh_config \ /etc/cups/cupsd.conf /etc/{,vsftpd/}vsftpd.conf \ /etc/logrotate.conf /root/.bashrc /root/.bash_profile \ /root/.cshrc /root/.t

5、cshrc /etc/vsftpd.ftpusers ; do [ -f $file ] && /bin/cp $file $file-preCIS done for dir in /etc/xinetd.d /etc/rc[0123456].d \ /var/spool/cron /etc/cron.* /etc/logrotate.d /var/log \ /etc/pam.d /etc/skel ; do [ -d $dir ] && /bin/cp -r $dir $dir-preCIS done 补丁 系统补丁 系统内核版本使用uname -a查看。 软件版本和

6、补丁使用rpm -qa查看。 使用up2date命令自动升级或去ftp://下载对应版本补丁手工单独安装。 其它应用补丁 除RedHat官方提供系统补丁之外，系统也应对依据开放服务和应用进行补丁，如APACHE、PHP、OPENSSL、MYSQL等应用进行补丁。 具体升级方法： 首先确定机器上安装了gcc及必需库文件。 然后去应用官方网站下载对应源代码包，如 *.tar.gz 再解压 tar zxfv *.tar.gz 再依据使用情况对编译配置进行修改，或直接采取默认配置 cd * ./configure 再进行编译和安装 make make install 最小

7、化xinetd网络服务 停止默认服务 说明： Xinetd是旧inetd服务替换，她提供了部分网络相关服务开启调用方法。Xinetd应严禁以下默认服务开放： chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin rsh rsync servers services 操作： 停止一个服务 chkconfig 服

8、务名 off 打开一个服务 chkconfig 服务名 on 也能够使用ntsysv命令进行服务开关调整 其它 说明： 对于xinet必需开放服务，应该注意服务软件升级和安全配置，并推荐使用SSH和SSL对原明文服务进行替换。假如条件许可，能够使用系统自带iptables或tcp-wrapper功效对访问IP地址进行限制。 操作： Xinetd、SSH和SSL、防火墙配置参见对应系统用户手册，此不详述。 最小化开启服务 设置daemon权限unmask 说明： 默认系统umask最少为022，以预防daemon被其它低权限用户修改。 操作： vi修改/etc/rc.

9、d/init.d文件，umask 值为022。 同时检验/etc/rc.d/init.d中其它开启脚本权限是否为755。 关闭xinetd服务 说明： 假如前面第二章关闭xinetd服务中所列服务，全部不需要开放，则能够直接关闭xinetd服务。 操作： chkconfig --level 12345 xinetd off 关闭邮件服务 说明： 1) 假如系统不需要作为邮件服务器，并不需要向外面发邮件，能够直接关闭邮件服务。 2) 假如不需要作为邮件服务器，不过许可用户发送邮件，能够设置Sendmail不运行在daemon模式。 操作： 1) chkconfig --l

10、evel 12345 sendmail off 2) 编辑/etc/sysconfig/senmail文件 增添以下行 DAEMON=no QUEUE=1h 设置 cd /etc/sysconfig /bin/chown root:root sendmail /bin/chmod 644 sendmail 关闭图形登录服务 说明： 通常来说，大部分软件安装和运行全部不需要图形环境。假如不需要图形环境进行登录和操作，能够关闭X Windows运行。 操作： cp /etc/inittab /etc/inittab.bak 编辑/etc/inittab文件 修改id:

11、5:initdefault:行为id:3:initdefault: chown root:root /etc/inittab chmod 0600 /etc/inittab 如需要X Windows时候，可运行startx命令开启图形界面。 关闭X字体服务器 说明： 假如关闭了X Windows服务，则X font服务器服务也应该进行关闭。 操作： chkconfig xfs off 关闭其它默认开启服务 说明： 系统开启时会开启很多无须要服务，这些无须要服务均存在一定安全隐患。通常可能存在以下无须要服务： apmd canna FreeWnn gpm hpoj inn

12、d irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups 加固时，应依据机器具体配置使用和应用情况对开放服务进行调整，关闭不需要服务。 服务运行脚本通常全部放在/etc/rc.d/r

13、c*.d进行开启，能够使用chkconfig工具直接进行管理。 对于必需经过/etc/rc.d/rc*.d开放服务，应确保全部已打上过最新补丁。 操作： chkconfig --level 12345 服务名 off 假如关闭了特定服务，也应该同时对这些服务在系统中用户加以锁定或删除 可能包含以下用户rpc rpcuser lp apache http httpd named dns mysql postgres squid usermod -L 要锁定用户 调整SMB服务 说明： Samba服务器通常见来提供和Windows类似文件和打印共享服务。除非十分必需，不然应关闭S

14、MB（Windows文件共享）服务。可采取以下方法开放SMB服务。 操作： chkconfig smb on 调整NFS服务器服务 说明： NFS漏洞较多，常常被利用来取得未授权文件或系统权限。除非十分必需，不然应关闭NFS服务。可采取以下方法开放SMB服务，并应该限制export文件系统中IP地址范围，和增添只读权限。 操作： chkconfig --level 345 nfs on 调整NFS用户端服务 说明： NFS用户端服务通常见来访问其它NFS服务器。除非十分必需，不然应关闭此服务。可采取以下方法开放此服务。 操作： chkconfig --level 345

15、 nfslock on chkconfig --level 345 autofs on 调整NIS服务器服务 说明： NIS用来提供基于UNIX域管理和认证手段。除非十分必需，不然应关闭此服务。可采取以下方法开放此服务。 操作： chkconfig ypserv on chkconfig yppasswdd on 调整NIS用户端服务 说明： NIS用户端用来访问其它NIS服务器。除非十分必需，不然应关闭此服务。可采取以下方法开放此服务。 操作： chkconfig ypbind on 调整RPC端口映射服务 说明： RPC协议通常经过比较简单或不经认证就能够得到

16、部分很敏感信息。而且RPC系列服务全部存在部分缓冲区溢出问题。 在以下情况下能够考虑关闭RPC端口映射服务： 服务器不是NFS服务器或用户端； 服务器不是NIS服务器或用户端； 服务器没有运行其它依靠于RPC服务第三方软件； 服务器不运行图形界面（x-windows）。 操作： chkconfig --level 345 portmap on 调整netfs服务 说明： 此服务会作为用户端挂接网络中磁盘。假如没有网络文件共享协议如NFS，NovellNetware或Windows文件共享使用，则能够关闭此服务。 操作： chkconfig --level 345 net

17、fs on 调整打印机服务 说明： UNIX打印服务存在较多安全漏洞。假如系统不作为网络中打印机服务器，则能够关闭此服务。假如必需使用此服务，首先应确保软件全部经过最新补丁，然和设置cupsd进程运行在非root用户和组。 操作： if [ -e /etc/init.d/cups ] ; then chkconfig cups on sed 's/^\#User lp/User lp/' /etc/cups/cupsd.conf \ >/etc/cups/cupsd.conf.new sed 's/^\#Group sys/Group sys/' \ /etc/cups/c

18、upsd.conf.new >/etc/cups/cupsd.conf rm -f /etc/cups/cupsd.conf.new /bin/chown lp:sys /etc/cups/cupsd.conf /bin/chmod 600 /etc/cups/cupsd.conf fi chkconfig hpoj on chkconfig lpd on 调整Web服务器服务 说明： 假如服务器必需开放Web，则需要作以下设置。应注意web目录权限设置，不要许可目录list。 操作： chkconfig apahce on 或 chkconfig httpd on

19、 调整SNMP服务 说明： 简单网络管理协议SNMP通常见来监控网络上主机或设备运行情况。假如必需打开，则必需更改默认通讯字。 操作： chkconfig snmpd on 编辑/etc/snmp/snmpd.conf com2sec notConfigUser default public 修改public为其它一个足够复杂密码。 调整DNS服务器服务 说明： DNS服务器服务用来为其它机器提供DNS解析，通常来说全部能够关掉。假如必需进行开放，则必需升级至最新版本，并推荐设置chroot环境，还需要注意限制DNS配置文件中区域传输等设置（加密码或加IP地址限制）。 操

20、作： chkconfig named on 调整SSHD服务器服务 说明： SSHD服务器服务用来提供SSH Server服务。假如必需进行开放，则必需升级至最新版本，并推荐设置chroot环境，还需要注意限制SSH配置文件中区域传输等设置，需要在SSHD配置文件中禁用ssh1方法连接，因ssh1方法连接是非完全加密。 操作： Ø 如使用Openssh，则检验/etc/ssh/sshd_config grep Protocol /etc/ssh/sshd_config Ø 如使用SSH.comSSHD,需要检验/etc/ssh2/sshd2_config grep Prot

21、ocol /etc/ssh2/sshd2_config 调整SQL服务器服务 说明： 假如不需要数据库服务，则能够关闭此服务。假如必需进行开放，则注意修改数据库用户密码，并增加数据库用户IP访问限制。 操作： chkconfig postgresql on chkconfig mysqld on 调整Webmin服务 说明： Webmin是一个经过HTTP协议控制linux工具，通常推荐使用SSH进行系统管理而不要使用此工具。 操作： chkconfig webmin on 调整Squid服务 说明： Squid服务是用户端和服务器之间代理服务。Squid服务已

22、出现过很多安全漏洞，而且假如设置不妥话，可能造成被利用来作为内外网之间跳板。假如不需要，则能够关闭此服务。假如必需打开，则需要设置许可访问地址列表及认证。 操作： chkconfig squid on 调整kudzu硬件探测服务 说明： Kudzu服务是linux硬件探测程序，通常设置为开启系统时候运行。她会检测系统中硬件改变，而且会提醒进行配置等。未经授权新设备存在一定安全风险，系统开启时控制台就能够配置任何新增添设备。 假如不需要常常改动硬件，则需要进行关闭。能够在增添新设备时手工运行/etc/rc.d/init.d/kudzu开启此服务。 操作： chkconfig --

23、level 345 kudzu on 内核参数 网络参数调整 说明： Linux支持对网络参数进行调整。 具体参数具体说明，可参见 。 操作： 编辑/etc/sysctl.conf 增加 net.ipv4.tcp_max_syn_backlog = 4096 net.ipv4.conf.all.rp_filter = 1 net.ipv4.conf.all.accept_source_route = 0 net.ipv4.conf.all.accept_redirects = 0 net.ipv4.conf.all.secure_redirects = 0 net

24、ipv4.conf.default.rp_filter = 1 net.ipv4.conf.default.accept_source_route = net.ipv4.conf.default.accept_redirects = 0 net.ipv4.conf.default.secure_redirects = 0 /bin/chown root:root /etc/sysctl.conf /bin/chmod 0600 /etc/sysctl.conf 更多网络参数调整 说明： 假如系统不作为在不一样网络之间防火墙或网关时，可进行以下设置。 具体参数具体说明，可

25、参见 操作： 编辑/etc/sysctl.conf 增加 net.ipv4.ip_forward = 0 net.ipv4.conf.all.send_redirects = 0 net.ipv4.conf.default.send_redirects = 0 /bin/chown root:root /etc/sysctl.conf /bin/chmod 0600 /etc/sysctl.conf 日志 系统认证日志配置 说明： 不是全部版本linux全部会在日之中统计登陆信息。通常需要对这些关键安全相关信息进行保留，（如成功或失败su，失败登陆，root登陆

26、等）。这些将会被统计在/var/log/secure文件里。 操作： 编辑/etc/syslog.conf 确定有以下行 authpriv.* /var/log/secure touch /var/log/secure /bin/chown root:root /var/log/secure /bin/chmod 600 /var/log/secure FTP进程日志配置 说明： 系统默认会统计wu-ftpd和vsftpd全部连接和文件传输。以下将会确定全部法发送到服务期命令将会被统计。wu-ftpd将会把安全相关或是策略边界行为记忆文件传输统计到syslog里，

27、默认在/var/log/xferlog。 操作： 编辑/etc/xinetd.d/wu-ftpd文件 确定有以下行 server_args = -l -a -d /bin/chown root:root wu-ftpd /bin/chmod 644 wu-ftpd 编辑/etc/vsftpd.conf或/etc/vsftpd/vsftpd.conf文件 确定有以下行 xferlog_std_format=NO log_ftp_protocol=YES log_ftp_protocol=YES /bin/chmod 0600 vsftpd.conf /bin

28、/chown root:root vsftpd.conf 确定系统日志权限 说明： 保护系统日志文件不会被非授权用户所修改。 操作： cd /var/log /bin/chmod o-w boot.log* cron* dmesg ksyms* httpd/* \ maillog* messages* news/* pgsql rpmpkgs* samba/* \ scrollkeeper.log secure* spooler* squid/* vbox/* wtmp /bin/chmod o-rx boot.log* cron* maillog* messages* pg

29、sql \ secure* spooler* squid/* /bin/chmod g-w boot.log* cron* dmesg httpd/* ksyms* \ maillog* messages* pgsql rpmpkgs* samba/* \ scrollkeeper.log secure* spooler* /bin/chmod g-rx boot.log* cron* maillog* messages* pgsql \ secure* spooler* /bin/chmod o-w gdm/ httpd/ news/ samba/ squid/ vbox/

30、/bin/chmod o-rx httpd/ samba/ squid/ /bin/chmod g-w gdm/ httpd/ news/ samba/ squid/ vbox/ /bin/chmod g-rx httpd/ samba/ /bin/chown -R root:root . /bin/chgrp utmp wtmp /bin/chown -R news:news news /bin/chown postgres:postgres pgsql /bin/chown -R squid:squid squid 文件/目录权限 /etc/fstab中合适分区增加“no

31、dev”选项 说明： 在我们已知不包含设备分区增添nodev参数，预防用户挂接分区中未授权设备。 此项加固要比较慎重。 操作： 编辑/etc/fstab文件 在非/ext2和ext3分区后增添nodev参数 /bin/chown root:root /etc/fstab /bin/chmod 0644 /etc/fstab /etc/fstab中移动设备增加“nosuid”“nodev”选项 说明： 可移动媒体可能造成恶意程序进入系统。能够将这些文件系统设置nosuid选项，此选项能够预防用户使用CD-ROM或软盘将设置了SUID程序带到系统里。 参考上节，这些文件系统

32、也应该设置nodev选项。 操作： 编辑/etc/fstab文件 在floppy和cdrom分区后增添nosuid,nodev参数 /bin/chown root:root /etc/fstab /bin/chmod 0644 /etc/fstab 严禁用户挂接可移动文件系统 说明： PAM模块中pam console参数给控制台用户临时额外特权。其配置在/etc/security/console.perms文件。默认设置许可控制台用户控制能够和其它主机共享软盘和CD-ROM设备。这些可移动媒体存在着一定安全风险。以下严禁这些设备额外特权。 操作： 编辑/etc/sec

33、urity/console.perms文件 修改其中console行，删除以下设备之外行 /sound|fb|kbd|joystick|v4l|mainboard|gpm|scanner /bin/chown root:root console.perms /bin/chmod 0600 console.perms 检验passwd，shadow和group文件权限 说明： 检验以下文件默认权限。 操作： cd /etc /bin/chown root:root passwd shadow group /bin/chmod 644 passwd group /bin

34、/chmod 400 shadow 全局可写目录应设置粘滞位 说明： 当一个目录设置了粘滞位以后，只有文件属主能够删除此目录中文件。设置粘滞位能够预防用户覆盖其它用户文件。如/tmp目录。 操作： find / -xdev -type d -perm -0002 -a ! -perm -1000 -print 找出未授权全局可写目录 说明： 全局可写文件能够被任意用户修改。全局可写文件可能造成部分脚本或程序被恶意修改后造成更大危害，通常应拒绝其它组用户写权限。 操作： find / -perm -0002 -type f -xdev -print chmod o-w

35、ilename> 找出未授权SUID/SGID文件 说明： 管理员应该检验没有其它非授权SUID/SGID在系统内。 操作： find / -perm -04000 -o -perm -0 -type f -xdev -print 找出异常和隐藏文件 说明： 入侵者轻易将恶意文件放在这目录中或命名这么文件名。对于检验出来数据需要查对是否系统本身文件。 操作： find / -name ".. " -exec ls -ldb {} \; find / -name ".*" -exec ls -ldb {} \; 系统访问，授权和认证 删除.rhosts文件 说明：

36、R系列服务（rlogin，rsh，rcp）使用.rhosts文件，它使用基于网络地址或主机名远端机算计弱认证（很轻易被伪造）。假如必需使用R系列服务，则必需确保.rhosts文件中没有“+”，而且同时指定对方系统和用户名。假如有防火墙，则应该在过滤外部网段至内部全部R系列服务访问。同时需要确保.rhosts文件仅能够被全部者读取（600）。 操作： for file in /etc/pam.d/* ; do grep -v rhosts_auth $file > ${file}.new /bin/mv ${file}.new $file /bin/chown root:root $f

37、ile /bin/chmod 644 $file done 创建危险文件链接 说明： 预防创建危险/root/.rhosts，/root/.shosts，/etc/hosts.equiv和/etc/shosts.equiv文件。 操作： /bin/rm /root/.rhosts ln -s /dev/null /root/.rhosts /bin/rm /root/.shosts ln -s /dev/null /root/.shosts /bin/rm /etc/hosts.equiv ln -s /dev/null /etc/hosts.equiv

38、/bin/rm /etc/shosts.equiv ln -s /dev/null /etc/shosts.equiv 创建ftpuser文件 说明： Ø /etc/ftpusers和/etc/vsftp.ftpusers文件里用户列表里用户将拒绝经过WU-FTPD和vsftpd访问系统。通常情况下，应该不许可部分系统用户访问FTP，而且任何时候全部不应该使用root用户访问FTP。 Ø /etc/vsftpd.user类似上述功效。 操作： for name in `cut -d: -f1 /etc/passwd` do if [ `id -u $name` -lt 5

39、00 ] then echo $name >> /etc/ftpusers fi done /bin/chown root:root /etc/ftpusers /bin/chmod 600 /etc/ftpusers if [ -e /etc/vsftpd.conf ] || \ [ -e /etc/vsftpd/vsftpd.conf ]; then /bin/rm -f /etc/vsftpd.ftpusers /bin/cp /etc/ftpusers /etc/vsftpd.ftpusers fi 关闭X-Windows开放端口 说明： X服务器在6000

40、/tcp监听远端用户端连接。X-Windows使用相对不安全认证方法，取得X认证用户很轻易就能够控制整台服务器。 删除选项中“-nolisten tcp”能够使X服务器不再监听6000/tcp端口。 操作： if [ -e /etc/X11/xdm/Xservers ] ; then cd /etc/X11/xdm awk '($1 !~ /^#/ && $3 == "/usr/X11R6/bin/X") \ { $3 = $3 " -nolisten tcp" }; { print }' Xservers > Xservers.new /bin/mv Xservers.new

41、 Xservers /bin/chown root:root Xservers /bin/chmod 444 Xservers fi if [ -e /etc/X11/gdm/gdm.conf ] ; then cd /etc/X11/gdm awk -F= '($2 ~ /\/X$/) \ { printf("%s -nolisten tcp\n", $0); next }; { print }' gdm.conf > gdm.conf.new /bin/mv gdm.conf.new gdm.conf /bin/chown root:root gdm.conf /bi

42、n/chmod 644 gdm.conf fi if [ -d /etc/X11/xinit ] ; then cd /etc/X11/xinit if [ -e xserverrc ] ; then awk '/X/ && !/^#/ \ { print $0 " :0 -nolisten tcp \$@"; next }; \ { print }' xserverrc > xserverrc.new /bin/mv xserverrc.new xserverrc else cat <xserverrc #!/bin/bash exec X :0 -nol

43、isten tcp \$@ END fi /bin/chown root:root xserverrc /bin/chmod 755 xserverrc fi 限制只有授权用户能够访问at/cron 说明： cron.allow和at.allow能够指定许可运行crontab和at命令用户列表。通常直应该许可管理员有权利运行计划任务。 操作： cd /etc/ /bin/rm -f cron.deny at.deny echo root >cron.allow echo root >at.allow /bin/chown root:root cron.allow a

44、t.allow /bin/chmod 400 cron.allow at.allow 限制crontab文件权限 说明： 系统crontab文件应该只能被cron daemon（以超级用户权限运行）和crontab命令（SUID）。 操作： /bin/chown root:root /etc/crontab /bin/chmod 400 /etc/crontab /bin/chown -R root:root /var/spool/cron /bin/chmod -R go-rwx /var/spool/cron /bin/chown -R root:root /etc/c

45、ron.* /bin/chmod -R go-rwx /etc/cron.* 创建警示BANNER 说明： 创建警示BANNER能够对恶意攻击者或尝试者起到警示作用。 操作： 1) 创建控制台和X模式BANNER if [ "`egrep -l Authorized /etc/motd`" == "" ]; then echo "Authorized uses only. All activity may be \ monitored and reported." >>/etc/motd fi if [ "`egrep -l Authorized /etc/issue`"

46、 == "" ]; then echo "Authorized uses only. All activity may be \ monitored and reported." >>/etc/issue fi if [ "`egrep -l Authorized /etc/`" == "" ]; then echo "Authorized uses only. All activity may be \ monitored and reported." >>/etc/ fi /bin/chown root:root /etc/motd /etc/issue /etc/ /b

47、in/chmod 644 /etc/motd /etc/issue /etc/ if [ -e /etc/X11/xdm/kdmrc ] ; then cd /etc/X11/xdm awk '/GreetString=/ \ { print "GreetString=Authorized uses only!"; next }; { print }' kdmrc >kdmrc.new /bin/mv kdmrc.new kdmrc /bin/chown root:root kdmrc /bin/chmod 644 kdmrc fi if [ -e /etc/X11/gdm

48、/gdm.conf ] ; then cd /etc/X11/gdm awk '/^Greeter=/ && /gdmgreeter/ \ { printf("#%s\n", $0); next }; /^#Greeter=/ && /gdmlogin/ \ { $1 = "Greeter=/usr/bin/gdmlogin" }; /Welcome=/ \ { print "Welcome=Authorized uses only!"; next }; { print }' gdm.conf >gdm.conf.new /bin/mv gdm.conf.new gdm.co

49、nf /bin/chown root:root gdm.conf /bin/chmod 644 gdm.conf fi 2) 适应TCP Wrappers创建“authorized only”网络服务BANNER。 mkdir /etc/banners ; cd /etc/banners if [ -e /usr/doc/tcp_wrappers-7.6/Banners.Makefile ]; then file=/usr/doc/tcp_wrappers-7.6/Banners.Makefile else file=/usr/share/doc/tcp_wrappers-7.6/Banners.Makefile fi cp $file Makefile echo "Authorized uses only. All activity may be \ monitored and reported." > prototype make cd /etc/xinetd.d for file in telnet krb5-telnet ; do if [ -f $file ]; then awk '( $1 == "}" ) \ { print