久久精品国产亚洲AV成人小说,国产秘精品入口香蕉,亚洲日韩在线播放第7

一、用戶帳號和環境

　　檢查項:

　　1. 清除了operator、lp、shutdown、halt、games、gopher 帳號刪除的用戶組有： lp、uucp、games、dip 其它系統偽帳號均處于鎖定SHELL登錄的狀態

　　2. 驗證是否有賬號存在空口令的情況: awk -F: '($2 == "") { print $1 }' /etc/shadow

　　3. 檢查除了root以外是否還有其它賬號的UID為0:

　　awk -F: '($3 == 0) { print $1 }' /etc/passwd(任何UID為0的賬號在系統上都具有超級用戶權限.)

　　4. 檢查root用戶的$PATH中是否有’.’或者所有用戶/組用戶可寫的目錄(超級用戶的$PATH設置中如果存在這些目錄可能會導致超級用戶誤執行一個特洛伊木馬)

　　5. 用戶的home目錄許可權限設置為700 (用戶home目錄的許可權限限制不嚴可能會導致惡意用戶讀/修改/刪除其它用戶的數據或取得其它用戶的系統權限 )

　　6. 是否有用戶的點文件是所有用戶可讀寫的: for dir in

　　`awk -F: '($3 >= 500) { print $6 }' /etc/passwd` do

　　for file in $dir/.[A-Za-z0-9]* do

　　if [ -f $file ]; then chmod o-w $file fi done done(Unix/linux下通常以”.”開頭的文件是用戶的配置文件,如果存在所有用戶可讀/寫的配置文件可能會使惡意用戶能讀/寫其它用戶的數據或取得其它用戶的系統權限)

　　7. 為用戶設置合適的缺省umask值:

　　cd /etc

　　for file in profile csh.login csh.cshrc bashrc do

　　if [ `grep -c umask $file` -eq 0 ]; then

　　echo "umask 022" >> $file

　　chown root:root $file

　　chmod 444 $file

　　done

　　(為用戶設置缺省的umask值有助于防止用戶建立所有用戶可寫的文件而危及用戶的數據).

　　8. 設備系統口令策略：修改/etc/login.defs文件將PASS_MIN_LEN最小密碼長度設置為12位。

　　10. 限制能夠su為root 的用戶：#vi /etc/pam.d/su 在文件頭部添加下面這樣的一行

　　auth required pam_wheel.so use_uid

　　(這樣，只有wheel組的用戶可能su到root 操作樣例：

　　#usermod -G10 test 將test用戶加入到wheel組)

　　11. 修改別名文件/etc/aliases：#vi /etc/aliases

　　注釋掉不要的 #games: root #ingres: root #system: root #toor: root #uucp: root

　　#manager: root #dumper: root #operator: root #decode: root #root: marc

　　修改后執行/usr/bin/newaliases

　　13. 修改賬戶TMOUT值，設置自動注銷時間 vi /etc/profile 增加TMOUT=600

　　(無操作600秒后自動退出)

　　14. 設置Bash保留歷史命令的條數 #vi /etc/profile 修改HISTSIZE=5

　　(即只保留最新執行的5條命令)

　　16. 防止IP SPOOF：

　　#vi /etc/host.conf 添加：nospoof on

　　(不允許服務器對IP地址進行欺騙)

　　17. 使用日志服務器：

　　#vi /etc/rsyslog.conf 照以下樣式修改

　　*.info;mail.none;authpriv.none;cron.none @192.168.10.199

　　(這里只是作為參考，需要根據實際決定怎么配置參數)

二、系統訪問認證和授權

　　檢查項

　　1. 限制 at/cron被授權的用戶:

　　cd /etc/

　　rm -f cron.deny at.deny

　　(Cron.allow和at.allow文件列出了允許允許crontab和at命令的用戶名單, 在多數系統上通常只有系統管理員)

　　2. Crontab文件限制訪問權限:

　　chown root:root /etc/crontab chmod 400 /etc/crontab

　　chown -R root:root /var/spool/cron chmod -R go-rwx /var/spool/cron chown -R root:root /etc/cron.* chmod -R go-rwx /etc/cron.*

　　(系統的crontab文件應該只能被cron守護進程(它以超級用戶身份運行)來訪問,一個普通用戶可以修改crontab文件會導致他可以以超級用戶身份執行任意程序)

　　3. 建立恰當的警告banner:

　　echo "Authorized uses only. All activity may be

　　monitored and reported." >>/etc/motd

　　chown root:root /etc/motd chmod 644 /etc/motd

　　echo "Authorized uses only. All activity may be

　　 monitored and reported." >> /etc/issue

　　echo "Authorized uses only. All activity may be monitored and reported." >> /etc/issue.net

　　(改變登錄banner可以隱藏操作系統

　　類型和版本號和其它系統信息,這些

　　信息可以會對攻擊者有用.)

　　4. 限制root登錄到系統控制臺:

　　cat < tty5 tty4 tty3 tty2 tty1 securetty>

　　END_FILE

　　chown root:root /etc/securetty

　　chmod 400 /etc/securetty

　　(通常應該以普通用戶身份訪問系統,然后通過其它授權機制(比如su命令和sudo)來獲得更高權限,這樣做至少可以對登錄事件進行跟蹤)

　　5. 設置守護進程掩碼 vi /etc/rc.d/init.d/functions

　　設置為 umask 022

　　(系統缺省的umask 值應該設定為022以避免守護進程創建所有用戶可寫的文件)

三、核心調整

　　檢查項

　　1. 禁止core dump:

　　cat <>/etc/security/limits.conf

　　* soft core 0

　　* hard core 0

　　END_ENTRIES

　　(允許core dump會耗費大量的磁盤空間.)

　　2. chown root:root /etc/sysctl.conf

　　chmod 600 /etc/sysctl.conf

　　(log_martians將進行ip假冒的ip包記錄到/var/log/messages

　　其它核心參數使用centos默認值。)

四、需要關閉的一些服務

　　設置項

　　1. 關閉Mail Server chkconfig

　　postfix off

　　(多數Unix/Linux系統運行Sendmail作為郵件服務器, 而該軟件歷史上出現過較多安全漏洞,如無必要,禁止該服務)

五、SSH安全配置

　　設置項

　　1. 配置空閑登出的超時間隔: ClientAliveInterval 300

　　ClientAliveCountMax 0

　　(Vi /etc/ssh/sshd_config)

　　2. 禁用 .rhosts 文件

　　IgnoreRhosts yes(Vi /etc/ssh/sshd_config)

　　3. 禁用基于主機的認證

　　HostbasedAuthentication no (Vi /etc/ssh/sshd_config)

　　4. 禁止 root 帳號通過 SSH 登錄 PermitRootLogin no

　　(Vi /etc/ssh/sshd_config)

　　5. 用警告的 Banner Banner /etc/issue

　　(Vi /etc/ssh/sshd_config)

　　6. iptables防火墻處理 SSH 端口 # 64906

　　-A INPUT -s 192.168.1.0/24 -m state --state NEW -p tcp --dport 64906 -j

　　-A INPUT -s 202.54.1.5/29 -m state --state NEW -p tcp --dport 64906 –j

　　(這里僅作為參考，需根據實際需要調整參數)

　　7. 修改 SSH 端口和限制 IP 綁定：

　　Port 64906

　　安裝selinux管理命令

　　yum -y install policycoreutils-Python

　　修改 port contexts(關鍵)，需要對context進行修改

　　semanage port -a -t ssh_port_t -p tcp 64906

　　semanage port -l | grep ssh ----查看當前SElinux 允許的ssh端口

　　(Vi /etc/ssh/sshd_config僅作為參考，需根據實際需要調整參數)

　　8. 禁用空密碼：

　　PermitEmptyPasswords no

　　(禁止帳號使用空密碼進行遠程登錄SSH)

　　9. 記錄日志：

　　LogLevel INFO

　　(確保在 sshd_config 中將日志級別 LogLevel 設置為 INFO 或者 DEBUG，可通過 logwatch or logcheck 來閱讀日志。)

　　10. 重啟SSH

　　systemctl restart sshd.service

　　(重啟ssh)

六、封堵openssl的Heartbleed漏洞

　　檢測方法：在服務器上運行以下命令確認openssl版本

　　# openssl version

　　OpenSSL 1.0.1e-fips 11 Feb 2013

　　以上版本的openssl存在Heartbleed bug，需要有針對性的打補丁。升級補?。?/p>

　　#yum -y install openssl 驗證：

　　# openssl version -a

　　OpenSSL 1.0.1e-fips 11 Feb 2013

　　built on: Thu Jun 5 12:49:27 UTC 2014

　　以上built on 的時間是2014.6.5號，說明已經修復了該漏洞。

　　注：如果能夠臨時聯網安裝以上補丁，在操作上會比較簡單一些。如果無法聯網，則有兩種處理辦法：首選從安裝光盤拷貝獨立的rpm安裝文件并更新;另一個辦法是提前下載最新版本的openssl源碼，編譯并安裝。

七、開啟防火墻策略

　　在CentOS7.0中默認使用firewall代替了iptables service。雖然繼續保留了iptables命令，但已經僅是名稱相同而已。除非手動刪除firewall，再安裝iptables，否則不能繼續使用以前的iptables配置方法。以下介紹的是firewall配置方法：

　　#cd /usr/lib/firewalld/services //該目錄中存放的是定義好的網絡服務和端口參數，只用于參考，不能修改。這個目錄中只定義了一部分通用網絡服務。在該目錄中沒有定義的網絡服務，也不必再增加相關xml定義，后續通過管理命令可以直接增加。 #cd /etc/firewalld/services/

　　//從上面目錄中將需要使用的服務的xml文件拷至

這個目錄中，如果端口有變化則可以修改文件中的數值。

八、啟用系統審計服務

　　審計內容包括：系統調用、文件訪問、用戶登錄等。編輯/etc/audit/audit.rules,在文中添加如下內容：

　　-w /var/log/audit/ -k LOG_audit

　　-w /etc/audit/ -p wa -k CFG_audit

　　-w /etc/sysconfig/auditd -p wa -k CFG_auditd.conf

　　-w /etc/libaudit.conf -p wa -k CFG_libaudit.conf

　　-w /etc/audisp/ -p wa -k CFG_audisp

　　-w /etc/cups/ -p wa -k CFG_cups

　　-w /etc/init.d/cups -p wa -k CFG_initd_cups

　　-w /etc/netlabel.rules -p wa -k CFG_netlabel.rules

　　-w /etc/selinux/mls/ -p wa -k CFG_mac_policy

　　-w /usr/share/selinux/mls/ -p wa -k CFG_MAC_policy

　　-w /etc/selinux/semanage.conf -p wa -k CFG_MAC_policy

　　-w /usr/sbin/stunnel -p x

　　-w /etc/security/rbac-self-test.conf -p wa -k CFG_RBAC_self_test

　　-w /etc/aide.conf -p wa -k CFG_aide.conf

　　-w /etc/cron.allow -p wa -k CFG_cron.allow

　　-w /etc/cron.deny -p wa -k CFG_cron.deny

　　-w /etc/cron.d/ -p wa -k CFG_cron.d

　　-w /etc/cron.daily/ -p wa -k CFG_cron.daily

　　-w /etc/cron.hourly/ -p wa -k CFG_cron.hourly

　　-w /etc/cron.monthly/ -p wa -k CFG_cron.monthly

　　-w /etc/cron.weekly/ -p wa -k CFG_cron.weekly

　　-w /etc/crontab -p wa -k CFG_crontab

　　-w /var/spool/cron/root -k CFG_crontab_root

　　-w /etc/group -p wa -k CFG_group

　　-w /etc/passwd -p wa -k CFG_passwd

　　-w /etc/gshadow -k CFG_gshadow

　　-w /etc/shadow -k CFG_shadow

　　-w /etc/security/opasswd -k CFG_opasswd

　　-w /etc/login.defs -p wa -k CFG_login.defs

　　-w /etc/securetty -p wa -k CFG_securetty

　　-w /var/log/faillog -p wa -k LOG_faillog

　　-w /var/log/lastlog -p wa -k LOG_lastlog

　　-w /var/log/tallylog -p wa -k LOG_tallylog

　　-w /etc/hosts -p wa -k CFG_hosts

　　-w /etc/sysconfig/network-scripts/ -p wa -k CFG_network

　　-w /etc/inittab -p wa -k CFG_inittab

　　-w /etc/rc.d/init.d/ -p wa -k CFG_initscripts

　　-w /etc/ld.so.conf -p wa -k CFG_ld.so.conf

　　-w /etc/localtime -p wa -k CFG_localtime

　　-w /etc/sysctl.conf -p wa -k CFG_sysctl.conf

　　-w /etc/modprobe.conf -p wa -k CFG_modprobe.conf

　　-w /etc/pam.d/ -p wa -k CFG_pam

　　-w /etc/security/limits.conf -p wa -k CFG_pam

　　-w /etc/security/pam_env.conf -p wa -k CFG_pam

　　-w /etc/security/namespace.conf -p wa -k CFG_pam

　　-w /etc/security/namespace.init -p wa -k CFG_pam

　　-w /etc/aliases -p wa -k CFG_aliases

　　-w /etc/postfix/ -p wa -k CFG_postfix

　　-w /etc/ssh/sshd_config -k CFG_sshd_config

　　-w /etc/vsftpd.ftpusers -k CFG_vsftpd.ftpusers

　　-a exit,always -F arch=b32 -S sethostname

　　-w /etc/issue -p wa -k CFG_issue

　　-w /etc/issue.net -p wa -k CFG_issue.net

　　重啟audit服務

　　#service auditd restart

九、部署完整性檢查工具軟件

　　AIDE(Advanced Intrusion Detection Environment,高級入侵檢測環境)是個入侵檢測工具，主要用途是檢查文檔的完整性。

　　AIDE能夠構造一個指定文檔的數據庫，它使用aide.conf作為其配置文檔。AIDE數據庫能夠保存文檔的各種屬性，包括：權限(permission)、索引節點序號(inode number)、所屬用戶(user)、所屬用戶組(group)、文檔大小、最后修改時間(mtime)、創建時間(ctime)、最后訪問時間(atime)、增加的大小連同連接數。AIDE還能夠使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每個文檔的校驗碼或散列號。

　　在系統安裝完畢，要連接到網絡上之前，系統管理員應該建立新系統的AIDE數據庫。這第一個AIDE數據庫是系統的一個快照和以后系統升級的準繩。數據庫應該包含這些信息：關鍵的系統二進制可執行程式、動態連接庫、頭文檔連同其他總是保持不變的文檔。這個數據庫不應該保存那些經常變動的文檔信息，例如：日志文檔、郵件、/proc文檔系統、用戶起始目錄連同臨時目錄安裝方法：

　　#yum -y install aide

　　注：如果主機不能聯網安裝AIDE，那么也可以從安裝光盤拷貝至目標主機。

　　檢驗系統文件完整性的要求：

因為AIDE可執行程序的二進制文檔本身可能被修改了或數據庫也被修改了。因此，應該把AIDE的數據庫放到安全的地方，而且進行檢查時要使用確保沒有被修改過的程序，最好是事先為AIDE執行程序生成一份MD5信息。再次使用AIDE可執行程序時，需要先驗證該程序沒有被篡改過。

建立、更新樣本庫：

　　1)執行初始化，建立第一份樣本庫 # aide --init

　　# cd /var/lib/aide/

　　# mv aide.db.new.gz aide.db.gz //替換舊的樣本庫

　　2)更新到樣本庫

　　#aide --update

　　# cd /var/lib/aide/

　　# mv aide.db.new.gz aide.db.gz //替換舊的樣本庫

　　執行aide入侵檢測：

　　1)查看入侵檢測報告

　　#aide --check

　　報告的詳細程度可以通過-V選項來調控，級別為0-255，-V0 最簡略，-V255 最詳細。或

　　#aide --compare

　　這個命令要求在配置文件中已經同時指定好了新、舊兩個庫文件。

　　2)保存入侵檢測報告(將檢查結果保存到其他文件)

　　aide --check --report=file：/tmp/aide-report-20120426.txt

　　3)定期執行入侵檢測，并發送報告

　　# crontab -e

　　45 17 * * * /usr/sbin/aide -C -V4 | /bin/mail -s "AIDE REPORT $(date +%Y%m%d)" abcdefg#163.com

　　或

　　45 23 * * * aide -C >> /var/log/aide/'date +%Y%m%d'_aide.log

　　記錄aide可執行文件的md5 checksum：

　　#md5sum /usr/sbin/aide

十、部署系統監控環境

　　該段落因為需要安裝或更新較多的依賴包，所以目前僅作為參考。為了在將來合適的時候，可以支持通過一臺集中的監控主機全面監控主機系統和網絡設備的運行狀態、網絡流量等重要數據，可以在安全加固主機的系統中預先安裝和預留了系統監控軟件nagIOS和cacti在被監控主機中需要使用的軟件支撐環境。

　　由于以下軟件在安裝過程中需要使用源碼編譯的方式，由此而引發需要安裝GCC和OPENSSL-DEVEL。而為了安裝GCC和OPENSSL-DEVEL而引發的依賴包的安裝和更新大約有20個左右。這就違反了安全加固主機要保持最小可用系統的設計原則，所以該部分監控軟件支撐環境的部署工作不作為默認設置，但仍然通過下文給出了部署參考，以用于系統運行運維過程中需要部署全局性監控系統時使用。

　　1)安裝net-snmp服務 #yum -y install net-snmp

　　#chkconfig snmpd off ---將該服務設置為默認關閉，這里只是為以后部署cacti先預置一個支撐環境

　　如果不能聯網安裝，則可以使用安裝光盤，并安裝以下幾個rpm包： lm_sensors ， net-snmp , net-snmp-libs , net-snmp-utils

　　2)安裝nagios-plugin和nrpe

　　a. 增加用戶&設定密碼 # useradd nagios # passwd nagios

　　b. 安裝Nagios 插件

　　# tar zxvf nagios-plugins-2.0.3.tar.gz # cd nagios-plugins-2.0.3 # ./configure --prefix=/usr/local/nagios # make && make install

　　這一步完成后會在/usr/local/nagios/下生成三個目錄include、libexec和share。修改目錄權限

　　# chown nagios.nagios /usr/local/nagios # chown -R nagios.nagios /usr/local/nagios/libexec

　　c. 安裝NRPE

　　# tar zxvf nrpe-2.15.tar.gz # cd nrpe-2.15 # ./configure

　　# make all