【51CTO.com獨(dú)家特稿】SUSE由于其出色的性能和對(duì)安全較好的控制，吸引了很多企業(yè)級(jí)用戶，目前在國(guó)內(nèi)開始有大量的關(guān)鍵應(yīng)用。但這并不代表SUSE在使用中就是安全的，SUSE里還有很多安全細(xì)節(jié)要注意。本文就SUSE中的這些安全細(xì)節(jié)進(jìn)行逐一介紹，為大家揭開每一個(gè)需要注意的地方。

一、補(bǔ)丁、SSH及其他

1、補(bǔ)丁

每個(gè)補(bǔ)丁的更新都意味著這是一個(gè)安全漏洞，或是有其他嚴(yán)重的功能問題，但如果更新補(bǔ)丁則又可能導(dǎo)致系統(tǒng)的一些異常，甚至引起一些服務(wù)的癱瘓。所以對(duì)于補(bǔ)丁的更新要慎重處理。從實(shí)際的角度來說，有4種做法：

1）是在剛裝完系統(tǒng)之后立刻更新補(bǔ)丁，然后再上應(yīng)用。

2）是通過外圍防護(hù)手段來保護(hù)服務(wù)器，可以用防火墻、IPS之類的手段。

3）是在測(cè)試機(jī)上更新補(bǔ)丁。不過值得注意的是，有些補(bǔ)丁帶來的問題是隱性的，可能今天明天沒問題，但后天出了問題，所以，觀察的時(shí)間需要久一些。

4）、如果你的SUSE服務(wù)器比較多，也可以通過NFS共享或者內(nèi)部的FTP、HTTP服務(wù)來完成。但FTP、HTTP又會(huì)帶來另外的安全風(fēng)險(xiǎn)。
SUSE的補(bǔ)丁升級(jí)，需要去下載Novell的新RPM。RPM包的安裝會(huì)有先有后，不過多數(shù)情況下，RPM會(huì)根據(jù)其依賴關(guān)系來處理。另外，Novell也有一些在特殊情況下的提示，比如內(nèi)核更新、C運(yùn)行庫(kù)等。Novell公司提供了一個(gè)強(qiáng)大的工具YaST，不過遺憾的是，YaST自身也不安全，有在線升級(jí)不安全臨時(shí)文件建立漏洞。

加固方法：輸入yast，在software中選擇online update。

2、SSH

SUSE上默認(rèn)安裝了OpenSSH，OpenSSH是目前比較流行并且免費(fèi)的加密連接工具，但OpenSSH的低版本也存在不少安全漏洞，所以最好還是去http://www.openssh.org下載最新版本的。在升級(jí)到最新版本之后，SSH仍有很多需要安全加固工作要做。比如限制那些賬戶的登錄、更改默認(rèn)端口、指定可訪問的網(wǎng)絡(luò)等等，限于篇幅本文對(duì)此不做更詳細(xì)的介紹。但至少有一點(diǎn)，是你必須要做的：將協(xié)議版本修改為2。因?yàn)榘姹?的安全問題實(shí)在太嚴(yán)重了，甚至可以截獲密碼。

加固方法：

vi /etc/ssh/ssh_config

修改protocol的值為2。

3、系統(tǒng)性能審計(jì)

對(duì)于運(yùn)維人員來說，需要經(jīng)常監(jiān)控系統(tǒng)的性能情況，SUSE提供的sysstat就是一個(gè)檢測(cè)系統(tǒng)狀態(tài)的工具，比如比如CPU利用率、磁盤I/O等。sysstat默認(rèn)每10分鐘收集一次系統(tǒng)數(shù)據(jù)，可以用sar命令查看。sysstat首先會(huì)建立一個(gè)正常的性能曲線，當(dāng)這個(gè)基線建立完畢以后，任何超出基線的活動(dòng)都會(huì)給出提示。例如密碼猜測(cè)、或者在業(yè)務(wù)高峰期以外的事件會(huì)導(dǎo)致CPU利用率過高，從而偏離正常的基線。注意sysstat收集的數(shù)據(jù)默認(rèn)是在系統(tǒng)上存放一周，一周之后會(huì)被cron任務(wù)自動(dòng)移除，可在/var/log/sa/目錄下來維護(hù)收集的數(shù)據(jù)。但是默認(rèn)安裝的服務(wù)器版本是不包括sysstat包的，除非安裝的時(shí)候選擇了完全安裝。

加固方法：安裝sysstat，并使用sar命令。

4、防火墻
SuSEfirewall2是SUSE下面的包過濾防火墻，可以允許、拒絕數(shù)據(jù)的進(jìn)出。默認(rèn)是安裝并且激活的，而且默認(rèn)不允許任何服務(wù)，要開放服務(wù)就必須明確的啟用（比如上面提到的SSH）。

加固方法：

在YAST里，Center--#Security and Users--#Firewall進(jìn)行防火墻策略調(diào)整。
更細(xì)粒度的策略配置，可以在YAST Center--#System#--/etc/sysconfig editor-Network/Firewall/SuSEfirewall2，也可直接編輯/etc/sysconfig/SuSEfirewall2文件。

5、系統(tǒng)安全定期檢查腳本seccheck

seccheck是一個(gè)系統(tǒng)安全檢查腳本，可以每天、每周、每月的定期生成報(bào)告，并且郵件發(fā)送。不過他在定期運(yùn)行的時(shí)候比較占用資源，所以要選擇在非業(yè)務(wù)高峰期來做。

加固方法：YAST Center-System-#/etc/sysconfig-System/Security/Seccheck selection

6、SUSE的安全應(yīng)用框架AppArmor
AppArmor和SuSEfirewall2相比，他的特點(diǎn)在于對(duì)應(yīng)用級(jí)的保護(hù)，可以管理應(yīng)用的文件和目錄訪問等更細(xì)顆粒的操作，是一個(gè)白名單的機(jī)制，即指定哪些行為才是允許的，其他的拒絕，這樣可以更好的隱藏內(nèi)部系統(tǒng)。比如你的系統(tǒng)存在一個(gè)漏洞，但由于對(duì)其的操作沒有受到白名單允許，所以操作會(huì)被拒絕。

加固方法：YAST Center-Novell AppArmor可以調(diào)整細(xì)節(jié)策略、查看報(bào)告。如果不熟悉的話，AppArmor還內(nèi)設(shè)了一個(gè)向?qū)Чδ堋?/P>

二、最小化xinetd

1、關(guān)閉標(biāo)準(zhǔn)服務(wù)

SUSE使用xinetd，他比inetd更優(yōu)秀也更方便使用。SUSE默認(rèn)情況下是關(guān)閉所有服務(wù)的，在啟用SSH之后，就可以配置xinetd的服務(wù)了。安全的做法也應(yīng)該如此，先關(guān)閉所有服務(wù)，然后只啟用必須的服務(wù)。

加固方法：運(yùn)行chkconfig查看所有服務(wù)的開啟狀態(tài)，對(duì)不需要的服務(wù)進(jìn)行關(guān)閉。

2、可信網(wǎng)絡(luò)接入

對(duì)服務(wù)器的訪問應(yīng)該受到控制，所以需要用SuSEfirewall2或者其他的措施來控制，只允許那些可信的網(wǎng)絡(luò)接入。

加固方法：

vi /etc/sysconfig/SuSEfirewall2中的第10項(xiàng)配置。也可以在yast Center#System#/etc/sysconfig editor進(jìn)行配置。

3、telnet

如果不是有特別的理由，不要使用telnet，telnet使用的是不加密的網(wǎng)絡(luò)協(xié)議，這就意味著從你的賬號(hào)到你傳輸?shù)臄?shù)據(jù)，都可以被人竊聽，嚴(yán)重的可以通過會(huì)話劫持控制你的系統(tǒng)。所以這里還是強(qiáng)烈建議使用SSH，雖然SSH也不是那么的安全。

加固方法：

打開的命令是chkconfig telnet on。

關(guān)閉的命令是chkconfig telnet off。

4、FTP

同樣，在沒有充分理由的情況下，不要使用FTP，尤其是匿名FTP。和telnet一樣，F(xiàn)TP也不加密，也可以被人竊聽或者會(huì)話劫持。SSH則提供了SCP和SFTP，可以取代FTP。要注意的是，有時(shí)候FTP可能是因?yàn)槟承?yīng)用綁定的，比如我多次見到的WEB上傳通道，所以你必須要用這種匿名FTP。如果必須要用FTP，那還是要做一些控制，要注意的一點(diǎn)是，F(xiàn)TP的目錄應(yīng)該受到控制，最好能有自己的分區(qū)。在SUSE上，vsftpd默認(rèn)是不安裝的。

加固方法：

打開的命令是chkconfig vsftpd。

關(guān)閉命令是chkconfig vsftpd off。

5、rlogin/rsh/rcp

所有r系列的命令都應(yīng)該被關(guān)閉。他們除了可以被竊聽之外，在驗(yàn)證機(jī)制上也存在問題，并且還有其他的安全漏洞，比如緩沖區(qū)溢出、任意命令執(zhí)行等。建議還是用SSH來取代。

加固方法：

打開命令是

chkconfig rexec on

chkconfig rlogin on

chkconfig rsh on

關(guān)閉他們：

chkconfig rexec off

chkconfig rlogin off

chkconfig rsh off

6、TFTP

TFTP一般用在無盤工作站， X-terminals等情況下。路由器或者其他網(wǎng)絡(luò)設(shè)備的配置數(shù)據(jù)可以利用它復(fù)制，實(shí)現(xiàn)備份功能。當(dāng)然，在這里，沒有特殊原因，我們?nèi)匀唤ㄗh你禁用。TFTP在SUSE上也不是默認(rèn)安裝的。

關(guān)閉命令chkconfig tftp off

7、IMAP

只有郵件服務(wù)器才會(huì)用到IMAP，一些郵件客戶端（比如Eudora、Netscape Mail和Kmail）需要使用IMAP來檢索遠(yuǎn)程郵件。

加固方法：關(guān)閉服務(wù)的命令

chkconfig cyrus off或chkconfig imap off。

8、POP

這是一個(gè)收郵件的服務(wù)，作為服務(wù)器有收取郵件的需要嗎？如果沒有，同樣也應(yīng)關(guān)閉。

加固方法：chkconfig qpopper off或chkconfig cyrus off。

三、最小化啟動(dòng)服務(wù)

1、設(shè)置umask

系統(tǒng)默認(rèn)的umask至少應(yīng)設(shè)置成027，有些守護(hù)進(jìn)程比如系統(tǒng)日志，會(huì)默認(rèn)設(shè)置為任何人可以寫文件。如果某個(gè)守護(hù)進(jìn)程需要放開對(duì)權(quán)限的限制，可以考慮修改守護(hù)進(jìn)程的啟動(dòng)腳本，給以其權(quán)限，同時(shí)又不會(huì)影響服務(wù)器的其他安全。

加固方法：

vi /etc/profile，改變umask的值為027。

對(duì)/home下的所有用戶，根據(jù)其shell類型，定義umask的值。一般在/home/.profile中新增加一行umask 027。

2、SMTP

需要確認(rèn)服務(wù)器是否需要處理郵件。SUSE中，默認(rèn)安裝的是Postfix，并且是激活狀態(tài)。如果這臺(tái)服務(wù)器是郵件服務(wù)器的話，需要注意的是，有權(quán)限在web界面上搜索附件是一個(gè)安全隱患。另外，如果你對(duì)郵件服務(wù)器管理有經(jīng)驗(yàn)的話，你會(huì)知道為postfix規(guī)劃一個(gè)chroot環(huán)境有多么重要。在chroot環(huán)境下，即使有人闖入了smtpd daemon，能夠造成的損害也比較有限。

加固方法：

打開：vi /etc/sysconfig/mail,設(shè)置SMTPD_LISTEN_REMOTE="yes"。在防火墻上也必須啟用。

關(guān)閉：vi /etc/sysconfig/mail,設(shè)置SMTPD_LISTEN_REMOTE="no"。

3、運(yùn)行級(jí)別

SUSE里有兩個(gè)主要的運(yùn)行級(jí)別，級(jí)別5直接啟動(dòng)到X Windows,級(jí)別3則是字符界面。但注意的是，即使系統(tǒng)運(yùn)行在級(jí)別3，用戶仍然可以在shelle下執(zhí)行startx來啟動(dòng)X Windows。

加固方法：

設(shè)置為級(jí)別3，vi /etc/inittab，將id:5:initdefault中的5修改為3。

4、X Font Server

對(duì)于服務(wù)器來說，一般不需要運(yùn)行X Windows，如果不使用圖形界面的話，X Font Server就可以關(guān)掉，他是為圖形界面提供字體集用的，并且XFS還有一些緩沖區(qū)溢出的問題。

加固方法：

關(guān)閉X Font Server：chkconfig xfs off

5、標(biāo)準(zhǔn)啟動(dòng)服務(wù)

每個(gè)系統(tǒng)的守護(hù)進(jìn)程，如果你不能明確知道必須開啟的話，都應(yīng)該關(guān)閉。服務(wù)器上運(yùn)行的脆弱應(yīng)用，將大大增加風(fēng)險(xiǎn)。SUSE使用chkconfig來管理所有的系統(tǒng)服務(wù)腳本。這里要注意的是，SUSE的補(bǔ)丁程序可能會(huì)恢復(fù)啟動(dòng)某些服務(wù)，在更新補(bǔ)丁之前，最好還是先記錄一下你已經(jīng)啟動(dòng)哪些服務(wù)。還有就是一些守護(hù)進(jìn)程會(huì)擁有一些賬戶，對(duì)這些賬戶要進(jìn)行刪除、鎖定，避免別人登錄，或者對(duì)他的Shell設(shè)置成/bin/false。

加固方法：

添加、刪除啟動(dòng)服務(wù)的方法是在在不同運(yùn)行級(jí)別下的目錄里，首先你需要知道你的系統(tǒng)運(yùn)行界別，使用runlevel命令查看運(yùn)行級(jí)別，如果運(yùn)行級(jí)別是3的話，那就需要在/etc/rc.d/rc3.d修改。這里面以S開頭的，都是啟動(dòng)時(shí)會(huì)運(yùn)行的服務(wù)。例如mv /etc/rc3.d/S04rpcbind etc/rc3.d/K04rpcbind，是將rpcbind服務(wù)關(guān)閉。

另外還需要對(duì)守護(hù)進(jìn)程的賬戶進(jìn)行刪除或鎖定，刪除用戶命令是userdel，可以刪除這些用戶：adm lp sync shutdown halt news uucp operator gopher，如果不用x windows的話可以刪除games，如果沒有匿名ftp可以刪除ftp。

6、SMB和NMB

SUSE提供了Samba，為windows用戶提供文件和打印共享，這樣unix系統(tǒng)可以在windows的網(wǎng)絡(luò)上充當(dāng)文件服務(wù)器、打印服務(wù)器，甚至為早期的windows系統(tǒng)充當(dāng)域控驗(yàn)證服務(wù)器。Samba需要用到SMB和NMB協(xié)議，SMB是Windows的文件共享，NMB是NetBIOS消息塊。如果不需要充當(dāng)這些角色的話，就應(yīng)該關(guān)閉這兩個(gè)協(xié)議。關(guān)閉命令 chkconfig smb off

7、NFS

NFS經(jīng)常被利用來越權(quán)存取文件，所以沒有需要也應(yīng)關(guān)閉。即使真的需要NFS服務(wù)，也應(yīng)該采取控制措施，包括限制訪問的IP范圍、文件的只讀等。NFS的客戶端服務(wù)也應(yīng)關(guān)閉。

關(guān)閉命令：

chkconfig nfsserver off

chkconfig autofs off

8、NIS

除非十分有必要，否則不要使用NIS。NIS是網(wǎng)絡(luò)信息服務(wù)的縮寫，類似與windows中的域控制器。NIS雖然使用維護(hù)簡(jiǎn)單，但有設(shè)計(jì)上的安全問題，而且也完全可以用LDAP來替代。

關(guān)閉命令：

chkconfig ypserv off

chkconfig yppasswdd off

9、RPC端口映射

要想NIS能夠運(yùn)行，須首先運(yùn)行portmap守護(hù)進(jìn)程。但是RPC的驗(yàn)證機(jī)制很薄弱，很容易被繞過，卻可以利用RPC得到很多重要的信息。除非是需要NIS，最好禁用。

關(guān)閉命令：chkconfig portmap off

10、ncpfs腳本

ncpfs是NFS、windows網(wǎng)絡(luò)里共享文件需要用到的，但并非默認(rèn)安裝，如果沒有網(wǎng)絡(luò)共享在使用，就把它停掉。這個(gè)腳本會(huì)掛載在客戶機(jī)的網(wǎng)絡(luò)驅(qū)動(dòng)器上，好在它不是一個(gè)持續(xù)的守護(hù)進(jìn)程，所以相對(duì)來說不是那么危險(xiǎn)。

關(guān)閉命令：chkconfig ncpfs off

11、apache

只有WEB服務(wù)器才會(huì)用到，即使這臺(tái)服務(wù)器是WEB服務(wù)器，也不要把數(shù)據(jù)庫(kù)和其他環(huán)境支持都放在這臺(tái)服務(wù)器上。

關(guān)閉命令：chkconfig apache2 off

12、SNMP

在規(guī)模比較大的網(wǎng)絡(luò)里會(huì)經(jīng)常用到的網(wǎng)絡(luò)管理協(xié)議，要確定你是不是在使用依賴SNMP的遠(yuǎn)程監(jiān)控工具，比如HP OpenView, MRTG, Cricket等。如果使用了SNMP，也建議更改默認(rèn)的community string。在SUSE中，snmp的設(shè)置在/etc/snmpd.conf里。

關(guān)閉命令：chkconfig snmpd off

13、DNS server

確定你的網(wǎng)絡(luò)是否需要域名解析的服務(wù)器，針對(duì)DNS的攻擊這兩年越來越多，如果必須要用，建議在/etc/named.conf里 使用訪問控制。比如，內(nèi)部的DNS服務(wù)器不應(yīng)該對(duì)外部開放查詢。在比較大的網(wǎng)絡(luò)里，一般都會(huì)使用內(nèi)部和外部的DNS服務(wù)器分別提供查詢，但一些小的網(wǎng)絡(luò)沒有條件內(nèi)外分開，就應(yīng)考慮訪問控制。

關(guān)閉命令：chkconfig named off

14、Squid Cache服務(wù)器

Squid是一個(gè)代理服務(wù)器軟件，其實(shí)Squid是一個(gè)較好的安全架構(gòu)，因?yàn)樗诳蛻舳撕头?wù)器之間設(shè)置了一道代理，在一定程度上減少了系統(tǒng)泄露信息的風(fēng)險(xiǎn)，防止內(nèi)部漏洞被發(fā)現(xiàn)。但是，在使用Squid的時(shí)候要仔細(xì)進(jìn)行配置，有很多關(guān)于Squid cache的漏洞。如果不加安全考慮的話，外部仍然可以探測(cè)到內(nèi)部的主機(jī)，或者利用你的cache來隱藏攻擊者的真實(shí)IP。所以應(yīng)該配置成：不允許外部人員未經(jīng)認(rèn)證使用你的緩存。

關(guān)閉命令：chkconfig squid off

#p#

四、內(nèi)核優(yōu)化

1、網(wǎng)絡(luò)參數(shù)修改

SUSE和其他Linux一樣，把網(wǎng)絡(luò)參數(shù)的修改都放在了/proc/sys/net/ipv4下，這里所有文件名中包含rate和max的變量都可以防止拒絕服務(wù)攻擊。對(duì)于每個(gè)參數(shù)的具體解釋可以參考相關(guān)文檔，這里就不一一介紹。

建議修改：

net.ipv4.tcp_max_syn_backlog = 4096

net.ipv4.conf.all.accept_source_route = 0

net.ipv4.conf.all.accept_redirects = 0

net.ipv4.conf.all.secure_redirects = 0

net.ipv4.conf.default.rp_filter = 1

net.ipv4.conf.default.accept_source_route = 0

net.ipv4.conf.default.accept_redirects = 0

net.ipv4.conf.default.secure_redirects = 0

net.ipv4.icmp_echo_ignore_broadcasts = 1

2、其他參數(shù)

如果系統(tǒng)不是作為一個(gè)防火墻或網(wǎng)關(guān)的話，需要修改以下部分。

建議修改：

net.ipv4.ip_forward = 0

net.ipv4.conf.all.send_redirects = 0

net.ipv4.conf.default.send_redirects = 0

五、日志

1、syslog

SUSE使用了syslog-ng來記錄日志。/var/log/messages包括了iptables, mail, news和messages，并把它們分別發(fā)送到(/var/log/firewall, /var/log/mail*, 和/var/log/news。文件權(quán)限默認(rèn)是u=rw,g=r,o=。

2、NTP

NTP是網(wǎng)絡(luò)時(shí)間協(xié)議，目的是保持計(jì)算機(jī)的時(shí)間與網(wǎng)絡(luò)同步，默認(rèn)安裝，但是沒有啟用。系統(tǒng)時(shí)鐘應(yīng)該保持一個(gè)高準(zhǔn)確度，這樣日志的記錄才能準(zhǔn)確的反映時(shí)間。NTP啟用后，在udp123端口監(jiān)聽。在配置上，應(yīng)該忽略任何未明確允許的消息，只允許本地回環(huán)127.0.0.1和NTP服務(wù)器的消息，防止別人偽造時(shí)間服務(wù)器。對(duì)NTP的修改在/etc/ntp.conf下面。

3、日志文件權(quán)限

確保系統(tǒng)日志文件的所有權(quán)和權(quán)限是正確的，日志文件權(quán)限的配置在/etc/syslog-ng/syslog-ng.conf.in和/etc/logrotate.d

4、遠(yuǎn)程日志記錄

配置系統(tǒng)日志記錄發(fā)送到網(wǎng)絡(luò)的其他主機(jī)上。注意的是，這個(gè)時(shí)候，就需要精確的系統(tǒng)時(shí)鐘了，所以需要使用NTP。為什么要在遠(yuǎn)程記錄日志呢？原因是，如果你的系統(tǒng)發(fā)生故障或者崩潰了，它是什么原因造成的？你就可以在這臺(tái)遠(yuǎn)程記錄日志的主機(jī)上找到原因。syslog-ng可以使用UDP或TCP。但是，除非這臺(tái)遠(yuǎn)程主機(jī)能夠保證一直可用、網(wǎng)絡(luò)也很可靠，否則，建議使用TCP，防止數(shù)據(jù)丟失。

例如：在/etc/syslog-ng的syslog-ng.conf中添加

destination logserver { tcp("10.10.10.10" port(514)); };

六、文件權(quán)限許可

1、在 /etc/fstab使用nodev方式
nodev選項(xiàng)的意思是禁止用戶在任何分區(qū)上掛載未授權(quán)的設(shè)備，需要掛載設(shè)備時(shí)，應(yīng)該在其他地方比如/dev。但也有例外，比如在chroot的環(huán)境中，經(jīng)常需要在chroot目錄中創(chuàng)建多個(gè)設(shè)備。如果在你的機(jī)器上使用了chroot，要注意這個(gè)nodev的選項(xiàng)。

2、在/etc/fstab中使用nosuid
在移動(dòng)介質(zhì)上，經(jīng)常會(huì)有一些病毒、惡意軟件，通過nosuid選項(xiàng)，可以阻止用戶在光驅(qū)、軟驅(qū)或者U盤上運(yùn)行set-UID權(quán)限的程序。如果機(jī)器上有多個(gè)移動(dòng)設(shè)備，也可以在/etc/fstab中相關(guān)設(shè)備的第四列設(shè)置nosuid。

3、禁止用戶掛載可移動(dòng)介質(zhì)
SUSE默認(rèn)只有root用戶可以掛載移動(dòng)介質(zhì)，如果/etc/fstab被改成允許用戶掛載，可能會(huì)讓病毒進(jìn)入服務(wù)器，或者數(shù)據(jù)被修改刪除。把它改回nouser選項(xiàng)更有助于安全。

4、驗(yàn)證passwd, shadow,group文件權(quán)限
這些文件都有著默認(rèn)的所有者和訪問權(quán)限，都要修改/etc/shadow權(quán)限為644，并且定期檢查。AIDE是一個(gè)不錯(cuò)的工具，可以提醒你對(duì)這些文件權(quán)限的注意。不過AIDE是Tripwire的非商業(yè)版改進(jìn)，目前還是BETA版，可能不適合用于關(guān)鍵的生產(chǎn)系統(tǒng)上。

5、沒有權(quán)限限制的目錄應(yīng)該設(shè)置粘滯位
你在任何一個(gè)目錄上設(shè)置粘滯位以后，就只有文件所有者能夠刪除目錄里的文件，而不是任何有寫權(quán)限的人可以刪除。設(shè)置粘滯位可以防止彼此覆蓋文件，無論是意外、惡意行為。但也應(yīng)在設(shè)置粘滯位之前，查看一下你的應(yīng)用程序文檔，避免破壞用用程序的依賴。

用這個(gè)腳本進(jìn)行檢查：
for PART in `awk '($3 ~ "ext2|ext3|reiserfs") \
{ print $2 }' /etc/fstab`; do
find $PART -xdev -type d \
\( -perm -0002 -a ! -perm -1000 \) -print
done
如果你的系統(tǒng)設(shè)置的足夠安全的話，這里應(yīng)該不會(huì)有任何的返回。

6、任何人都可寫的文件
在某個(gè)文件上，如果任何人都可以寫，將可能導(dǎo)致對(duì)系統(tǒng)的修改，或者對(duì)系統(tǒng)上的用戶造成影響。避免這種文件的出現(xiàn)，要在編寫腳本或者程序時(shí)加以注意，因?yàn)檫@會(huì)導(dǎo)致系統(tǒng)的完整性受到影響。一般來說，可以消除寫訪問（chmod o-w ），但對(duì)于關(guān)鍵服務(wù)器來說，還是要咨詢一下相關(guān)廠商。

用這個(gè)腳本進(jìn)行檢查
for PART in `awk '($6 != "0") { print $2 }' /etc/fstab`; do
find $PART -xdev -type f \
\( -perm -0002 -a ! -perm -1000 \) -print
done

如果你的系統(tǒng)設(shè)置的足夠安全的話，這里應(yīng)該不會(huì)有任何的返回。

7、未授權(quán)SUID/SGID的可執(zhí)行文件

管理員要檢查在系統(tǒng)里，有沒有未授權(quán)的set-UID。另外如果可能的話，應(yīng)做Set-UID的審計(jì)，或者減少這種Set-UID程序。
檢查方法：
for PART in `awk '($6 != "0") { print $2 }' /etc/fstab`; do
find $PART \( -perm -04000 -o -perm -02000 \) \
-type f -xdev -print
done

8、查找無主文件
不要讓你的系統(tǒng)上有任何無主文件，無主文件可能是一個(gè)入侵者已經(jīng)訪問了你的系統(tǒng)，或者是不當(dāng)文件包的維護(hù)安裝造成的。比如刪除了用戶或者組，但是相關(guān)文件沒有刪除。另一種常見情況是軟件安裝時(shí)，沒有正確的設(shè)置所有者。NFS掛載文件，會(huì)忽視用戶ID和系統(tǒng)之間的映射同步，也有可能造成無主文件的產(chǎn)生。如果你在使用NIS或者LDAP，那可能是其他原因造成的，什么原因就需要你去仔細(xì)檢查了。

檢查方法：
for PART in `awk '($6 != "0") { print $2 }' /etc/fstab`; do
find $PART -nouser -o -nogroup -print
done

 #p#

七、系統(tǒng)的管理、授權(quán)、認(rèn)證

1、在PAM配置文件里移除.rhosts支持
.rhosts定義了哪些計(jì)算機(jī)和用戶可以不用提供口令就在本地計(jì)算機(jī)上執(zhí)行遠(yuǎn)程命令，很容易被攻擊者利用。使用.rhosts是對(duì)用戶訪問控制規(guī)則的破壞，盡量關(guān)閉。如果有特殊原因，必須要使用，那就需要一些預(yù)防措施。永遠(yuǎn)不要在.rhosts里使用+通配符。.rhosts必須指定特定的可信任用戶名，比如trustedhost DB1，而不是trustedhost。這種在配置HA的時(shí)候常見。要避免信任關(guān)系之外的主機(jī)，而且防火墻或者其他安全設(shè)備應(yīng)該阻止外部的rlogin/rsh/rcp訪問。最后，還要確保.rhost文件只有所有者可讀。例如文件權(quán)限600。

2、/etc/ftpusers
/etc/ftpusers的列表里定義了哪些用戶不允許使用系統(tǒng)的FTP，一般來說，應(yīng)該只有普通用戶可以使用FTP，而不是system這種類型的賬戶。當(dāng)然，root用戶永遠(yuǎn)都不應(yīng)該使用FTP方式直接傳輸文件。
SUSE提供了一個(gè)netcfg的包，預(yù)填充了不該使用FTP的賬戶。

3、 防止X Server在tcp6000上監(jiān)聽
X Server在TCP6000上監(jiān)聽，接受來自其他客戶端的請(qǐng)求。但是，X Server使用了一個(gè)相對(duì)不安全的身份驗(yàn)證協(xié)議，攻擊者可以未授權(quán)訪問到本地X Server上。使用"-nolisten tcp" 方式可以取消X Server在TCP6000上默認(rèn)監(jiān)聽。

4、限制用戶使用at/cron
 cron.allow、 at.allow定義了誰可以使用crontab、at命令在預(yù)定的時(shí)間運(yùn)行作業(yè)。在很多系統(tǒng)上，只有系統(tǒng)管理員有這種能力。即使某個(gè)用戶不在cron.allow里面，用戶仍然可以運(yùn)行cron作業(yè)。cron.allow控制的是：crontab命令調(diào)度的權(quán)限、修改cron作業(yè)的權(quán)限。注意：不要修改/etc/at.deny和/etc/cron.deny文件，除非你的確了解他們，這兩個(gè)文件里都有合理的默認(rèn)內(nèi)容。如果對(duì)at和cron必須加以控制，創(chuàng)建/etc/at.allow和/etc/cron.allow文件，增加適當(dāng)?shù)挠脩簟?/P>

5、限制crontab文件的權(quán)限
 系統(tǒng)的crontab文件只能由cron守護(hù)進(jìn)程（運(yùn)行超級(jí)用戶權(quán)限）和crontab命令（set-UID為root）訪問。允許未授權(quán)的用戶讀取修改crontab，可以讓用戶獲得權(quán)限提升。

6、配置xinetd的訪問控制
可使用簡(jiǎn)單的基于IP的訪問控制，限制對(duì)xinted的非法連接。現(xiàn)在比較流行的工具是PortSentry，可以用于監(jiān)視那些試圖訪問未使用端口的行為。然后再使用系統(tǒng)防火墻SuSEfirewall2來控制。

7、限制root登錄到系統(tǒng)控制臺(tái)
root直接登錄到系統(tǒng)控制臺(tái)是不允許的，除非特別情況。在其他時(shí)候，管理員應(yīng)該通過無特權(quán)的賬戶并使用授權(quán)機(jī)制，比如su、sudo來獲取額外的特權(quán)。這些機(jī)制至少提供了審計(jì)的線索。/etc/securtty讓你可以規(guī)定root可從哪個(gè)tty登錄。/etc/securtty列出來的都是可以登錄的，注釋、不存在的都是不允許root登錄的。

8、設(shè)置LILO/GRUB密碼
大多數(shù)的Linux系統(tǒng)，默認(rèn)在引導(dǎo)時(shí)，有裝載提示，這讓攻擊者破壞正常的引導(dǎo)變得很容易。對(duì)他設(shè)置密碼，這樣在試圖修改LILO或GRUB的時(shí)候，就需要驗(yàn)證，當(dāng)然，密碼要夠強(qiáng)壯。

方法

A、如果你有/etc/lilo.conf 文件
在/etc/lilo.conf前面添加：
password=

以root執(zhí)行命令：
chown root:root /etc/lilo.conf
chmod 600 /etc/lilo.conf

B、如果是/etc/grub.conf文件
在/etc/grub.conf取消password 的注釋。
以root執(zhí)行命令：
chown root:root /etc/grub.conf
chmod 600 /etc/grub.conf

9、對(duì)單用戶模式驗(yàn)證

在一些Linux上你可以在LILO模式下鍵入linux single進(jìn)入單用戶模式，或者在GRUB的引導(dǎo)編輯菜單。這就帶來風(fēng)險(xiǎn)，進(jìn)入系統(tǒng)的認(rèn)證應(yīng)該始終需要root級(jí)別的訪問，防止攻擊者物理訪問系統(tǒng)。SUSE默認(rèn)禁止這種進(jìn)入方式，但是作為檢查來說，還是需要檢查一下。如果被改動(dòng)的話，要搞清楚原因并恢復(fù)。8和9這兩個(gè)項(xiàng)目都為了解決物理/啟動(dòng)的安全問題，也可以考慮設(shè)置只從主硬盤啟動(dòng)，或者設(shè)置BIOS密碼。

10、限制NFS客戶端請(qǐng)求特權(quán)端口

設(shè)置：NFS服務(wù)器忽略來自客戶端的低于1024的源端口訪問，這不會(huì)妨礙到正常的NFS操作，但可以阻止一些使用工具軟件攻擊的人。其配置文件在/etc/exports里。

11、syslog的消息接收

你的服務(wù)器是日志服務(wù)器嗎？需要從網(wǎng)絡(luò)上、其他主機(jī)上接收日志嗎？如果是肯定的，啟用日志系統(tǒng)的遠(yuǎn)程消息接受。默認(rèn)情況下的系統(tǒng)日志的守護(hù)進(jìn)程是syslogd，不在udp514上監(jiān)聽來自其他系統(tǒng)的日志消息（Solaris相反，默認(rèn)是接受的。）成立一個(gè)獨(dú)立的日志服務(wù)器來記錄一個(gè)或多個(gè)日志，是比較推薦的安全做法。但是，如果你不是日志服務(wù)器的話，就不應(yīng)該打開udp514的監(jiān)聽，因?yàn)檫@些信息的傳遞沒有任何認(rèn)證機(jī)制。攻擊者也可以利用此端口發(fā)起DDOS攻擊，或者不停的發(fā)送日志消息填滿你的日志系統(tǒng)，這樣以后的攻擊就不會(huì)被記錄到了。
在syslog-ng.conf.in里，把下面這行加上#注釋掉
#udp(ip("0.0.0.0") port(514))

八、用戶賬戶和環(huán)境

1、鎖定系統(tǒng)賬戶
有很多賬戶是系統(tǒng)賬戶，不會(huì)被人使用，鎖定這些賬戶有助于減少攻擊者的利用。這些賬戶不應(yīng)該有shell。如果沒有守護(hù)進(jìn)程/服務(wù)使用的話，甚至可以將賬戶刪除。比較簡(jiǎn)單的做法是直接停用，停用的做法是鎖定password，設(shè)置一個(gè)無效的shell（比如/bin/false）。SUSE里使用/bin/false而不是/dev/null和/bin/nologin。

2、空密碼賬戶
使用awk -F: '($2 == "") { print $1 }' /etc/shadow查找空密碼賬戶。空密碼賬戶是指任何人都可以登錄，而不用提供密碼。所有的賬戶都應(yīng)該有健壯的密碼，或者使用鎖定密碼的字符串：NP、*LOCKED*。

3、設(shè)置賬戶過期和密碼參數(shù)
強(qiáng)制用戶定期改變密碼，設(shè)置所有活躍賬戶（除了系統(tǒng)賬戶）強(qiáng)制更改密碼，例如：每90天(-M 90),下次允許更改密碼之前最少的天數(shù)7天 (-m 7)，用戶在密碼過期前28天收到警告(-W 28)。一旦密碼過期，賬戶將被鎖定7天(-I 7)。最后，密碼最小長(zhǎng)度為6。這只是一些建議，你需要根據(jù)你的實(shí)際情況在/etc/login.defs進(jìn)行調(diào)整。

4、確認(rèn)在passwd, shadow,group里沒有‘+’
使用命令grep ^+: /etc/passwd /etc/shadow /etc/group檢查。+用于NIS的數(shù)據(jù)映射配置，在passwd, shadow,group文件里存在+號(hào)，將會(huì)為攻擊者提供一個(gè)提權(quán)的途徑，應(yīng)該把它們都刪掉。

5、確認(rèn)除了root外，沒有UID為0的賬戶
檢查方法：awk -F: '($3 == 0) { print $1 }' /etc/passwd
任何UID為0的賬戶都擁有系統(tǒng)的超級(jí)用戶權(quán)限，唯一的超級(jí)用戶應(yīng)該是root，而且還應(yīng)該通過非特權(quán)賬戶su來獲得權(quán)限。

6、用戶主目錄應(yīng)為750權(quán)限或者更多的限制
用戶主目錄如果有任何人可寫的目錄，可以導(dǎo)致別人竊取、修改數(shù)據(jù)，或者獲得其他用戶的權(quán)限。對(duì)其他組成員，取消讀、執(zhí)行權(quán)限。不過在全局對(duì)用戶主目錄的權(quán)限進(jìn)行修改，可能會(huì)造成服務(wù)中斷。

7、刪除User.netrc文件
find / -name .netrc
.netrc是ftp命令的初始化文件，能夠給Ftp帶來一定的方便。但文件可能包含未加密的密碼。在上出他們之前，要考慮.netrc文件的作用，因?yàn)榭赡軙?huì)影響應(yīng)用。但是一個(gè)良好設(shè)計(jì)的應(yīng)用，不應(yīng)該使用.netrc。

8、設(shè)置默認(rèn)的用戶umask值
將umask設(shè)置為077，這樣由用戶創(chuàng)建的文件和目錄不會(huì)被系統(tǒng)上任何其他人可讀。如果需要改變權(quán)限可通過chmod命令。可將uamsk命令插入到shell配置文件中來實(shí)現(xiàn)，例如.profile, .cshrc, etc.等。027可讓同組人員可讀，而022的umask值可讓系統(tǒng)上每個(gè)用戶都可讀。但是，過于嚴(yán)格的umask會(huì)導(dǎo)致軟件的安裝問題，比如umask設(shè)置為700，那么他的應(yīng)用程序或者守護(hù)進(jìn)程就無法讀取文件。所以一般umask的設(shè)置不能過于嚴(yán)格，或者在文件安裝之后再控制umask。

9、關(guān)閉核心轉(zhuǎn)儲(chǔ)
這個(gè)問題需要問一下你的軟件開發(fā)商們，他們是否需要調(diào)試程序，或者需要看到debug的信息？如果答案是否定的，則可以關(guān)閉。核心轉(zhuǎn)儲(chǔ)會(huì)大量消耗磁盤空間，并且核心轉(zhuǎn)儲(chǔ)會(huì)包含敏感數(shù)據(jù)。開發(fā)人員需要用這個(gè)功能來幫助調(diào)試。/etc/security下的limits.con文件是用來控制核心轉(zhuǎn)儲(chǔ)的開關(guān)。

10、限制root賬戶su
su命令允許你成為系統(tǒng)上的其他用戶，常常被用來作為root執(zhí)行命令。如果不希望某些用戶可以su到root，在/etc/pam.d/su下加入：

auth required pam_wheel.so

這行命令的意思是，只允許wheel組的用戶，可以su為root。其他用戶在su root的時(shí)候，會(huì)收到一條消息，說該密碼是不正確的。通過限制使用root賬戶，即使用戶知道root密碼，也無法成為root用戶，除非它能夠物理上控制這個(gè)服務(wù)器，或者他被添加到wheel組。
這樣就增加了一個(gè)安全保護(hù)層，防止未經(jīng)授權(quán)的訪問。

九、殺毒

在有些系統(tǒng)上，比如郵件服務(wù)器、文件服務(wù)器，主要是給windows用戶使用的，應(yīng)該有殺毒軟件來保護(hù)。linux平臺(tái)下的殺毒軟件有：
Sophos http://www.sophos.com/ 商業(yè)軟件
NAI Virus Scan                商業(yè)軟件
McAfee http://www.mcafee.com/ 商業(yè)軟件
ClamAV http://www.clamav.net/ 開源軟件
f-prot Antivirus              商業(yè)軟件
f-prot Antivirus http://www.f-prot.com 商業(yè)軟件
Trend Micro                            商業(yè)軟件
Computer Associates InoculateIT http://www.cai.com/ 商業(yè)軟件

十、其他

1、對(duì)于危險(xiǎn)文件創(chuàng)建符號(hào)鏈接
/root/.rhosts, /root/.shosts, /etc/hosts.equiv等文件的訪問控制很薄弱，我們?cè)诘谄哒吕镆呀?jīng)討論過了，攻擊者會(huì)經(jīng)常針對(duì)這些漏洞進(jìn)行攻擊，把他們鏈接到/dev/null，意味著任何數(shù)據(jù)都會(huì)被簡(jiǎn)單的拋棄。

可以使用這個(gè)腳本：
for FILE in /root/.rhosts /root/.shosts /etc/hosts.equiv \
/etc/shosts.equiv; do
rm -f $FILE
ln -s /dev/null $FILE
done

2、打開TCP SYN Cookie的保護(hù)

SYN攻擊是一種拒絕服務(wù)攻擊，目的在于消耗系統(tǒng)資源。這個(gè)攻擊是由于TCP連接握手協(xié)議的漏洞，對(duì)方發(fā)送SYN信息，然后不再回應(yīng)。這樣的攻擊就使得系統(tǒng)與數(shù)百或者上千的連接保持半開狀態(tài)。是一個(gè)非常簡(jiǎn)單的攻擊方法。

3、LILO/GRUB安全

給LILO和GRUB加上一個(gè)i的屬性，這樣他既不能刪除也不能修改，可以有效地防止配置文件發(fā)生任何變化（不管是意外或者其他原因）。如果想要修改，必須用chattr -i命令。
chattr +i /etc/lilo.conf
chattr +i /boot/grub/menu.lst

4、配置sudo

sudo的是一個(gè)文件包，它允許管理員授權(quán)給用戶做一些特權(quán)，這些特權(quán)超出了用戶的權(quán)限，比如重啟web服務(wù)。我們舉個(gè)例子，因?yàn)槟愕膚eb服務(wù)有bug或者不斷的出現(xiàn)故障，那你可能需要不斷地修改web的配置文件來讓找出問題原因。這時(shí)候如果你要用su - root的話就會(huì)非常繁瑣，因?yàn)槟阒皇窃诟耐昱渲梦募螅貑⒁幌聎eb服務(wù)而已。這時(shí)候sudo就派上用場(chǎng)了，它允許管理員授權(quán)給該用戶權(quán)利來重啟web服務(wù)。sudo安裝之后，使用visudo來配置而不是vi配置文件，因?yàn)関isudo有錯(cuò)誤檢查功能。

5、刪除所有的編譯器和匯編程序

在安全上，C編譯器會(huì)構(gòu)成對(duì)系統(tǒng)可信的威脅。編譯器應(yīng)該安裝在開發(fā)系統(tǒng)的機(jī)器上，而不是一個(gè)生產(chǎn)應(yīng)用系統(tǒng)上。這里只是提醒注意檢查。檢查這些：gcc、gcc3、gcc3-c++、 gcc3-g77、gcc3-java、gcc3-objc、gcc-c++、gcc-chill、 gcc-g77、gcc-java、gcc-objc、bin86、dev86、nasm。