Linux软件系统安全加固手册.doc

螂密级:商业秘密肀蚇芈袃蒃莀螄LINUX评估加固手册袅薁螀蒅蚂虿腿芅螃肂虿羅螅膀安氏领信科技发展有限公司肈螆二〇一九二〇一九年四月薂目录薃1、系统补丁的安装 3文档收集自网络,仅用于个人学****蒇2、帐户、口令策略的加固 3文档收集自网络,、删除或禁用系统无用的用户 3文档收集自网络,、口令策略的设置 4文档收集自网络,、系统是否允许root远程登录 4文档收集自网络,、root的环境变量设置 5文档收集自网络,仅用于个人学****3、网络与服务加固 5文档收集自网络,、rc?.d中的服务的设置 5文档收集自网络,、/etc/ 6文档收集自网络,、NFS的配置 8文档收集自网络,、SNMP的配置 8文档收集自网络,、Sendmail的配置 9文档收集自网络,、DNS(Bind)的配置 9文档收集自网络,、网络连接访问控制的设置 9文档收集自网络,仅用于个人学****蚇4、信任主机的设置 10文档收集自网络,仅用于个人学****薄5、日志审核的设置 11文档收集自网络,仅用于个人学****芀6、物理安全加固 11文档收集自网络,仅用于个人学****葿7、系统内核参数的配置 12文档收集自网络,仅用于个人学****蒈8、选装安全工具 13文档收集自网络,仅用于个人学****蚅蚂袈膈蒂螁芈蚄1、系统补丁的安装蒄RedHat使用RPM包实现系统安装的管理,系统没有单独补丁包(Patch)。如果出现新的漏洞,则发布一个新的RPM包,版本号(Version)不变,Release做相应的调整。因此检查RHLinux的补丁安装情况只能列出所有安装的软件,和RH网站上发布的升级软件对照,检查其中的变化。文档收集自网络,仅用于个人学****衿通过访问官方站点下载最新系统补丁,RedHat公司补丁地址如下:螇p/support/errata/文档收集自网络,仅用于个人学****莅薅rpm-qa查看系统当前安装的rpm包节rpm-ivhpackage1安装RPM包蒀rpm-Uvhpackage1升级RPM包膅rpm-Fvhpackage1升级RPM包(如果原先没有安装,则不安装)莂2、帐户、、删除或禁用系统无用的用户袀询问系统管理员,确认其需要使用的帐户袆如果下面的用户及其所在的组经过确认不需要,可以删除。莄lp,sync,shutdown,halt,news,uucp,operator,games,gopher文档收集自网络,仅用于个人学****螂修改一些系统帐号的shell变量,例如uucp,ftp和news等,还有一些仅仅需要FTP功能的帐号,检查并取消/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的shell变量设为/bin/false或者/dev/null等。也可以通过passwdgroupdel来锁定用户、删除组。文档收集自网络,仅用于个人学****艿passwd-luser1锁定user1用户蚆passwd-uuser1解锁user1用户蒅groupdellp删除lp组。、口令策略的设置莆RedHatLinux总体口令策略的设定分两处进行,第一部分是在/etc/,其中有四项相关内容:文档收集自网络,仅用于个人学****芃PASS_MAX_DAYS密码最长时效(天)芃PASS_MIN_DAYS密码最短时效(天)膈PASS_MIN_LEN最短密码长度***PASS_WARN_AGE密码过期前PASS_WARN_AGE天警告用户莄编辑/etc/,设定:莁PASS_MAX_DAYS=90薇PASS_MIN_DAYS=0袇PASS_MIN_LEN=8莅PASS_WARN_AGE=30蒀另外可以在/etc/-auth文件中的cracklib项中定义口令强度:芁difok蚈minlen膃dcredit袂ucredit蚀lcredit莈ocredit芄使用vi编辑/etc/-auth文件,设置cracklib的属性羁#%PAM-#Thisfileisauto-#,仅用于个人学****芅authrequired/lib/security/