【文章內(nèi)容簡(jiǎn)介】 cure* spooler* squid/*/bin/chmod gw * cron* dmesg d/* ksyms* \maillog* messages* pgsql rpmpkgs* samba/* \ secure* spooler*/bin/chmod grx * cron* maillog* messages* pgsql \secure* spooler*/bin/chmod ow gdm/ d/ news/ samba/ squid/ vbox//bin/chmod orx d/ samba/ squid//bin/chmod gw gdm/ d/ news/ samba/ squid/ vbox//bin/chmod grx d/ samba//bin/chown R root:root ./bin/chgrp utmp wtmp/bin/chown R news:news news/bin/chown postgres:postgres pgsql/bin/chown R squid:squid squid文件/目錄權(quán)限/etc/fstab中適當(dāng)分區(qū)增加“nodev”選項(xiàng)說(shuō)明：在我們已知不包含設(shè)備的分區(qū)增添nodev參數(shù)，防止用戶掛接分區(qū)中未授權(quán)設(shè)備。此項(xiàng)加固要比較慎重。操作：編輯/etc/fstab文件在非/的ext2和ext3分區(qū)后增添nodev參數(shù)/bin/chown root:root /etc/fstab/bin/chmod 0644 /etc/fstab/etc/fstab中移動(dòng)設(shè)備增加“nosuid”“nodev”選項(xiàng)說(shuō)明：可移動(dòng)的媒體可能導(dǎo)致惡意的程序進(jìn)入系統(tǒng)。可以將這些文件系統(tǒng)設(shè)置nosuid選項(xiàng)，此選項(xiàng)可以防止用戶使用CDROM或軟盤(pán)將設(shè)置了SUID的程序帶到系統(tǒng)里。參照上節(jié)，這些文件系統(tǒng)也應(yīng)當(dāng)設(shè)置nodev選項(xiàng)。操作：編輯/etc/fstab文件在floppy和cdrom分區(qū)后增添nosuid,nodev參數(shù)/bin/chown root:root /etc/fstab/bin/chmod 0644 /etc/fstab禁止用戶掛接可移動(dòng)文件系統(tǒng)說(shuō)明：PAM模塊中的pam console參數(shù)給控制臺(tái)的用戶臨時(shí)的額外特權(quán)。其配置位于/etc/security/。默認(rèn)設(shè)置允許控制臺(tái)用戶控制可以與其他主機(jī)共享的軟盤(pán)和CDROM設(shè)備。這些可移動(dòng)媒體存在著一定的安全風(fēng)險(xiǎn)。以下禁止這些設(shè)備的額外特權(quán)。操作：編輯/etc/security/修改其中的console行，刪除以下設(shè)備之外的行/sound|fb|kbd|joystick|v4l|mainboard|gpm|scanner/bin/chown root:root /bin/chmod 0600 檢查passwd，shadow和group文件權(quán)限說(shuō)明：檢查以下文件的默認(rèn)權(quán)限。操作：cd /etc/bin/chown root:root passwd shadow group/bin/chmod 644 passwd group/bin/chmod 400 shadow全局可寫(xiě)目錄應(yīng)設(shè)置粘滯位說(shuō)明：當(dāng)一個(gè)目錄設(shè)置了粘滯位之后，只有文件的屬主可以刪除此目錄中的文件。設(shè)置粘滯位可以防止用戶覆蓋其他用戶的文件。如/tmp目錄。操作：find / xdev type d perm 0002 a ! perm 1000 print找出未授權(quán)的全局可寫(xiě)目錄說(shuō)明：全局可寫(xiě)文件可以被任意用戶修改。全局可寫(xiě)文件可能造成一些腳本或程序被惡意修改后造成更大的危害，一般應(yīng)拒絕其他組的用戶的寫(xiě)權(quán)限。操作：find / perm 0002 type f xdev printchmod ow filename找出未授權(quán)的SUID/SGID文件說(shuō)明：管理員應(yīng)當(dāng)檢查沒(méi)有其他非授權(quán)的SUID/SGID在系統(tǒng)內(nèi)。操作：find / perm 04000 o perm 02000 type f xdev print找出異常和隱藏的文件說(shuō)明：入侵者容易將惡意文件放在這目錄中或命名這樣的文件名。對(duì)于檢查出來(lái)的數(shù)據(jù)需要核對(duì)與否系統(tǒng)自身的文件。操作：find / name .. exec ls ldb {} \。find / name .* exec ls ldb {} \。系統(tǒng)訪問(wèn)，授權(quán)和認(rèn)證說(shuō)明：R系列服務(wù)（rlogin，rsh，rcp），它使用基于網(wǎng)絡(luò)地址或主機(jī)名的遠(yuǎn)端機(jī)算計(jì)弱認(rèn)證（很容易被偽造）。如果必須使用R系列服務(wù)，“+”，并且同時(shí)指定對(duì)方系統(tǒng)和用戶名。如果有防火墻，則應(yīng)該在過(guò)濾外部網(wǎng)段至內(nèi)部的全部R系列服務(wù)訪問(wèn)。（600）。操作：for file in /etc/* 。 dogrep v rhosts_auth $file ${file}.new/bin/mv ${file}.new $file/bin/chown root:root $file/bin/chmod 644 $filedone創(chuàng)建危險(xiǎn)文件的鏈接說(shuō)明：防止創(chuàng)建危險(xiǎn)的/root/.rhosts，/root/.shosts，/etc/。操作：/bin/rm /root/.rhostsln s /dev/null /root/.rhosts/bin/rm /root/.shostsln s /dev/null /root/.shosts/bin/rm /etc/ln s /dev/null /etc//bin/rm /etc/ln s /dev/null /etc/創(chuàng)建ftpuser文件說(shuō)明：216。 /etc/ftpusers和/etc/。通常情況下，應(yīng)當(dāng)不允許一些系統(tǒng)用戶訪問(wèn)FTP，并且任何時(shí)候都不應(yīng)當(dāng)使用root用戶訪問(wèn)FTP。216。 /etc/。操作：for name in `cut d: f1 /etc/passwd`doif [ `id u $name` lt 500 ]thenecho $name /etc/ftpusersfidone/bin/chown root:root /etc/ftpusers/bin/chmod 600 /etc/ftpusersif [ e /etc/ ] || \[ e /etc/vsftpd/ ]。 then/bin/rm f /etc//bin/cp /etc/ftpusers /etc/fi關(guān)閉XWindows的開(kāi)放端口說(shuō)明：X服務(wù)器在6000/tcp監(jiān)聽(tīng)遠(yuǎn)端客戶端的連接。XWindows使用相對(duì)不安全的認(rèn)證方式，取得X認(rèn)證的用戶很容易就可以控制整臺(tái)服務(wù)器。刪除選項(xiàng)中的“nolisten tcp”可以使X服務(wù)器不再監(jiān)聽(tīng)6000/tcp端口。操作：if [ e /etc/X11/xdm/Xservers ] 。 thencd /etc/X11/xdmawk 39。($1 !~ /^/ amp。amp。 $3 == /usr/X11R6/bin/X) \{ $3 = $3 nolisten tcp }。{ print }39。 Xservers /bin/mv Xservers/bin/chown root:root Xservers/bin/chmod 444 Xserversfiif [ e /etc/X11/gdm/ ] 。 thencd /etc/X11/gdmawk F= 39。($2 ~ /\/X$/) \{ printf(%s nolisten tcp\n, $0)。 next }。{ print }39。 /bin/mv /bin/chown root:root /bin/chmod 644 fiif [ d /etc/X11/xinit ] 。 thencd /etc/X11/xinitif [ e xserverrc ] 。 thenawk 39。/X/ amp。amp。 !/^/ \{ print $0 :0 nolisten tcp \$@。 next }。 \{ print }39。