补丁管理
实施目的 | 可以使系统版本为最新并解决安全问题 |
安全风险 | 系统存在的安全漏洞影响到系统安全 |
系统当前状态 | Uname –a rpm –qa cat /proc/version |
实施步骤 | http://www.redhat.com/corp/support/errata/ 请慎重对系统打补丁,补丁安装应当先在测试机上完成。补丁安装可能导致系统或某些服务无法工作正常。 在下载补丁包时,一定要对签名进行核实,防止执行特洛伊木马。 |
回退方案 | patchrm |
判断依据 | 比较补丁修复情况 |
服务进程管理
实施目的 | 禁止系统不需要启动的服务,减少安全隐患。防止黑客获取更多的系统信息。 |
安全风险 | 黑客获取更多的系统信息 |
系统当前状态 | 列举并记录/etc/rc.d/rc[0-9].d 脚本目录下的文件 find /etc/rc?.d/ -name “S*” |
实施步骤 | 1、参考配置操作 进入相应目录,将脚本开头大写 S 改为小写 s 即可。如: # cd /etc/rc.d/rc6.d # mv S45dhcpd s45dhcpd 参考关闭服务 identd lpd linuxconf netfs portmap routed rstatd rwalld rwhod ypbind yppasswdd ypserv sendmail |
回退方案 | 还原/etc/rc.d/rc[0-9].d 下的脚本文件名到加固前的状态。 |
判断依据 | 判断/etc/rc.d/rc[0-9].d 下脚本文件名的状态 |
备注 | 游戏口袋精简系统默认禁止了无用服务,可进行检查再次确认 |
Snmp服务加固
实施目的 | 减少安全隐患避免信息泄露 |
安全风险 | 信息泄露 |
系统当前状态 | 判断有无启动snmp Ps –elf | grep snmp Cat /etc/snmp/snmpd.conf |
实施步骤 | 如不用该服务可关闭,如需使用按以下方式参考配置: 如下方式修改/etc/snmp/snmpd.conf 文件 1) 修改默认的 community string com2sec notConfigUser default public将 public 修改为你才知道的字符串 2) 把下面的#号去掉 #view mib2 included .iso.org.dod.internet.mgmt.mib-2fc 3) 把下面的语句 access notConfigGroup “” any noauth exact systemview none none 改成:access notConfigGroup “” any noauth exact mib2 none none 重启 snmpd 服务 #/etc/rc.d/init.d/snmpd restart |
回退方案 | /etc/snmp/snmpd.conf 回复加固前状态 停止 snmp 服务/etc/rc.d/init.d/snmpd stop |
判断依据 | ps –elf | grep snmp 查看是否有服务 |
隐藏系统信息
实施目的 | 减少系统提示信息,降低安全隐患。 |
安全风险 | 信息泄露 |
系统当前状态 | Cat /etc/rc.d/rc.local Cat /etc/issue |
实施步骤 | 首先编辑“/etc/rc.d/rc.local” 文件,将往issue写信息的命令注释掉。 删除“/etc”目录下的 isue.net 和 issue 文件: # mv /etc/issue /etc/issue.bak # mv /etc/issue.net /etc/issue.net.bak 创建/etc/banner和/etc/motd,写入登录警告信息(可随时更改): ##################################################### Warning: Keep out if you are not a administrator of this host! ##################################################### |
回退方案 | 恢复 /etc/rc.d/rc.local /etc/issue /etc/issue.net |
判断依据 | /etc/issue |
登录超时
实施目的 | 对于具备字符交互界面的设备,应配置定时帐户自动登出。 |
安全风险 | 管理员忘记退出被非法利用 |
系统当前状态 | 查看/etc/profile 文件的配置状态,并记录。 |
实施步骤 | vi /etc/profile 在“HISTFILESIZE=”后面加入下面这行: TMOUT=180 表示 180 秒内无动作会自动注销这个账户 |
回退方案 | 修改/etc/profile 的配置到加固之前的状态。 |
判断依据 | 有无TMOUT=180 |
grub登录安全
实施目的 | 防止IDC机房恶意用户本地登录 |
安全风险 | 本地物理攻击 |
系统当前状态 | Cat /etc/grub.conf |
实施步骤 | 1) 生成grup-md5密钥: #grub-md5-crypt Password: Retype password: $1$hC4J4/$rU1C6qLYU1xpScd4flqYP. 2) 加入到/etc/grub.conf中: #boot=/dev/sda下 password –md5 $1$XqCVI/$u176SPyG9tecd3atuPJbR/ 注:密码可自行设置,生成的md5按格式粘贴到grub.conf中 在/etc/inittab的id:3:initdefault:后面加入一行 ~~:S:wait:/sbin/sulogin |
回退方案 | 还原设置 |
判断依据 | Cat /etc/grub.conf配置 |
开启psacct记账功能
实施目的 | 显示每一个用户的总计连线时间和所有用户总连线时间 |
安全风险 | 系统监控力度不够 |
系统当前状态 | |
实施步骤 | /etc/rc.d/rc3.d/K10psacct start Mv /etc/rc.d/rc3.d/K10psacct /etc/rc.d/rc3.d/S10psacct 使用方法: 1) 显示每一个用户的总计连线时间和所有用户总连线时间: ac -p 2) 查看用户过去执行的命令 lastcomm root 3) 查看特定的命令的审计结果 lastcomm rm |
回退方案 | Stop服务 |
判断依据 | Ls –l /etc/rc.d/rc3.d/ |grep psacct |
Windows故障转移群集最佳实践
评论前必须登录!
注册