2024年6月2日发(作者:)
目 录
1.安装最新安全补丁
1
项目:
安装操作系统提供商发布的最新的安全补丁
注释:
各常见的Linux发布安全信息的web
地址:
RedHat Linux:
Caldera OpenLinux:
Conectiva Linux:
Debian GNU/Linux:
Mandrake Linux:
LinuxPPC:
Yellow Dog Linux :
2.网络和系统服务
inetd/xinetd网络服务:
设置项
确保只有确实需要的服务在运行:
1
先把所有通过ineted/xineted运行的网络服务关闭,再
打开确实需要的服务
注释:
绝大多数通过inetd/xinetd运行的网络
服务都可以被禁止,比如echo, exec,
login, shell,who,finger等.对于telnet,
r系列服务, ftp等, 强烈建议使用SSH
来代替.
在/etc/文件的”default {}”
块中加入如下行:
only_from=
注释:
NFS通常存在漏洞会导致未授权的文
件和系统访问.
2
设置xinetd访问控制
启动服务:
设置项
关闭NFS服务器进程:
1
运行 chkconfig nfs off
关闭NFS客户端进程:
2
运行 chkconfig nfslock off
chkconfig autofs off
3
4
5
关闭NIS客户端进程:
chkconfig ypbind off
关闭NIS服务器进程:
运行 chkconfig ypserv off
chkconfig yppasswd off
关闭其它基于RPC的服务:
运行 chkconfig portmap off
NIS系统在设计时就存在安全隐患
基于RPC的服务通常非常脆弱或者缺
少安全的认证,但是还可能共享敏感
信息.除非确实必需,否则应该完全禁
止基于RPC的服务.
除非确实需要和Windows系统共享文
件,否则应该禁止该服务.
如果不需要文件共享可禁止该脚本
如果用户从来不通过该机器打印文件
则应该禁止该服务.Unix的打印服务
有糟糕的安全记录.
对于专门的服务器没有理由要运行X
Server, 比如专门的Web服务器
6
7
8
关闭SMB服务
运行 chkconfig smb off
禁止Netfs脚本
chkconfig netfs off
关闭打印机守护进程
chkconfig lpd off
关闭启动时运行的 X Server
sed 's/id:5:initdefault:/id:3:initdefault:/'
< /etc/inittab > /etc/
mv /etc/ /etc/inittab
chown root:root /etc/inittab
chmod 0600 /etc/inittab
关闭Mail Server
chkconfig postfix off
9
10
11
12
13
14
关闭Web Server
chkconfig httpd off
关闭SNMP
chkconfig snmpd off
关闭DNS Server
chkconfig named off
关闭 Database Server
chkconfig postgresql off
关闭路由守护进程
chkconfig routed off
chkconfig gated off
关闭Webmin远程管理工具
chkconfig webmin off
关闭Squid Web Cache
chkconfig squid off
可能的话禁止inetd/xinetd
chkconfig inetd off 或
多数Unix/Linux系统运行Sendmail作
为邮件服务器, 而该软件历史上出现
过较多安全漏洞,如无必要,禁止该服
务
可能的话,禁止该服务.
如果必需运行SNMP的话,应该更改
缺省的community string
可能的话,禁止该服务
Linux下常见的数据库服务器有
Mysql, Postgre, Oracle等, 没有必要
的话,应该禁止这些服务
组织里仅有极少数的机器才需要作为
路由器来运行.大多数机器都使用简
单的”静态路由”, 并且它不需要运行
特殊的守护进程
Webmin是一个远程管理工具,它有糟
糕的认证和会话管理历史, 所以应该
谨慎使用
如果必需使用, 应该谨慎配置
如果没有网络服务通过inetd/xinetd运
行则可以禁止它们
15
16
17
18
发布评论