linux系统安全配置要求

.

检查APACHE服务，执行：

#more /etc/rc.config.d/apacheconf 查看该文件中是否存在APACHE_START=0 检查基于RPC的服务，执行： #ls /sbin/rc2.d/.NOS400nfs.core 查看是否存在该文件

1、执行备份：

使用cp命令备份需要修改的文件 2、设置参数：

执行下列命令，禁用SNAplus2服务

#ch_rc -a -p START_SNAPLUS=0 -p START_SNANODE=0 -p START_SNAINETD=0 /etc/rc.config.d/snaplus2 执行下列命令，禁用多播路由服务

#ch_rc -a -p MROUTED=0 -p RWHOD=0 -p DDFA=0 -p START_RBOOTD=0 /etc/rc.config.d/netdaemons

执行下列命令，禁用DFS分布式文件系统服务

操作步骤

#ch_rc -a -p DCE_KRPC=0 -p DFS_CORE=0 -p DFS_CLIENT=0 -p DFS_SERVER=0 -p DFS_EPISODE=0 -p EPIINIT=0 -p DFSEXPORT=0 -p BOSSERVER=0 -p DFSBIND=0 -p FXD=0 -p MEMCACHE=0 -p DFSGWD=0 -p DISKCACHEFORDFS=0 /etc/rc.config.d/dfs

执行下列命令，禁用逆地址解析服务

#ch_rc -a -p RARPD=0 -p RDPD=0 /etc/rc.config.d/netconf 执行下列命令，禁用响应PTY（伪终端）请求守护进程

#ch_rc -a -p PTYDAEMON_START=0 /etc/rc.config.d/ptydaemon 执行下列命令，禁用响应VT（通过LAN登录其他系统）请求守护进程 #ch_rc -a -p VTDAEMON_START=0 /etc/rc.config.d/vt 执行下列命令，禁用域名守护进程

.

.

#ch_rc -a -p NAMED=0 /etc/rc.config.d/namesvrs 执行下列命令，禁用SNMP代理进程

#ch_rc -a -p PEER_SNMPD_START=0 /etc/rc.config.d/peer.snmpd 执行下列命令，禁用授权管理守护进程

#ch_rc -a -p START_I4LMD=0 /etc/rc.config.d/i4lmd 执行下列命令，禁用X字体服务

#ch_rc -a -p RUN_X_FONT_SERVER=0 /etc/rc.config.d/xfs 执行下列命令，禁用语音服务

#ch_rc -a -p AUDIO_SERVER=0 /etc/rc.config.d/audio

执行下列命令，禁用SLSD（Single-Logical-Screen-Daemon）服务 #ch_rc -a -p SLSD_DAEMON=0 /etc/rc.config.d/slsd 执行下列命令，禁用SAMBA服务

#ch_rc -a -p RUN_SAMBA=0 /etc/rc.config.d/samba 执行下列命令，禁用CIFS客户端服务

#ch_rc -a -p RUN_CIFSCLIENT=0 /etc/rc.config.d/cifsclient 执行下列命令，禁用NFS服务

#ch_rc -a -p NFS_SERVER=0 -p NFS_CLIENT=0 /etc/rc.config.d/nfsconf 执行下列命令，禁用Netscape FastTrack Server服务 #ch_rc -a -p NS_FTRACK=0 /etc/rc.config.d/ns-ftrack 执行下列命令，禁用APACHE服务

#ch_rc -a -p APACHE_START=0 /etc/rc.config.d/apacheconf 执行下列命令，禁用基于RPC的服务

#mv -f /sbin/rc2.d/S400nfs.core /sbin/rc2.d/.NOS400nfs.core

回退操作 使用cp命令恢复被修改的文件

.

.

风险说明 禁用服务会影响某些应用运行

4.5. 禁用不必要的inetd服务

配置项名称 inetd中基本网络服务配置 执行： 检查方法 #more /etc/inetd.conf 检查基本的网络服务的开启或禁止情况 1、执行备份： #cp –p /etc/inetd.conf /etc/inetd.conf_bak 2、禁止非必要服务： 操作步骤 #vi /etc/inetd.conf 在非必要服务前面加#注释 3、重新启动inetd： #/sbin/init.d/inetd {stop|start} 执行： 回退操作 #cp /etc/inetd.conf_bak /etc/inetd.conf #/sbin/init.d/inetd {stop|start} 风险说明 关闭某些网络服务可能导致应用出现问题，重启inetd服务可能导致业务中断 .

.

5. IP协议安全配置要求

5.1. 关闭IP转发

配置项名称 关闭IP转发 执行： 检查方法 #ndd -get /dev/ip ip_forwarding 查看是否关闭IP转发，返回值应为0 1、执行备份 记录需要修改的可调参数值 #cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 2、执行下列命令，设置参数 使参数在当前系统状态下临时生效： #ndd -set /dev/ip ip_forwarding 0 建立启动项，使参数重启后永久生效： 操作步骤 #cd /etc/rc.config.d #cat <> nddconf # Don't ip forwarding TRANSPORT_NAME[0]=ip NDD_NAME[0]= ip_forwarding NDD_VALUE[0]=0 EOF 回退操作 1、使用ndd -set恢复修改前的参数 .

.

2、执行： #cp -p /etc/rc.config.d/nddconf_bak /etc/rc.config.d/nddconf 风险说明 可能导致路由错误，无法通信。 5.2. 关闭转发源路由包

配置项名称 关闭转发源路由包 执行： 检查方法 #ndd -get /dev/ip ip_forward_src_routed 查看是否关闭转发源路由包，返回值应为0 1、执行备份 记录需要修改的可调参数值 #cp -p /etc/rc.config.d/nddconf /etc/rc.config.d/nddconf_bak 2、执行下列命令，设置参数 使参数在当前系统状态下临时生效： #ndd -set /dev/ip ip_forward_src_routed 0 建立启动项，使参数重启后永久生效： 操作步骤 #cd /etc/rc.config.d #cat <> nddconf # Drop source-routed packets TRANSPORT_NAME[1]=ip NDD_NAME[1]=ip_forward_src_routed NDD_VALUE[1]=0 EOF .