Linux(RHEL5)系統安全常規優化 (2)

的系統文件
　　使用 +i 屬性鎖定service 、passwd、grub.conf 文件（將不能正常添加系統用戶）
　　#  chattr   +i  /etc/service  /etc/passd  /boot/grub.conf
　　解除/etc/passwd文件的 +i 鎖定屬性
　　#  lsattr   /etc/passwd   //查看文件的屬性狀態
　　#  chattr   -i   /etc/passwd
　　?  應用程序和服務
　　1.       關閉不必要的系統服務
　　2.       禁止普通用戶執行init.d目錄中的腳本
　　#  chmod  -R  o-rwx  /etc/init.d
　　或
　　#  chmod  -R  750   /etc/init.d
　　3.       禁止普通用戶執行控制臺程序
　　/etc/security/console.apps/目錄下每一文件對應一個系統程序，如果不希望普通用戶調用這些控制臺程序，可以將對應的配置文件移除
　　#  cd  /etc/security/console.apps/
　　#  tar  jcpvf  /etc/conhlp.pw.tar.bz2  poweroff   halt   reboot  - - remove
　　4.       去除程序文件中非必需的set-uid 或 set-gid 附加權限
　　查找系統中設置了set-uid或set-gid權限的文件，并結合 –exec 選項顯示這些文件的詳細權限屬性
　　#  find  /  -type  f   perm  +6000   -exec  ls  -lh  { }  \  ;
　　去掉程序文件的suid/sgid位權限
　　#  chmod  a-s  /tmp/back.vim
　　編寫shell腳本，檢查系統中新增加的帶有suid或者sgid位權限的程序文件
　　(1)     在系統處于干凈狀態時，建立合法suid/sgid文件的列表，作為是否有新增可疑suid文件的比較依據
　　#  find  /  -type  f   -prem  +6000   >  /etc/sfilelist
　　#  chmod  600  /etc/sfilelist
　　(2)     建立chksfile腳本文件，與sfilelist比較，輸出新增的帶suid/sgid屬性的文件
　　#  vi  /usr/sbin/chksfile
　　#!/bin/bash
　　OLD_LIST=/etc/sfilelist
　　for  i  in  ` find  /  -type  -prem  +6000 `
　　do
　　grep   -F   “$i”  $OLD_LIST  >  /dev/null
　　[  $?  -ne  0 ]  &&  ls  -lh  $i
　　done
　　#  chmod  700  /usr/bin/chkfile
　　(3)     執行chkfile腳本，檢查是否有新增suid/sgid文件
　　#  cp   /bin/touch  /bin/mytouch   //建立測試用程序文件
　　#  chmod  4755  /bin/mytouch
　　#  chksfile                    //執行程序腳本，輸出檢查結果
　　系統引導和登錄安全優化開關機安全控制
　　1.       調整BIOS引導設置
　　將第一優先引導設備設為當前系統所在硬盤，其他引導設置為Disabled.為BIOS設置管理員密碼，安全級別調整為setup
　　2.       防止用戶通過Ctrl+Alt_Del熱鍵重啟系統
　　#  vi  /etc/inittab
　　# ca : :ctrlaltdel ：/sbin/shutdown  -t3  -r  now //注掉該行
　　#  init  -q  //使配置文件立即生效
　　?  GRUB引導菜單加密
　　在grub.conf文件中設置明文密碼
　　#  vi  /boot/grub/grub.conf
　　password  123456  //僅在需要變更grub引導參數時才需要提供密碼
　　tiltle  Red  Enterprise  Linux  Server  (2.6.18-8.el5)
　　root  ( hd0,0 )
　　password  1234    //進入系統時輸入的密碼
　　在grub.conf文件中設置md5加密的密碼字符串
　　#  vi  mima
　　wang
　　wang
　　#  grub-md5-crypt < mima  >> /boot/grub/grub.conf
　　?  終端登錄控制
　　1.       即時禁止普通用戶登錄
　　#  touch  /etc/nologin   //通過/etc/nologin文件即時禁止普通用戶登錄系統
　　2.       控制服務器開放的tty終端
　　#  vi  /etc/inittab
　　1.       控制允許root用戶登錄的tty終端
　　#  vi  /etc/securetty
　　1.       更改系統登錄提示，隱藏內核版本信息
　　通過修改/etc/issue、/etc/issue.net文件（分別對應本地登錄、網絡登錄）
　　#  vi  /etc/issue
　　Welcome  to  server
　　#  cp  -f  /etc/issue  /etc/issue.net
　　2.       使用pam_access認證控制用戶登錄地點
　　Pam_access認證讀取/etc/security/access.conf配置文件，該文件由權限、用戶、來源，組成，用冒號進行分隔
　　權限  ：加號 +  或 減號 - ，分別表示允許、拒絕
　　用戶  ： 用戶名部分，多個用戶名用空格分開，組使用@組名的形式表示。ALL表示所有用戶
　　來源  ：表示用戶從哪個終端或遠程主機登錄，多個來源地點用空格分開
　　例：禁止除了root以外的用戶從tty1終端登錄系統
　　#  vi  /etc/pam.d/login     //在PAM配置文件login中添加認證支持
　　account   required   pam_access.so
　　#  vi  /etc/security/access.conf
　　-          :   ALL  EXCEPT  root  :  tty1
　　例：禁止root用戶從192.168.1.0/24  、 172.16.0.0/8 網絡中遠程登錄
　　#  vi  /etc/pam.d/sshd    //在PAM配置文件sshd中添加認證支持
　　account    required   pam_access.so
　　#  vi  /etc/security/access.conf
　　-  :  root  :  192.168.1.0/24  172.16.0.0/8

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]