【正文】 是用SSH來(lái)取代Telnet，通過(guò)使用SSH，可以把所有傳輸?shù)臄?shù)據(jù)進(jìn)行加密，這樣類(lèi)似上面的“中間人”攻擊方式就不可能實(shí)現(xiàn)了，而且它也能夠防止DNS和IP欺騙。 系統(tǒng)中不應(yīng)安裝不安全的傳統(tǒng)網(wǎng)絡(luò)服務(wù)說(shuō)明：許多曾經(jīng)流行的服務(wù)，因?yàn)槠浒踩珕?wèn)題漸漸被更好更安全的服務(wù)取代，如果系統(tǒng)中帶有不安全的傳統(tǒng)網(wǎng)絡(luò)服務(wù)將會(huì)為帶來(lái)未知的安全隱患。此條目需滿足以下要求：252。 禁止使用RSH遠(yuǎn)程訪問(wèn)服務(wù)。252。 禁止使用Talk通信服務(wù)252。 禁止使用TFTP文件傳輸服務(wù)實(shí)施指導(dǎo)：RSH服務(wù)的狀態(tài)可以通過(guò)以下命令來(lái)查看：root chkconfig list rsh可執(zhí)行以下命令來(lái)禁用RSH服務(wù)并卸載RSH客戶端：root chkconfig rsh offroot zypper remove rsh執(zhí)行以下命令來(lái)查看talk的狀態(tài)：root chkconfig list talk如果不需要，可使用以下命令禁用該服務(wù)并卸載talk客戶端：root chkconfig talk offroot zypper remove talk可使用以下命令來(lái)查看tftp 和 atftp的狀態(tài)：root chkconfig list tftproot chkconfig list atftpd如果不需要，使用以下命令禁用tftp 和 atftp：root chkconfig tftp offroot chkconfig atftpd off7 漏洞攻擊防護(hù) 地址隨機(jī)化 使用Linux自帶的ASLR功能（地址空間布局隨機(jī)化）增強(qiáng)漏洞攻擊防護(hù)能力說(shuō)明：ASLR通過(guò)每次將棧的起始位置、函數(shù)庫(kù)和程序本身移至略微不同的位置，使得緩沖溢出攻擊無(wú)法猜測(cè)正確的位置，導(dǎo)致攻擊無(wú)法成功實(shí)施。此條目需滿足以下要求：252。 開(kāi)啟內(nèi)核ASLR功能此條目對(duì)以下情況不做強(qiáng)制要求：252。 如果有開(kāi)啟ASLR后出現(xiàn)軟件不兼容或性能下降的情況，可以關(guān)閉相關(guān)項(xiàng)。實(shí)施指導(dǎo)：ASLR開(kāi)啟/關(guān)閉方法：在/proc/sys/kernel/randomize_va_space文件中寫(xiě)入1或2表示開(kāi)啟，建議寫(xiě)入2。在/proc/sys/kernel/randomize_va_space文件中寫(xiě)入0表示關(guān)閉。下表為每個(gè)值代表的含義：值含義0不存在隨機(jī)化，表示一切都將位于靜態(tài)地址中。1只有共享函數(shù)庫(kù)、棧、mmap’ed 內(nèi)存、VDSO以及堆是隨機(jī)的。2完全隨機(jī)化（默認(rèn)）。使用brk()進(jìn)行的舊式內(nèi)存配置也將是隨機(jī)的。 數(shù)據(jù)執(zhí)行防護(hù) 系統(tǒng)必須使用DEP防護(hù)手段提升漏洞攻擊防護(hù)能力說(shuō)明：（DEP）。DEP是除ASLR之外防止利用緩沖溢出執(zhí)行惡意代碼的另一種方法。因?yàn)锳SLR是增加了查找要執(zhí)行的庫(kù)函數(shù)的難度，DEP是將棧和數(shù)據(jù)段中可能會(huì)被攻擊者修改的權(quán)限進(jìn)行了移除。在編譯應(yīng)用程序時(shí)需增加z noexecstack gcc編譯選項(xiàng)實(shí)現(xiàn)DEP功能。此條目需滿足以下要求：252。 自開(kāi)發(fā)的軟件系統(tǒng)需使用DEP防護(hù)手段。此條目對(duì)以下情況不做強(qiáng)制要求：252。 對(duì)于系統(tǒng)開(kāi)發(fā)中使用的開(kāi)源軟件本條目不做強(qiáng)制要求。實(shí)施指導(dǎo)：Linux DEP防護(hù)在內(nèi)核中是默認(rèn)開(kāi)啟的，但是軟件要在編譯時(shí)添加z noexecstack選項(xiàng)來(lái)支持DEP功能。root gcc z noexecstack o exectest 使用棧保護(hù)機(jī)制說(shuō)明：gcc編譯器為位于棧的緩沖區(qū)執(zhí)行了一個(gè)額外的保護(hù)機(jī)制。這種方式在函數(shù)開(kāi)頭將隨機(jī)選擇的整數(shù)值置于棧中。雖然導(dǎo)致了一小部分開(kāi)銷(xiāo)，但這會(huì)避免程序出現(xiàn)額外的緩沖溢出。同時(shí)也會(huì)使緩沖溢出攻擊變得更難實(shí)施。此條目需滿足以下要求：252。 需開(kāi)啟fstackprotector、stackprotectorall、stackprotectorstrong選項(xiàng)中的一種選項(xiàng)。此條目對(duì)以下情況不做強(qiáng)制要求：252。 對(duì)性能要求比較敏感的產(chǎn)品，可根椐情況關(guān)閉該功能。實(shí)施指導(dǎo)：在gcc中與該特性相關(guān)的若干編譯器標(biāo)識(shí)：l fnostackprotector禁用棧保護(hù)（不建議使用）。l fstackprotector 為棧中所有顯示了8個(gè)或更長(zhǎng)字節(jié)的函數(shù)增添了保護(hù)機(jī)制。l param=sspbuffersize=N可被用于更改 fstackprotector使用的8字節(jié)限制。l stackprotectorall會(huì)對(duì)所有的函數(shù)進(jìn)行堆棧保護(hù)，而fstackprotector只會(huì)保護(hù)符合條件的函數(shù)（函數(shù)堆棧中包含字符、數(shù)組且符合sspbuffersize指定大小的函數(shù)才會(huì)得到保護(hù)）。fstackprotectorall安全性更高，但是對(duì)程序性能影響更大。l stackprotectorstrong 介于 fstackprotector 和 stackprotectorall之間，采用更智能的規(guī)則來(lái)決定哪些函數(shù)該受益于棧保護(hù)機(jī)制。l Wstackprotector編譯器告警選項(xiàng)是可選的，作用是當(dāng)啟用fstackprotector選項(xiàng)而又有函數(shù)未能被保護(hù)到（比如不符合sspbuffersize參數(shù)要求）時(shí)，會(huì)提示編譯告警。建議使用fstackprotector選項(xiàng)同時(shí)指定sspbuffersize參數(shù)大小(例如—param sspbuffersize=4)，并和Wstackprotector一起使用。 增強(qiáng)性安全防護(hù) 使用Grsecurity增強(qiáng)Linux系統(tǒng)的安全防護(hù)能力說(shuō)明：Grsecurity是用于Linux內(nèi)核安全增強(qiáng)的項(xiàng)目，針對(duì)Linux內(nèi)核的某些安全漏洞進(jìn)行修補(bǔ)以及安全性的增強(qiáng)。當(dāng)攻擊者能夠?qū)ο到y(tǒng)的某部分進(jìn)行攻擊并控制目標(biāo)系統(tǒng)的執(zhí)行流程時(shí)，Grsecurity作為最后一道防線會(huì)發(fā)揮最大作用。它甚至能夠避免零日攻擊，因?yàn)閷?duì)攻擊者而言其加大了攻擊難度。Grsecurity的主要功能為：內(nèi)存加固、對(duì)ASLR的改善、可信路徑執(zhí)行（TPE）、基于角色的訪問(wèn)控制（RBAC）、Chroot增強(qiáng)、暴力利用保護(hù)、限制普通用戶量可獲得的詳細(xì)系統(tǒng)信息量、加強(qiáng)系統(tǒng)審查等。此條目需滿足以下要求：252。 開(kāi)啟Grsecurity的暴力利用保護(hù)功能252。 開(kāi)啟Grsecurity的chroot增強(qiáng)功能252。 開(kāi)啟到/dev/kmem，/dev/mem，/dev/port的限制此條目對(duì)以下情況不做強(qiáng)制要求：252。 Grescurity的license是GPL2的，如果產(chǎn)品存在不允許使用GPL2 license的情況可以不使用Grescurity。252。 對(duì)Grsecurity不提供明確支持的內(nèi)核版本不做強(qiáng)制要求252。 對(duì)于/dev/kmem，/dev/mem，/dev/port有明確使用需求的產(chǎn)品不做強(qiáng)制要求實(shí)施指導(dǎo)：Grsecurity是針對(duì)主線的Linux內(nèi)核應(yīng)用的安全補(bǔ)丁文件。安裝Grsecurity需要打補(bǔ)丁到內(nèi)核，所以需要重新編譯內(nèi)核。1. 下載Grsecurity，下載Grsecurity只需要根據(jù)所要patch的系統(tǒng)內(nèi)核版本號(hào)到網(wǎng)站的download頁(yè)面選擇下載即可。如： wget 2. 將Grsecurity patch到內(nèi)核將下載的補(bǔ)丁文件使用patch命令刷新到內(nèi)核源碼中即可，如： mv /usr/src/linux cd /usr/src/linux patch p1 3. 開(kāi)啟需要的grsecurity內(nèi)核功能選項(xiàng)例如：開(kāi)啟chroot增強(qiáng)功能和暴力利用防護(hù)功能選項(xiàng) make menuconfig然后進(jìn)入grsecurity功能配置界面，選擇:security option Grsecurity Customize Configuration Filesystem Protecton Chroot jail restrictions選擇:security option Grsecurity Customize Configuration Memory Protecton Deter exploit bruteforcing選擇:security option Grsecurity Customize Configuration Memory Protecton Deny reading/writing to /dev/kmem, /dev/mem, and /dev/port4. 編譯安裝內(nèi)核，重新啟動(dòng)系統(tǒng)即可。 使用PaX提升系統(tǒng)攻擊防護(hù)能力說(shuō)明：PaX是Grsecurity的一部分，為linux設(shè)計(jì)的防止緩沖區(qū)溢出的一個(gè)內(nèi)核補(bǔ)丁，可以脫離Grsecurity獨(dú)立使用。Pax注重在Linux內(nèi)核的層面增強(qiáng)系統(tǒng)防漏洞攻擊的能力，能提供最優(yōu)秀的與緩沖區(qū)溢出相關(guān)的攻擊防護(hù)能力，強(qiáng)于Linux自身提供的DEP和ASLR的攻擊防護(hù)能力。因此，建議在Linux系統(tǒng)中使用PaX安全補(bǔ)丁。使用時(shí)注意PaX版本應(yīng)與Linux內(nèi)核版本對(duì)應(yīng)。PaXAddress space layout randomizationl Randomized ET_EXEC basel Randomized stack basel Randomized mmap() basel randomizes the executable base of programsl Binary markingsto defeat ret2libc attacks and all other attacks relying on known structure of a program39。s virtual memory.executable space protectionl Enforced nonexecutable pagesl PAGEEXECl SEGMEXECl Restricted mprotect()l Trampoline emulationusing (or emulating in operating system software) the functionality of an NX bit (., builtin CPU/MMU support for memory contents execution privilege tagging此條目需滿足以下要求：252。 開(kāi)啟Pax中以下強(qiáng)化地址隨機(jī)化功能：n 用戶空間堆棧棧頂隨機(jī)化n Mmap基地址隨機(jī)化（將包括所有庫(kù)）n 執(zhí)行程序基地址隨機(jī)化此條目對(duì)以下情況不做強(qiáng)制要求：252。 產(chǎn)品license同GPL2存在沖突的情況下，不要求使用PaX。252。 對(duì)PaX不提供明確支持的內(nèi)核版本不做強(qiáng)制要求252。 對(duì)系統(tǒng)性能有嚴(yán)格要求，啟用相關(guān)功能影響產(chǎn)品交付的，不做強(qiáng)制要求。實(shí)施指導(dǎo)：l 安裝Pax內(nèi)核安全補(bǔ)丁1. 下載安裝PaX可以獨(dú)立安裝，也可以隨Grsecurity安裝，此處以Grsecurity為例： wget mv /usr/src/linux cd /usr/src/linux patch p1 2. 開(kāi)啟地址空間隨機(jī)化 make menuconfig進(jìn)入grsecurity功能配置界面， 選擇:security option Grsecurity Customize Configuration PaX Address Space3. 開(kāi)啟用戶空間堆棧棧頂隨機(jī)化和Mmap基地址隨機(jī)化 選擇:security option Grsecurity Customize Configuration PaX Address Space Layout Randomizat Randomize User stack and mmap() bases4. 編譯安裝內(nèi)核，重新啟動(dòng)系統(tǒng)即可。8 完整性保護(hù) 文件完整性檢查 使用IMA工具對(duì)系統(tǒng)文件的完整性進(jìn)行檢查說(shuō)明:Linux完整性度量架構(gòu)（IMA）在文件中的代碼被執(zhí)行之前測(cè)量文件的完整性。度量通過(guò)計(jì)算出文件內(nèi)容的哈希摘要來(lái)進(jìn)行，并且內(nèi)核開(kāi)啟IMA功能。文件完整性檢測(cè)可以即時(shí)發(fā)現(xiàn)文件、程序或配置未經(jīng)授權(quán)的更改，其基本原理是存儲(chǔ)參考信息，如計(jì)算出的文件源數(shù)據(jù)（文件的源數(shù)據(jù)包括：所有者用戶和組id、安全標(biāo)簽、權(quán)限）的哈希值，并確保除了合理的安裝過(guò)程不對(duì)這些文件進(jìn)行更改，發(fā)現(xiàn)惡意軟件修改現(xiàn)有的程序。此條目需滿足以下要求：252。 Linux系統(tǒng)中以下目錄的文件必須做完整性進(jìn)行檢查：/bin、 /etc、 /sbin、 /var、 /usr/bin、 /usr/sbin、 /lib、/usr/lib、 /sys、 /boot 、/dev。實(shí)施指導(dǎo)：參考設(shè)計(jì)樣例中的《IMA實(shí)施指導(dǎo)書(shū)》9 安全隔離和容器 安全隔離 對(duì)于開(kāi)放給第三方的shell環(huán)境，應(yīng)使用隔離技術(shù)對(duì)其可訪問(wèn)的系統(tǒng)資源進(jìn)行隔離說(shuō)明：當(dāng)系統(tǒng)中存在開(kāi)放給第三方使用的shell環(huán)境時(shí)，要充分的考慮將系統(tǒng)本身的軟件和第三方軟件隔離，當(dāng)?shù)谌杰浖罎r(shí)，使其無(wú)法影響到系統(tǒng)自身軟件程序的運(yùn)行，并保護(hù)系統(tǒng)軟件不被第三方shell用戶調(diào)試、跟蹤、分析。為了達(dá)到此目的，應(yīng)使用安全隔離技術(shù)對(duì)此shell環(huán)境及其對(duì)應(yīng)的用戶賬號(hào)所能訪問(wèn)的系統(tǒng)資源進(jìn)行限制，將其行為和結(jié)果影響限定到可控范圍，保障基礎(chǔ)系統(tǒng)的安全性。 此條目需滿足以下要求：252。 Shell環(huán)境應(yīng)與系統(tǒng)的文件系統(tǒng)資源隔離，Shell的文件訪問(wèn)范圍僅限于其對(duì)應(yīng)賬號(hào)的HOME路徑內(nèi)。實(shí)施指導(dǎo):l 選擇chroot技術(shù)隔離shell環(huán)境chroot，即 change r