【正文】 otk]groupdeldip214。 [rootk]groupdelpppusers214。 [rootk] groupdel popusers (delete thisgroupifyoudon’tusepopserverfor).214。 [rootk]groupdelslipusers111中國信息安全測評中心linux賬號安全y chattr命令給口令和組文件加上不可更改屬性 214。 chattr+i/etc/passwd214。 chattr+i/etc/shadow214。 chattr+i/etc/group214。 chattr+i/etc/gshadow112中國信息安全測評中心113五、如何加強(qiáng) UNIX系統(tǒng)安全性1. 安全設(shè)置214。 啟 動項 安全 設(shè) 置 214。 設(shè) 置 帳 號安全214。 系 統(tǒng) 服 務(wù) 安全 設(shè) 置214。 網(wǎng) 絡(luò) 安全 設(shè) 置214。 其它安全配置214。 應(yīng) 用服 務(wù) 安全要點214。 系 統(tǒng) 升 級中國信息安全測評中心Linux系統(tǒng)服務(wù)安全設(shè)置y 防止 IP欺騙214。 修改 “/etc/”文件 ,214。 加入下面 這 行： LookupnamesviaDNSfirstthenfallbackto/etc/hosts.orderbind,hostsWehavemachineswithmultipleIPaddresses.multionCheckforIPaddressspoofing.nospoofon114中國信息安全測評中心Linux系統(tǒng)服務(wù)安全設(shè)置y 檢查 /etc/chmod600/etc/chattr+i/etc/y 關(guān)閉無用的服務(wù)214。 取消下列服 務(wù) 中不需要的：ftp,tel,shell,login,exec,talk,ntalk,imap,pop2,pop3,finger,auth等115中國信息安全測評中心116五、如何加強(qiáng) UNIX系統(tǒng)安全性1. 安全設(shè)置214。 啟 動項 安全 設(shè) 置 214。 設(shè) 置 帳 號安全214。 系 統(tǒng) 服 務(wù) 安全 設(shè) 置214。 網(wǎng) 絡(luò) 安全 設(shè) 置214。 其它安全配置214。 應(yīng) 用服 務(wù) 安全要點214。 系 統(tǒng) 升 級中國信息安全測評中心IPy 關(guān)閉 ip轉(zhuǎn)發(fā)（或創(chuàng)建 /etc/notrouter)＃ ndd–set/dev/ipip_forwarding0y 關(guān)閉轉(zhuǎn)發(fā)包廣播214。 由于 轉(zhuǎn)發(fā) 包廣播在默 認(rèn) 狀 態(tài) 下是允 許 的， 為 了防止被用來 實 施 smurf攻 擊 ，關(guān) 閉這 一特性。ndd–set/dev/ipipforward_directed_broadcasts0y 關(guān)閉源路由轉(zhuǎn)發(fā)＃ ndd–set/dev/ipip_forward_src_routed0網(wǎng)絡(luò)安全設(shè)置117中國信息安全測評中心IPy 關(guān)閉響應(yīng) echo廣播＃ ndd –set /dev/ip ip_respond_to_echo_broadcast 0y 關(guān)閉響應(yīng)時間戳廣播ndd –set /dev/ip ip_respond_to_timestamp_broadcast 0y 關(guān)閉地址掩碼廣播ndd –set /dev/ip ip_respind_to_address_mask_broadcast 0ndd–set/dev/ipipforward_directed_broadcasts0y 關(guān)閉源路由轉(zhuǎn)發(fā)＃ ndd–set/dev/ipip_forward_src_routed0網(wǎng)絡(luò)安全設(shè)置118中國信息安全測評中心網(wǎng)絡(luò)安全設(shè)置ICMPy 防止 ping在 /etc/：echo1＞ /proc/sys//ipv4/icmp_echo_ignore_all119中國信息安全測評中心網(wǎng)絡(luò)安全設(shè)置ARP攻擊加固y 減少過期時間ndd–set/dev/arparp_cleanup_interval60000nddset/dev/ipip_ire_flush_interval60000214。 默 認(rèn) 是 300000毫秒（ 5分 鐘 ）214。 加快 過 期 時間 ，并不能避免攻 擊 ，但是使得攻 擊 更加困 難 ， 帶 來的影響是在網(wǎng) 絡(luò) 中會大量的出 現(xiàn) ARP請 求和回復(fù)214。 請 不要在繁忙的網(wǎng) 絡(luò) 上使用。120中國信息安全測評中心網(wǎng)絡(luò)安全設(shè)置ARP攻擊加固y 建立靜態(tài) ARP214。 編輯 文件 filename， 內(nèi)容如下：08:00:20:ba:a1:f2user.08:00:20:ee:de:1f這 是一種很有效的方法，而且 對 系 統(tǒng) 影響不大。缺點是破壞了 動態(tài) ARP協(xié)議214。 使用 arp–ffilename加 載 上述文件y 禁止 ARP214。 ifconfiginterface–arp214。 網(wǎng)卡不會 發(fā) 送 ARP和接受 ARP包。但是使用前提是使用靜 態(tài) 的 ARP表，如果不在 apr表中的 計 算機(jī) ，將不能通信。121中國信息安全測評中心122五、如何加強(qiáng) UNIX系統(tǒng)安全性1. 安全設(shè)置214。 啟 動項 安全 設(shè) 置 214。 設(shè) 置 帳 號安全214。 系 統(tǒng) 服 務(wù) 安全 設(shè) 置214。 網(wǎng) 絡(luò) 安全 設(shè) 置214。 其它安全配置214。 應(yīng) 用服 務(wù) 安全要點214。 系 統(tǒng) 升 級中國信息安全測評中心Linux其它安全配置y 使 “/etc/services”文件免疫 214。 防止未 經(jīng)許 可的 刪 除或添加服 務(wù) ： chattr+i/etc/servicesy 限制 root從不同的控制臺進(jìn)行登陸Vi/etc/securetty在不需要登 陸 的 TTY設(shè)備 前添加 “”標(biāo) 志123中國信息安全測評中心Linux其它安全配置y 限制用戶對系統(tǒng)資源的使用，防止 DOS攻擊214。 編輯 （ vi/etc/security/）加入或改 變 下面 這 些行：*hardcore0/*表示禁止 創(chuàng) 建 core文件 *hardnproc20/*進(jìn) 程數(shù)限制到 20*hardrss5000/*除 root之外，其他用 戶 都最多只能用 5M內(nèi)存124中國信息安全測評中心Linux其它安全配置y 禁止 ControlAltDelete鍵盤關(guān)閉命令214。 在 /etc/inittab文件中注 釋 掉下面 這 行ca::ctrlaltdel:/sbin/shutdownt3rnow/sbin/initq使 這項 改 動 生效。y 給 /etc/下文件設(shè)置權(quán)限 chmodR700/etc/*表示只有 root才允 許讀 、寫、 執(zhí) 行 該 目 錄 下的 script文件125中國信息安全測評中心Linux其它安全配置y 隱藏系統(tǒng)信息Vi/etc/在下面 顯 示的 這 些行前加一個 “”，把 輸 出信息的命令注 釋 掉。 Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyouwanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.echo/etc/issueecho$R/etc/issueechoKernel$(unamer)on$a$(unamem)/etc/issuecpf/etc/issue/etc/echo/etc/issue126中國信息安全測評中心Linux其它安全配置y 遠(yuǎn)程 Tel避免顯示系統(tǒng)和版本信息 Vi/etc/telstreamtcpnowaitroot/usr/sbin/tcpdh在最后加 “h”可以使當(dāng)有人登 陸時 只 顯 示一個 login:提示，而不 顯 示系 統(tǒng)歡 迎信息。127中國信息安全測評中心Linux其它安全配置y 禁止 ping響應(yīng)214。 在 /etc/：echo1＞ /proc/sys//ipv4/icmp_echo_ignor_ally 清除歷史命令214。 設(shè) 置系 統(tǒng) 不 記錄 每個人 執(zhí) 行 過 的命令，就在/etc/profile里 設(shè) 置： HISTFILESIZE=0 HISTSIZE=0 128中國信息安全測評中心Linux其它安全配置y 禁止不使用的 SUID/SGID程序214。 查 找 rootowned程序中使用 39。s39。位的程序： find / type f ( perm 04000 o perm 02023 ) exec ls lg {} \。 214。 用下面命令禁止 選 中的 帶 有 39。s39。位的程序： chmod as [program] 129中國信息安全測評中心Linux其它安全配置y 設(shè)置 sendmail的基本安全214。 禁止 relay214。 禁止 vrfy、 expn 命令214。 限制 郵 件大小 214。 修改 sendmail的 歡 迎提示 214。 升 級 版本y 設(shè)置 DNS的基本安全y 配置 TCP_WRAPPERS訪問列表130中國信息安全測評中心131五、如何加強(qiáng) UNIX系統(tǒng)安全性1. 安全設(shè)置214。 啟 動項 安全 設(shè) 置 214。 設(shè) 置 帳 號安全214。 系 統(tǒng) 服 務(wù) 安全 設(shè) 置214。 網(wǎng) 絡(luò) 安全 設(shè) 置214。 其它安全配置214。 應(yīng) 用服 務(wù) 安全要點214。 系 統(tǒng) 升 級中國信息安全測評中心應(yīng)用服務(wù)安全要點y DNSy FTPy TELNETy MAILy Weby Tcp_wrapper132中國信息安全測評中心Bind服務(wù)器安全配置y 基本安全配置y Bind服務(wù)器的訪問控制133中國信息安全測評中心Bind服務(wù)器安全配置y 基本安全配置214。 隱 藏版本信息在 options節(jié) 中增加自定 義 的 BIND版本信息，可 隱 藏BIND服 務(wù) 器的真正版本號。例如：versionWhoknows?。 //version 此 時 如果通 過 DNS服 務(wù)查詢 BIND版本號 時 ，返回的信息就是 Whoknows?。 134中國信息安全測評中心Bind服務(wù)器安全配置y 基本安全配置214。 named進(jìn) 程啟 動選項r：關(guān) 閉 域名服 務(wù) 器的 遞歸查詢 功能（缺省 為 打開）。 該選項 可在配置文件的 options中使用recursion選項 覆蓋。u和 g：定 義 域名服 務(wù) 器運(yùn)行 時 所使用的 UID和 GID,這 用于 丟 棄啟 動時 所需要的 root特 權(quán) 。 135中國信息安全測評中心Bind服務(wù)器安全配置y Bind服務(wù)器的訪問控制 :214。 限制 查詢214。 限制區(qū)域 傳輸214。 關(guān) 閉遞歸查詢136中國信息安全測評中心Bind服務(wù)器安全配置y /etc/options { directo