Linux 安全加固三-Mozer-ChinaUnix博客

Mozer--沙落满地

首页　| 　博文目录　| 　关于我

mozer

博客访问： 1456243
博文数量： 297
博客积分： 10010
博客等级：上将
技术积分： 3082
用户组：普通用户
注册时间： 2007-02-07 11:36

文章分类

全部博文（297）

Virtual（1）

Vmware（1）
DATABASE（1）

ORACLE（1）
Job Course（1）
Windows（1）
Programming（16）

C++（1）

Python（7）

TCL（5）

Perl socket（1）

Perl（1）

securty（1）
Essay（2）
HardWare（2）

HardDisk（0）

Audio（0）

VGA（1）

CPU（1）
Linux（267）

JBoss（1）

LDAP（0）

SVN（1）

FTP（2）

bind（1）

Linux-HA（7）

yum（2）

CVS（5）

LVS（6）

Server（0）

Snort（1）

SecurityTools（0）

nmap（1）

awk（0）

文本处理（1）

xml（1）

经验总结（1）

protection（1）

pretend（3）

Attack（5）

Iptables（36）

SElinux（2）

OpenVPN（0）

Sercurity（0）

Mysql（0）

Apache（1）

php+mysql（5）

Unite-Study（0）

SSH（3）

Optimization（1）

sed（0）

vim（1）

FS（0）

File SYStem（0）

individuation（2）

RPMs（2）

小技巧（3）

ftp（2）

例子（5）

linux 审计（3）

合格Linux 管理员（10）

Shell 实战（0）

Expect（3）

study note（3）

experience（1）

tools（8）

example（1）

基本概念（8）

shell编程（18）

命令详解（37）

Tools（3）

skill（3）

System Integrati（6）

LDAP应用及实例（1）

EthNet App（0）

SecurExam（1）

Study Home（8）

kernel（2）

RAID（1）

Shell 片段（4）

Job（2）

Regular Exdivssi（5）

Operations（3）

Basic（0）

Skill（26）

LVM（2）

Squid（4）

Mail（1）
未分配的博文（6）

文章存档

2011年（1）

2009年（45）

2008年（67）

2007年（184）

我的朋友

相关博文

Linux 安全加固三

分类： LINUX

2007-07-26 15:19:39

账号与环境变量

编号	项目	注释
１	清除系统帐号 #!/bin/sh for user in uucp operator do userdel $user done for user in bin daemon adm lp shutdown halt mail dnscache dnslog ftp games gdm gopher halt htdig ident mail mailnull named news nobody nscd postfix postgres netdump qmaild qmaill qmailp qmailq qmailr qmails rpc rpcuser squid sympa sync xfs sshd mysql pcap smmsp pegasus do usermod -L -s /dev/null $user done
２	检查shadow中空口令帐号 awk -F: '($2 == "") { print $1 }' /etc/shadow
３	检查系统内具有root权限的帐号 awk -F: '($3 == 0) { print $1 }' /etc/passwd
４	用户目录/home 许可权限是否为755或更严格的限制 #!/bin/sh for dir in `ls` do chmod -R 755 /home/$dir done
５	为用户设置合适的缺省umask值: #!/bin/sh cd /etc for file in profile csh.login csh.cshrc bashrc do if [ `grep -c umask $file` -eq 0 ]; then echo "umask 022" >> $file fi chown root:root $file chmod 444 $file done

其他

编号	项目	注释
1	禁止普通用户mount文件系统 cd /etc/security egrep -v '(floppy\|cdrom)' console.perms \ > console.perms.new mv console.perms.new console.perms grep -v supermount /etc/fstab > /etc/fstab.new mv /etc/fstab.new /etc/fstab chown root:root console.perms /etc/fstab chmod 0600 console.perms chmod 0644 /etc/fstab
2	对passwd, shadow, 和group文件设置正确的许可权限
3	查找未认证的SUID/SGID可程序: for part in \ `awk '($3 == "ext2" \|\| $3 == “ext3”) \ { print $2 }' /etc/fstab` do find $part $ -perm -04000 -o -perm -02000 $ \ -type f -xdev -print done
4	passwd shadow group gshadow 加不可更改属性 chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/pgshadow
5	资源限制对你的系统上所有的用户设置资源限制可以防止DoS类型攻击（denial of service attacks）如最大进程数，内存数量等。例如，对所有用户的限制象下面这样：编辑/etc/security/limits.conf加 * hard core 0 * hard rss 5000 * hard nproc 20 你也必须编辑/etc/pam.d/login文件加/检查这一行的存在 session required /lib/security/pam_limits.so 上面的命令禁止core files“core 0”，限制进程数为“nproc 50“，且限制内存使用为5M“rss 5000”。
6	禁止 Control-Alt-Delete 重启动机器命令 vi /etc/inittab ca::ctrlaltdel:/sbin/shutdown -t3 -r now 改成 #ca::ctrlaltdel:/sbin/shutdown -t3 -r now init q 重新挂起
7	重新设置/etc/rc.d/init.d/目录下所有文件的许可权限 chmod -R 700 /etc/rc.d/init.d/* 仅仅root可以读，写，执行上述所有script file.
8	去掉issue版本说明 echo “echo “”> /etc/issue”>> /etc/rc.d/rc.local	暴露过的系统信息
9	防止单用户登陆 vi /etc/inittab 插入~~:S:wait:/sbin/sulogin	接触到了硬件其实没安全可言

阅读(1731) | 评论(0) | 转发(0) |

上一篇：Linux 安全加固二

下一篇：Linux实站工程师视频笔记一

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6

账号与环境变量

其他