【关键字】:c,C,系统,is,安全,UNIX,系统安全,Security,Check,UNIX,UNIX,Security,Checklist
【来 源】:网络
通用UNIX系统安全检查列表(UNIX Security Checklist)(1)
1. 物理安全
1.1 控制台安全
1.1.1 用有效的钥匙锁住房间
1.1.2 不要有其他的途径进入房间
1.2 数据安全
1.2.1 数据备份在安全的,专用的恢复数据的地方
1.2.2 计算机 在UPS 保护下保证稳定的电源
1.2.3 保护网络电缆不要暴露
1.2.4 把敏感的信息锁在抽屉里
1.2.5 毁坏敏感的打印输出和磁带
1.3 用户习惯安全措施
1.3.1 当离开时请锁住屏幕或注销登陆机器
1.3.2 不要把 密码 或者 密码 提示书写在桌子上
1.3.3 细心使用xauth / xhost命令,防止别人读取自己的屏幕
1.3.4 不要放置欢迎的横幅,只有授权的才允许进入
2. 网络安全
2.1 过滤
2.1.1 在inetd.conf中禁止使用你不需要的 服务
2.1.2 是否已经禁止了”r”系列 服务
2.1.3 是否能用更安全的版本替代(比如ssh2)
2.1.4 路由器要在(TCP)512,513,514等端口进行过滤
2.1.5 只为允许访问的机器创建访问控制列表 /var/adm/inetd.sec
2.1.6 从路由中过滤不必要的 服务 仅有必要的 服务 能通路由器上的过滤规则
2.1.7 采用TCP wrappers 提供更强的访问控制和日志记录功能
2.1.8 如果你的机器需要连接Internet,请架设 防火墙
2.2 防止欺骗
2.2.1 路由器
1. 关闭来源发送
2. 应用过滤器保证从外部网络进来的信息包的源地址没有与内部网络里的IP 地址相匹配
3. 确保只有有资格的主机名存在于NFS, hosts.equiv等系统文件里
4. 尽量不要使用hosts.equiv和.rhosts
5. 如果要使用.rhost和 .netrc 文件,必须把权限设置为600
2.3 网络 服务 安全
2.3.1 /etc/inetd.conf 文件
1. 确保该文件的许可权限设置为600
2. 确保该文件的属主是root
3. 禁止任何不需要的 服务
2.3.2 /etc/services 文件
1. 确保该文件的许可权限设置为644
2. 确保该文件的属主是root
2.3.3 tcp _ wrapper
1. 保护所有/etc/inetd.conf里允许的 服务
2. 考虑保护任何允许的udp 服务 ,如果保护的话必须在/etc/inetd.conf里使用nowait选项
2.3.4 /etc/aliases 文件
1. 在该行的开头用一个“#”号以禁止“decode”别名。为了使改动生效,必须运行/usr/bin/newaliases
2.3.5 /etc/hosts.lpd 文件
1. 确保该文件的第一个字符不是“-”
2. 确保该文件的许可权限设置为600
3. 确保该文件的属主是root
4. 确保在该文件中不出现“!”或“#”字符,该文件没有注释字符
5. 确保已经打上了最新的补丁
2.3.6 sendmail
1. 使用最新版本的sendmail
2. 如果使用操作系统提供的sendmail,确保安装了最新的安全补丁
3. 确保使用的sendmail 版本没有允许wizard 口令
4. 确保如果在/etc/sendmail.cf里有“OW”开头的行,则后面仅跟有一个“*”
5. 把sendmail(8)的最小日志记录级别增加到级别9,这有助于探测对sendmail 漏洞 的利用
2.3.7 fingerd
1. 如无特殊需要,尽量不要使用该 服务
2. 使用最新版本的fingerd 软件
2.3.8 tftp
1. 如无特殊需要,尽量不要使用该 服务
2. 一定在inetd.conf文件里设置目录访问限制
2.3.9 httpd(WWW 服务 )
1. 确保使用最行版本的httpd 服务 器 软件
2. 以一个专门创建的非特权用户(比如 nobody)的身份来运行httpd 服务 程序
3. 不要以root身份来运行httpd 服务 程序
4. 可能的话,在一个chroot(1)环境里运行httpd来限制http客户访问文件系统的其他部分
5. 仔细配置 服务 器程序的选项
6. 用配置选项来给敏感目录以附加的保护
7. 严格限制CGI程序的运行
8. 确保cgi-bin目录里的内容,权限和属主是所期望的
9. 避免把用户输入的内容之间传递给命令解释器,如perl,awk或shells
10. 在传递给任何命令解释器之前过滤调用户输入内容中的潜在危险字符
11. 有潜在危险的字符包括:\n \r (.,/;~!)>|^&< (未完待续)
|