【文章內(nèi)容簡介】 cure* spooler* squid/*/bin/chmod gw * cron* dmesg d/* ksyms* \maillog* messages* pgsql rpmpkgs* samba/* \ secure* spooler*/bin/chmod grx * cron* maillog* messages* pgsql \secure* spooler*/bin/chmod ow gdm/ d/ news/ samba/ squid/ vbox//bin/chmod orx d/ samba/ squid//bin/chmod gw gdm/ d/ news/ samba/ squid/ vbox//bin/chmod grx d/ samba//bin/chown R root:root ./bin/chgrp utmp wtmp/bin/chown R news:news news/bin/chown postgres:postgres pgsql/bin/chown R squid:squid squid文件/目錄權(quán)限/etc/fstab中適當分區(qū)增加“nodev”選項說明：在我們已知不包含設備的分區(qū)增添nodev參數(shù)，防止用戶掛接分區(qū)中未授權(quán)設備。此項加固要比較慎重。操作：編輯/etc/fstab文件在非/的ext2和ext3分區(qū)后增添nodev參數(shù)/bin/chown root:root /etc/fstab/bin/chmod 0644 /etc/fstab/etc/fstab中移動設備增加“nosuid”“nodev”選項說明：可移動的媒體可能導致惡意的程序進入系統(tǒng)?？梢詫⑦@些文件系統(tǒng)設置nosuid選項，此選項可以防止用戶使用CDROM或軟盤將設置了SUID的程序帶到系統(tǒng)里。參照上節(jié)，這些文件系統(tǒng)也應當設置nodev選項。操作：編輯/etc/fstab文件在floppy和cdrom分區(qū)后增添nosuid,nodev參數(shù)/bin/chown root:root /etc/fstab/bin/chmod 0644 /etc/fstab禁止用戶掛接可移動文件系統(tǒng)說明：PAM模塊中的pam console參數(shù)給控制臺的用戶臨時的額外特權(quán)。其配置位于/etc/security/。默認設置允許控制臺用戶控制可以與其他主機共享的軟盤和CDROM設備。這些可移動媒體存在著一定的安全風險。以下禁止這些設備的額外特權(quán)。操作：編輯/etc/security/修改其中的console行，刪除以下設備之外的行/sound|fb|kbd|joystick|v4l|mainboard|gpm|scanner/bin/chown root:root /bin/chmod 0600 檢查passwd，shadow和group文件權(quán)限說明：檢查以下文件的默認權(quán)限。操作：cd /etc/bin/chown root:root passwd shadow group/bin/chmod 644 passwd group/bin/chmod 400 shadow全局可寫目錄應設置粘滯位說明：當一個目錄設置了粘滯位之后，只有文件的屬主可以刪除此目錄中的文件。設置粘滯位可以防止用戶覆蓋其他用戶的文件。如/tmp目錄。操作：find / xdev type d perm 0002 a ! perm 1000 print找出未授權(quán)的全局可寫目錄說明：全局可寫文件可以被任意用戶修改。全局可寫文件可能造成一些腳本或程序被惡意修改后造成更大的危害，一般應拒絕其他組的用戶的寫權(quán)限。操作：find / perm 0002 type f xdev printchmod ow filename找出未授權(quán)的SUID/SGID文件說明：管理員應當檢查沒有其他非授權(quán)的SUID/SGID在系統(tǒng)內(nèi)。操作：find / perm 04000 o perm 02000 type f xdev print找出異常和隱藏的文件說明：入侵者容易將惡意文件放在這目錄中或命名這樣的文件名。對于檢查出來的數(shù)據(jù)需要核對與否系統(tǒng)自身的文件。操作：find / name .. exec ls ldb {} \。find / name .* exec ls ldb {} \。系統(tǒng)訪問，授權(quán)和認證說明：R系列服務（rlogin，rsh，rcp），它使用基于網(wǎng)絡地址或主機名的遠端機算計弱認證（很容易被偽造）。如果必須使用R系列服務，“+”，并且同時指定對方系統(tǒng)和用戶名。如果有防火墻，則應該在過濾外部網(wǎng)段至內(nèi)部的全部R系列服務訪問。（600）。操作：for file in /etc/* 。 dogrep v rhosts_auth $file ${file}.new/bin/mv ${file}.new $file/bin/chown root:root $file/bin/chmod 644 $filedone創(chuàng)建危險文件的鏈接說明：防止創(chuàng)建危險的/root/.rhosts，/root/.shosts，/etc/。操作：/bin/rm /root/.rhostsln s /dev/null /root/.rhosts/bin/rm /root/.shostsln s /dev/null /root/.shosts/bin/rm /etc/ln s /dev/null /etc//bin/rm /etc/ln s /dev/null /etc/創(chuàng)建ftpuser文件說明：216。 /etc/ftpusers和/etc/。通常情況下，應當不允許一些系統(tǒng)用戶訪問FTP，并且任何時候都不應當使用root用戶訪問FTP。216。 /etc/。操作：for name in `cut d: f1 /etc/passwd`doif [ `id u $name` lt 500 ]thenecho $name /etc/ftpusersfidone/bin/chown root:root /etc/ftpusers/bin/chmod 600 /etc/ftpusersif [ e /etc/ ] || \[ e /etc/vsftpd/ ]。 then/bin/rm f /etc//bin/cp /etc/ftpusers /etc/fi關(guān)閉XWindows的開放端口說明：X服務器在6000/tcp監(jiān)聽遠端客戶端的連接。XWindows使用相對不安全的認證方式，取得X認證的用戶很容易就可以控制整臺服務器。刪除選項中的“nolisten tcp”可以使X服務器不再監(jiān)聽6000/tcp端口。操作：if [ e /etc/X11/xdm/Xservers ] 。 thencd /etc/X11/xdmawk 39。($1 !~ /^/ amp。amp。 $3 == /usr/X11R6/bin/X) \{ $3 = $3 nolisten tcp }。{ print }39。 Xservers /bin/mv Xservers/bin/chown root:root Xservers/bin/chmod 444 Xserversfiif [ e /etc/X11/gdm/ ] 。 thencd /etc/X11/gdmawk F= 39。($2 ~ /\/X$/) \{ printf(%s nolisten tcp\n, $0)。 next }。{ print }39。 /bin/mv /bin/chown root:root /bin/chmod 644 fiif [ d /etc/X11/xinit ] 。 thencd /etc/X11/xinitif [ e xserverrc ] 。 thenawk 39。/X/ amp。amp。 !/^/ \{ print $0 :0 nolisten tcp \$@。 next }。 \{ print }39。