安全设置文档 Red Hat Linux[网络技术]

1,最小化安全系统,删除不必要的软件,关闭不必要的服务.
# ntsysv
以下仅列出需求启动的服务,未列出的服务一概举荐关闭,必要运行的服务再一一翻开.
atd
crond
irqbalance
microcode_ctl
network
sshd
syslog

2,删除finger程序,具体办法以下
#rpm –e finger<--IWMS_AD_BEGIN--> 
<--IWMS_AD_END-->

3,BOIS安全设置

4,帐号安全设置
改正/etc/login.def文件
PASS_MAX_DAYS   120 ?设置密码过期日期
PASS_MIN_DAYS   0   ?设置密码最少更改日期
PASS_MIN_LEN    10    ?设置密码最小长度
PASS_WARN_AGE   7  ?设置过期提早告诫天数
确保/etc/shadow为root只读
确保/etc/passwd为root读写

按期用密码工具检测用户密码强度

5, /etc/exports
假如通过NFS把文件同享出来,那么一定要配置”/etc/exports”文件,使得拜候限制尽大概的严峻.这就是说,不要利用通配符,不答应对根目录有写权限,并且尽大概的只给读权限.在/etc/exports文件加入:
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
倡议最好不要利用NFS.

6,inetd.conf或xinetd.conf
假如是inetd.conf倡议注释掉全部的r开首的程序,exec等
7,TCP_Wrappers
在/etc/hosts.allow中加入答应的服务,在/etc/hosts.deny里加入这么一行ALL:ALL

8,/etc/aliases文件
Aliases文件假如管理错误或管理粗心就会造成安全隐患.把定义”decode”这个体名的行从aliases文件中删除.
编辑aliases,删除或注释下面这些行:
#games: root
#ingres: root
#system: root
#toor: root
#uucp: root
#manager: root
#dumper: root
#operator: root
#decode: root
运行/usr/bin/nesaliases重新加载.

9,避免sendmail被没有受权的用户滥用
编辑sendmail.cf
把PrivacyOptions=authwarnings
改成PrivacyOptions=authwarnings,noexpn,novrfy

10,不呼应ping
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

11,使TCP SYN Cookie保护见效
Echo 1 > /proc/sys/net/ipv4/tcp_syncookies

12,删除不必要的用户和组用户
删除的用户,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等
删除的组,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等
可以设置不可更改位
chattr +i /etc/passwd
chattr +i /etc/shadow<--IWMS_AD_BEGIN--> 
<--IWMS_AD_END-->
chattr +i /etc/group
chattr +i /etc/gshadow

13,避免任何人都可以用su号令成为root
编辑su文件(vi /etc/pam.d/su),加入以下两行
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
把能su为root的用户加入wheel组
usermod  -G10 username

14,使Control+Alt+Delete关机键无效
编辑inittab文件,注释掉
Ca:ctrlaltdel:/sbin/shutdown –t3 –r now
运行/sbin/init q 使设置见效

15,成立全部重要的日记文件的硬拷贝
假如服务器对比重要,可以考虑把ssh,mail,指导信息等打印出来.在/etc/syslog.conf文件中加入一行.:
Authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0
履行/etc/rc.d/init.d/syslog restart
大概把日记发送到别的服务器保存
如
authpriv.*                 /var/log/secure
要把它发送到192.168.0.2,便可以这样改正
authpriv.* @192.168.0.2                /var/log/secure

16,改变/etc/rc.d/init.d目录下的脚本文件的拜候答应
chmod –R 700 /etc/rc.d/init.d/*
注意:慎重改正此安全设置

17,/etc/rc.d/rc.local
把此文件中无关的信息全部注释,不让任何人看到任何有关主机的信息.
删除/etc下的issue和issue.net

18,带S位的程序
可以排除s位的程序包含但不限于:
?        历来不用的程序;
?        不但愿非root用户运行的程序;
?        无意用用,但是不介意先用su号令变成root后再运行.

[1] [2]  下一页