【正文】 word更改為自己指定的密碼。2) 以root身份執(zhí)行以下命令/bin/chown root:root /etc//bin/chmod 600 /etc/liloGRUB1) 增加下列行到/etc/password password2) 以root身份執(zhí)行以下命令/bin/chown root:root /etc//bin/chmod 600 /etc/設(shè)置單用戶默認(rèn)認(rèn)證說明：Linux默認(rèn)可以在啟動時(shí)鍵入“l(fā)inux single”進(jìn)入到單用戶模式。單用戶模式可以不使用密碼就可以進(jìn)行一些管理員操作，一般用來恢復(fù)忘記root密碼等。不加密碼的單用戶模式可能導(dǎo)致可以本地接觸到服務(wù)器的用戶直接控制系統(tǒng)。操作：cd /etcif [ `grep l sulogin inittab` = ]。 thenawk 39。{ print }。/^id:[0123456sS]:initdefault:/ \{ print ~~:S:wait:/sbin/sulogin }39。 \inittab /bin/mv inittab/bin/chown root:root inittab/bin/chmod 644 inittabfi限制NFS客戶端特權(quán)端口說明：設(shè)置secure參數(shù)可以使本地系統(tǒng)的NFS服務(wù)器進(jìn)程拒絕沒有使用特權(quán)端口（小于1024）的NFS客戶端訪問。這個(gè)設(shè)置不會影響NFS操作員的操作，但是會拒絕非授權(quán)用戶的自動的NFS攻擊。操作：增加/etc/exports文件中的secure選項(xiàng)，可以使用以下perl腳本perl pe \39。next if (/^\s*/ || /^\s*$/)。($res, @hst) = split( )。foreach $ent (@hst) {undef(%set)。($optlist) = $ent =~ /\((.*?)\)/。foreach $opt (split(/,/, $optlist)) {$set{$opt} = 1。}delete($set{insecure})。$set{secure} = 1。$ent =~ s/\(.*?\)//。$ent .= ( . join(, keys(%set)) . )。}$hst[0] = (secure) unless (@hst)。$_ = $res\t . join( , @hst) . \n。39。 \/etc/exports用戶帳戶和環(huán)境系統(tǒng)無用帳戶說明：系統(tǒng)中的非使用人員帳號應(yīng)當(dāng)被鎖定，并且設(shè)置他們的shell為非/etc/shells里面的（即沒有默認(rèn)可以登陸的shell，如/dev/null）。操作：以下腳本鎖定全部非root用戶for name in `cut d: f1 /etc/passwd`。 douid=`id u $name`if [ $uid lt 500 a $name != 39。root39。 ]。 then/usr/sbin/usermod L s /dev/null $namefidone確認(rèn)沒有空密碼帳戶說明：如果一個(gè)賬戶設(shè)置了空密碼，將允許任何人不使用密碼登陸到系統(tǒng)。所有帳戶都應(yīng)該設(shè)置一個(gè)足夠強(qiáng)壯的密碼或設(shè)置為“NP”或“LOCKED”。操作：awk F: 39。($2 == ) { print $1 }39。 /etc/shadow設(shè)置活動帳戶的過期時(shí)間說明：定期的更改帳戶密碼有助于提高系統(tǒng)的安全性。一般應(yīng)當(dāng)將系統(tǒng)中非root用戶強(qiáng)制在90天內(nèi)更該密碼，并且在之后的7天之內(nèi)禁止更改密碼。用戶將在密碼過期的28天前接受到系統(tǒng)的提示。并應(yīng)當(dāng)設(shè)置密碼的復(fù)雜程度，包括各種大小寫及數(shù)字，并最小長度為6位。操作：cd /etcawk 39。($1 ~ /^PASS_MAX_DAYS/) { $2=90 }($1 ~ /^PASS_MIN_DAYS/) { $2=7 }($1 ~ /^PASS_WARN_AGE/) { $2=28 }($1 ~ /^PASS_MIN_LEN/) { $2=6 }{ print } 39。 /bin/mv /bin/chown root:root /bin/chmod 640 for name in `cut d: f1 /etc/passwd`。 douid=`id u $name`if [ $uid ge 500 a $uid != 65534 ]。 then/usr/bin/chage m 7 M 90 W 28 $namefidone確認(rèn)沒有“+”存在于passwd，shadow和group文件說明：系統(tǒng)配置文件中的“+”表示系統(tǒng)將此部分值指向NIS地圖中的值。這可能導(dǎo)致攻擊者取得系統(tǒng)權(quán)限。操作：grep ^+: /etc/passwd /etc/shadow /etc/group確認(rèn)沒有root之外的UID 0帳戶說明：UID為0的帳戶將擁有系統(tǒng)中的管理員權(quán)限。一般系統(tǒng)中之應(yīng)該有root用戶UID為0，其他用戶應(yīng)使用su取得管理員權(quán)限。如果不想將root密碼告訴其他用戶，并同時(shí)想讓這些用戶訪問管理員權(quán)限才能訪問的資源，可以使用sudo工具。操作：awk F: 39。($3 == 0) { print $1 }39。 /etc/passwd刪除root路徑中的“.”或其他全局可寫目錄說明：如果root用戶的執(zhí)行路徑包含當(dāng)前工作路徑“.”或其他全局可寫目錄，可能引起root運(yùn)行非指定的命令或程序，最后導(dǎo)致木馬或其他惡意程序控制系統(tǒng)。操作：成為root用戶運(yùn)行以下命令均可setenvecho $PATH用戶主目錄應(yīng)為755或更少權(quán)限說明：操作：for dir in \`awk F: 39。($3 = 500) { print $6 }39。 /etc/passwd`do/bin/chmod gw $dir/bin/chmod orwx $dirdone說明：“.”開頭的文件一般都是隱藏文件，絕大多是用戶的配置文件。如果用戶的配置文件全局可寫，可能導(dǎo)致惡意用戶偷取或修改其他用戶數(shù)據(jù)，甚至取得用戶特權(quán)。操作：for dir in \`awk F: 39。($3 = 500) { print $6 }39。 /etc/passwd`dofor file in $dir/.[AZaz09]*。 doif [ ! h $file a f $file ]。 then/bin/chmod gow $filefidonedone說明：.netrc文件可能包含其他系統(tǒng)為加密的密碼。會導(dǎo)致用戶的密碼泄露。操作：for dir in `cut f6 d: /etc/passwd`do/bin/rm f $dir/.netrcdone設(shè)置用戶的默認(rèn)umask說明：設(shè)置默認(rèn)umask為077，用戶創(chuàng)建的文件和目錄對系統(tǒng)內(nèi)其他的用戶將不可讀。如果創(chuàng)建者希望其他用戶可讀可以通過chmod命令修改。設(shè)置為027將允許UNIX組中的其他同組用戶可讀，022將允許系統(tǒng)中所有的其他用戶俄可讀。操作：cd /etcfor file in profile bashrcdoif [ `egrep c umask\.\*77 $file` eq 0 ]。thenecho umask 077 $filefi/bin/chown root:root $file/bin/chmod 444 $filedonecd /rootfor file in .bash_profile .bashrc .cshrc .tcshrcdoecho umask 077 $file/bin/chown root:root $filedone禁止core dumps說明：當(dāng)程序崩潰后會產(chǎn)生core dumps文件，開發(fā)者可以用來對程序進(jìn)行調(diào)試。但是他有可能消耗掉大量的磁盤空間。操作：修改/etc/security/* soft core 0* hard core 029 / 30