linux系统安全配置要求

.

#telnet stream tcp nowait root /usr/lbin/telnetd telnetd 3、重启服务# inetd -c 4、安装ssh软件包，通过#/opt/ssh/sbin/sshd start来启动SSH。 执行： #cp –p /etc/inetd.conf_bak /etc/inetd.conf 启动telnet 回退操作 #/usr/lbin/telnetd start 停止SSH #/opt/ssh/sbin/sshd stop 风险说明 影响维护人员操作习惯，需要重启服务 2.2. 限制系统帐户FTP登录

配置项名称 限制root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm等系统帐户FTP登录 执行： 检查方法 #cat /etc/ftpd/ftpusers 查看具体的禁止FTP登陆系统的用户名单 1、执行备份： #cp -p /etc/ftpd/ftpusers /etc/ftpd/ftpusers_bak 2、禁止用户FTP登录系统： 操作步骤 #vi /etc/ftpd/ftpusers 每一个帐户一行，添加以下帐户禁止FTP登录 root、daemon、bin、sys、adm、lp、uucp、nuucp、nobody、hpdb、useradm .

.

执行： 回退操作 #cp /etc/ftpd/ftpusers_bak /etc/ftpd/ftpusers 风险说明 禁止某些帐户登录FTP可能导致某些应用无法正常运行 2.3. 配置允许访问inetd服务的IP范围或主机名

配置项名称 配置允许访问inetd服务的IP范围或主机名 执行： 检查方法 #cat /var/adm/inetd.sec 查看有无类似login deny 192.54.24.5 cory.berkeley.edu testlan配置 1、执行备份： #cp -p /var/adm/inetd.sec /var/adm/inetd.sec_bak 2、添加允许访问inetd服务的IP范围或主机名： 操作步骤 #vi /var/adm/inetd.sec 按照如下格式添加IP范围或主机名 service name { allow | deny }{ hostaddrs | hostnames |netaddrs | netnames } 执行： 回退操作 #cp /var/adm/inetd.sec_bak /var/adm/inetd.sec 风险说明 需确认IP信任范围，设置不当会导致网络服务通信异常 2.4. 禁止除root外帐户使用at/cron

配置项名称 禁止除root外帐户使用at/cron .

.

执行：

# cd /var/adm/cron #cat cron.allow #cat at.allow

检查方法

查看是否存在root； 执行： #cat cron.deny #cat at.deny

检查是否存在cron.deny和at.deny文件，若存在，应删除。

1、执行备份 # cd /var/adm/cron

#cp -p cron.deny cron.deny_bak #cp -p at.deny at.deny_bak #cp -p cron.allow cron.allow_bak #cp -p at.allow at.allow _bak

操作步骤

2、添加root到cron.allow和at.allow，并删除cron.deny和at.deny。 #cd /var/adm/cron #rm -f cron.deny at.deny #echo root >cron.allow #echo root >at.allow

#chown root:sys cron.allow at.allow #chmod 400 cron.allow at.allow

# cd /var/adm/cron

回退操作

#cp -p cron.deny_bak cron.deny

.

.

#cp -p at.deny_bak at.deny #cp -p cron.allow_bak cron.allow #cp -p at.allow_bak at.allow 风险说明 除root外帐户不能使用at/cron，可能影响某些应用。 2.5. 设定连续认证失败次数超过6次（不含6次）锁定该账号

配置项名称 配置当用户连续认证失败次数超过6次（不含6次），锁定该用户使用的账号。 执行： 检查方法 #cat /etc/default/security 检查是否存在AUTH_MAXTRIES=6 1、执行备份 #cp -p /etc/default/security /etc/default/security_bak 操作步骤 2、执行下列命令，设置最大登录认证重试次数锁定帐户为6次 echo AUTH_MAXTRIES=6 >> /etc/default/security 回退操作 #cp -p /etc/default/security_bak /etc/default/security 风险说明 root账号也在锁定的限制范围内，一旦root被锁定，就需要光盘引导，因此该配置要慎用。 3. 文件系统安全配置要求

3.1. 重要目录和文件的权限设置

配置项名称 重要目录和文件的权限设置 .

.

执行以下命令检查目录和文件的权限设置情况： #ls –l /etc/ 检查方法 #ls –l /tmp/ #ls –l /etc/default/ #ls -l /etc/rc.config.d/ 1、执行备份： 使用cp命令备份需要修改权限的文件或目录 操作步骤 2、权限修改： 使用chmod命令修改文件或目录权限 使用cp命令恢复被修改权限的文件或目录 回退操作 或使用chmod命令恢复权限 风险说明 修改某些重要的配置文件的权限可能导致系统功能或应用异常 3.2. 检查没有所有者的文件或目录

配置项名称 检查没有所有者的文件或目录 执行： 检查方法 #find / \\( -nouser -o -nogroup \\) -exec ls -al {} \\; 咨询管理员找到的文件或目录是否应用所需 1、执行备份： 使用cp命令备份没有所有者的文件或目录 操作步骤 2、使用chmod命令添加属主或删除没有所有者的文件或目录： #rm –rf filename .