Linux系统安全-解决方案.doc

Linux系统安全-解决方案.doc:..,预防远程访问服务攻击或非授权访问,提高主机系统远程管理安全。基线技术要求基线标准点(参数)说明管理远程工具安装SSHOpenSSH为远程管理商安全性工具,可保护管理过程中传输数据的安全,linux当前版本都已默认安装访问控制酉己S/etc/、/etc/,,提高主机系统账户与口令安全。基线技术要求基线标准点(参数)说明限制系统无用的默认帐号登录a)Daemonb)Binc)Sysd)Adme)Uucpf)Lpg)nobody淸理多余用户帐号,限制系统默认帐号登录,同时,针对需要使用的用户,制订用户列表进行妥善保存root远程登录禁止禁止root远程登录门令策略a)PASSMAXDAYS180*MM(可选)b)PASSMINDAYS1c)PASS_WARN_AGE28d)PASSMINLEN8*MMa) 密码使用最长期限为180天b) 密码1天之lAl不能史改c) 密码过期之前28天提示修改d) 密码长度最小8位字符控制用户登录会话设置为600秒设置超时时间,控制用户登录会话FTP用户帐号控制/etc/,保护円志的安全与有效性。S线技术要求基线标准点(参数)说明捕获authpriv消息authpriv口志记录宥关安全方面日志消息(如M络设备启动、usermod、change等)基线技术要求基线标准点(参数)说明日志存储(可选)指定II志服务器使用日志服务器接受与存储主机日志曰志保存要求2个月日志必须保存2个月日志系统配置文件保护文件属性400(管理员账号只读)修改日志配置文件(),优化系统资源。基线技术要求基线标准点(参数)服务禁止远程访问服务ftp服务(可选)禁止文件上传服务(需要经过批准才启用)sendmail服务(可选)禁止邮件服务klogin服务禁止Kerberos登录,如果您的站点使用Kerberos认证则启用(需要经过批准才启用)kshcll服务禁止Kerberosshell,如果您的站点使用Kerberos认证则启用(需耍经过批准方启用)ntalk服务禁止newtalktl'tp服务禁止以root用户身份运行并且可能危及安全imap服务(可选)禁止邮件服务pop3服务(可选)禁止邮件服务GLI服务(可选)禁止图形管理服务Xwindows服务(可选)禁止通用的windows界面xinctd后动服务(kT选)禁止系统ft动启动服务:nfs、nfslock、autofs、ypbindypserv、yppasswdd、fs、lpd、apachehttpd、tux、snmpd、namedpostgresql、mysqld、webmin、kudzu、squid、cups、ip6tablesiptables、pcmcia、bluetoothNSResponder