【标题】：通用UNIX系统安全检查列表(UNIX Security Checklist)（3）
【关键字】：c,C,系统,is,安全,UNIX,系统安全,Security,Check,UNIX,UNIX,Security,Checklist
【来源】：网络

通用UNIX系统安全检查列表(UNIX Security Checklist)（3）

4.5 root用户运行的文件

4.5.1 严格保证root运行的任何东西的属主都是root

4.5.2 为root账号检查下列文件的内容：
1. ~/.login, ~/.profile以及类似的登录初始化文件
2. ~/.exrc和类似的程序初始化文件
3. ~/.logout以及类似的登录session清理文件
4. crontab 和 at 条目
5. 在NFS分区上的文件
6. /etc/rc*和类似的系统启动和终止文件

4.6 文件权限

4.5.1 确保/etc/utmp的权限设置为644
4.5.2 确保/etc/state的权限设置为644
4.5.3 确保/etc/syslog.pid的权限设置为644
4.5.4 确保/etc/sm 和 /etc/sm.bak的权限设置为2755
4.5.5 考虑对用户不需要访问的文件取消读权限
4.5.6 确保操作系统核心（比如/vmunix）的属主为root，组id为0，权限为644
4.5.7 确保临时文件目录（比如/tmp）设置sticky-bit
4.5.8 取消不必要的SUID和SGID文件
4.5.9 确保umask值设置为027或077
4.5.10 确保/dev下都是特殊文件
4.5.11 确保在/dev之外没有不期待的特殊文件
4.5.12 确保启动和关闭系统脚本的许可权限不是666
4.5.13 最小的可写文件系统,如目录,文件等

5. 安全测试

5.1 确保已经安装了操作系统提供商发布的最新补丁
5.2 订阅安全邮件列表或者新闻组
5.3 如果你不使用 NIS或者NIS+, 架构你的系统为一个可信赖的HP-UX系统来确保系统安全
5.4 经常用网络扫描工具来测试网络安全如SATAN
5.5 经常使用工具检测各种系统问题如COPS
5.6 在root用户受到威胁之后应使用一些入侵检测工具如TIGER
5.7 定时使用密码破解工具确保密码不容易被破解如CRACK
5.8 使用Tripwire 加密文件
5.9 经常查看日志文件, 如 btmp, wtmp, syslog, sulog 等
5.10 把任何可疑的信息自动发送给系统管理员

附录 A：

系统检查可能会用到的命令

A.1 重起 inetd
# /bin/ps -aux | /bin/grep inetd | /bin/grep -v grep
# /bin/kill -HUP

A.2 列出已注册的rpc 服务
# /usr/bin/rpcinfo –p

A.3 重建alias(别名)映射
# /usr/bin/newaliases

A.4 测试是否sendmail wizard password被允许
% telnet hostname 25
wiz
debug
kill
quit
%
应该看到响应"5nn error return"，否则的化应该升级sendmail.

A.5 把sendmail日志级别设置为9
在sendmail配置文件里的普通信息配置部分：
O LogLevel=9

A.6 为mail消息设置syslog日志级别
/etc/syslog:
mail.info /dev/console
mail.info /var/adm/messages
# kill –HUP

A.7 测试ftpd是否支持SITE EXEC
普通用户：
% telnet localhost 21
USER username
PASS password
SITE EXEC
匿名用户：
% telnet localhost 21
USER ftp
PASS test@test.com
SITE EXEC
如果不支持的话有响应信息"5nn error return"

A.8 查找 .exerc 文件
# /bin/find / -name '.exrc' -exec /bin/cat {} \; -print

A.9 查找同组或所有用户可写文件和目录
# /bin/find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \;
# /bin/find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \;

A.10 查找代SUID位和SGID位的文件
# /bin/find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \;

A.11 查找 /dev 下的普通文件
# /bin/find /dev -type f -exec ls -l {} \;

A.12 查找块或字符特殊文件
# /bin/find / \( -type b -o -type c \) -print | grep -v '^/dev/' （全文完）

使用ipsec阻止对Tcp135端口的访问：【上一篇】
通用UNIX系统安全检查列表(UNIX Security Checklist)（2）：【下一篇】

【相关文章】

使用ipsec阻止对Tcp135端口的访问