1.最小化安全系統(tǒng)���,刪除不必要的軟件�����,關(guān)閉不必要的服務(wù)�����。
# ntsysv
以下僅列出需要啟動(dòng)的服務(wù),未列出的服務(wù)一律推薦關(guān)閉���,必要運(yùn)行的服務(wù)再逐個(gè)打開(kāi)。
atd
crond
irqbalance
microcode_ctl
network
sshd
syslog
2.刪除finger程序���,具體方法如下
#rpm –e finger
3.BOIS安全設(shè)置
4.帳號(hào)安全設(shè)置
修改/etc/login.def文件
PASS_MAX_DAYS 120 ?設(shè)置密碼過(guò)期日期
PASS_MIN_DAYS 0 ?設(shè)置密碼最少更改日期
PASS_MIN_LEN 10 ?設(shè)置密碼最小長(zhǎng)度
PASS_WARN_AGE 7 ?設(shè)置過(guò)期提前警告天數(shù)
確保/etc/shadow為root只讀
確保/etc/passwd為root讀寫
定期用密碼工具檢測(cè)用戶密碼強(qiáng)度
5./etc/exports
如果通過(guò)NFS把文件共享出來(lái),那么一定要配置”/etc/exports”文件����,使得訪問(wèn)限制盡可能的嚴(yán)格。這就是說(shuō),不要使用通配符,不允許對(duì)根目錄有寫權(quán)限��,而且盡可能的只給讀權(quán)限�。在/etc/exports文件加入:
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
建議最好不要使用NFS.
6.inetd.conf或xinetd.conf
如果是inetd.conf建議注釋掉所有的r開(kāi)頭的程序,exec等
7.TCP_Wrappers
在/etc/hosts.allow中加入允許的服務(wù)���,在/etc/hosts.deny里加入這么一行ALL:ALL
8./etc/aliases文件
Aliases文件如果管理錯(cuò)誤或管理粗心就會(huì)造成安全隱患。把定義”decode”這個(gè)別名的行從aliases文件中刪除��。
編輯aliases,刪除或注釋下面這些行:
#games: root
#ingres: root
#system: root
#toor: root
#uucp: root
#manager: root
#dumper: root
#operator: root
#decode: root
運(yùn)行/usr/bin/nesaliases重新加載�����。
9.防止sendmail被沒(méi)有授權(quán)的用戶濫用
編輯sendmail.cf
把PrivacyOptions=authwarnings
改為PrivacyOptions=authwarnings,noexpn,novrfy
10.不響應(yīng)ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
11.使TCP SYN Cookie保護(hù)生效
Echo 1 > /proc/sys/net/ipv4/tcp_syncookies
12.刪除不必要的用戶和組用戶
刪除的用戶����,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等
刪除的組�,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等
可以設(shè)置不可更改位
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow
13.防止任何人都可以用su命令成為root
編輯su文件(vi /etc/pam.d/su),加入如下兩行
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
把能su為root的用戶加入wheel組
usermod -G10 username
14.使Control+Alt+Delete關(guān)機(jī)鍵無(wú)效
編輯inittab文件�,注釋掉
Ca:ctrlaltdel:/sbin/shutdown –t3 –r now
運(yùn)行/sbin/init q 使設(shè)置生效
15.創(chuàng)建所有重要的日志文件的硬拷貝
如果服務(wù)器比較重要����,可以考慮把ssh,mail,引導(dǎo)信息等打印出來(lái)�。在/etc/syslog.conf文件中加入一行。:
Authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0
執(zhí)行/etc/rc.d/init.d/syslog restart
或者把日志發(fā)送到其它服務(wù)器保存
如
authpriv.* /var/log/secure
要把它發(fā)送到192.168.0.2,就可以這樣修改
authpriv.* @192.168.0.2 /var/log/secure
16.改變/etc/rc.d/init.d目錄下的腳本文件的訪問(wèn)許可
chmod –R 700 /etc/rc.d/init.d/*
注意:慎重修改此安全設(shè)置
17./etc/rc.d/rc.local
把此文件中無(wú)關(guān)的信息全部注釋�����,不讓任何人看到任何有關(guān)主機(jī)的信息。
刪除/etc下的issue和issue.net
18.帶S位的程序
可以清除s位的程序包括但不限于:
從來(lái)不用的程序;
不希望非root用戶運(yùn)行的程序;
偶爾用用��,但是不介意先用su命令變?yōu)閞oot后再運(yùn)行���。
find / -type f /( -perm 04000 –o –perm -02000 /) -print
chmod a-s 程序名
19.查看系統(tǒng)隱藏文件
find / -name “����。*” –print
20.查找任何人都有寫權(quán)限的文件和目錄
find / -type f /( -perm -2 -o perm -20 /) ls
find / -type f /( -perm -2 –o –perm -20 /) ls
21.查找系統(tǒng)中沒(méi)有主人的文件
find / -nouser –o –nogroup
22.查找�。rhosts文件
find /home -name ".rhosts"
如果有,請(qǐng)刪除它��。
23.收回系統(tǒng)編譯器的權(quán)限或刪除
如: chmod 700 /usr/bin/gcc
