51CTO下载-Redhat+Linux加固

三. 服务

3.1 关闭不必要的服务

操作目的 检查方法 关闭不必要的服务（普通服务和xinetd服务），降低风险 使用命令“who -r”查看当前init级别 使用命令“chkconfig --list <服务名>”查看所有服务的状态 加固方法 使用命令“chkconfig --level <服务名> on|off|reset”设置服务在个init级别下开机是否启动 是否实施 备注 新版本的Linux中，xinetd已经将inetd取代 3.1 检查SSH服务

操作目的 检查方法 对SSH服务进行安全检查 使用命令“cat /etc/ssh/sshd_config”查看配置文件 （1）检查是否允许root直接登录 检查“PermitRootLogin ”的值是否为no （2）检查SSH使用的协议版本 检查“Protocol”的值 （3）检查允许密码错误次数（默认6次），超过后断开连接 检查“MaxAuthTries”的值 加固方法 使用命令“vi /etc/ssh/sshd_config”编辑配置文件 （1）不允许root直接登录 设置“PermitRootLogin ”的值为no （2）修改SSH使用的协议版本 设置“Protocol”的版本为2 （3）修改允许密码错误次数（默认6次） 设置“MaxAuthTries”的值为3 是否实施 备注 root用户需要使用普通用户远程登录后su进行系统管理

3.2 检查.rhosts和/etc/hosts.equiv文件

操作目的 检查方法 检查.rhosts和/etc/hosts.equiv文件配置错误将导致非授权的访问 1）使用“find / -name .rhosts -print”查找.rhosts文件，若.rhosts文件中包含远程主机名，则代表允许该主机通过rlogin等方式登录本机；如果包含两个加号，代表任何主机都可以无需用户名口令登录本机 （2）使用“cat /etc/hosts.equiv”查看配置文件，若包含远程主机名，则代表允许该主机远程登录本机 加固方法 使用命令“vi .rhosts”和“vi /etc/hosts.equiv”修改配置文件，正确进行授权 是否实施 备注

3.3 检查TCP Wrapper

操作目的 检查方法 加固方法 是否实施 备注 使用TCP Wrapper对libwrap库支持的程序做访问控制 使用命令“cat /etc/hosts.allow”和“cat /etc/hosts.deny”查看配置 使用命令“vi /etc/hosts.allow”和“vi /etc/hosts.deny”修改配置 3.4 限制Ctrl+Alt+Del命令

操作目的 检查方法 加固方法 防止误使用Ctrl+Alt+Del重启系统 使用命令“cat /etc/inittab|grep ctrlaltdel”查看输入行是否被注释 先使用命令“vi /etc/inittab”编辑配置文件，在行开头添加注释符号“#” #ca::ctrlaltdel:/sbin/shutdown -t3 -r now 是否实施 备注

3.5 查看NFS共享

操作目的 检查方法 加固方法 是否实施 备注 查看NFS共享 使用命令“exportfs”查看NFS输出的共享目录 使用命令“vi /etc/export”编辑配置文件，删除不必要的共享 四. 网络参数

操作目的 检查方法 加固方法 Linux中提供了sysctl命令，可调整网络参数 使用命令“sysctl –a”查看当前网络参数 使用命令“vi /etc/sysctl.conf”修改配置文件，有选择的添加以下内容： net.ipv4.icmp_echo_ignore_broadcasts = 1 # 忽略ICMP广播 net.ipv4.icmp_echo_ignore_all = 1 # 忽略ICMP echo请求 net.ipv4.ip_default_ttl = 128 使用命令“sysctl -p”使更改生效 是否实施 备注

网络参数的修改在必要时再进行 # 修改TTL为128 五. 文件系统

5.1 设置UMASK值

操作目的 检查方法 加固方法

设置默认的UMASK值，增强安全性 使用命令“umask”查看默认的UMASK值是否为027 使用命令“vi /etc/profile”修改配置文件，添加行“UMASK 027”， 即新创建的文件属主读写执行权限，同组用户读和执行权限，其他用户无权限 是否实施 备注 5.2 Bash历史命令

操作目的 检查方法 设置Bash保留历史命令的条数 使用命令“cat /etc/profile|grep HISTSIZE=”和““cat /etc/profile|grep HISTFILESIZE=”查看保留历史命令的条数 加固方法 使用命令“vi /etc/profile”修改配置文件，修改HISTSIZE=5和HISTFILESIZE=5即保留最新执行的5条命令 是否实施 备注

5.3 设置登录超时

操作目的 检查方法 加固方法 设置系统登录后，连接超时时间，增强安全性 使用命令“cat /etc/profile |grep TMOUT”查看TMOUT是否被设置 使用命令“vi /etc/profile”修改配置文件，添加“TMOUT=”行开头的注释，设置为“TMOUT=180”，即超时时间为3分钟 是否实施 备注 六. 日志

6.1 syslogd日志

操作目的

查看所有日志记录 检查方法 使用命令“cat /etc/syslog.conf”查看syslogd的配置 系统日志（默认）/var/log/messages cron日志（默认）/var/log/cron 安全日志（默认）/var/log/secure 加固方法 是否实施 备注

添加相关日志的记录