Unix计算机安全Checklist
Unix计算机安全Checklist
目 录
1
物理安全................................................................................................... 1 1.1 1.2 1.3 2
控制台安全........................................................................................ 1 数据安全............................................................................................ 1 用户安全措施.................................................................................... 1
网络安全................................................................................................... 2 2.1 2.2 2.3 2.4 2.5
过滤.................................................................................................... 2 阻止spoofing..................................................................................... 2 FTP安全............................................................................................ 2 Modem安全 ...................................................................................... 2 SATAN 能够发现这些问题 ............................................................. 3
3 账号安全................................................................................................... 3 3.1 3.2 3.3 3.4
密码安全............................................................................................ 3 root账号 ............................................................................................ 3 Guest账号 ......................................................................................... 4 用户帐号............................................................................................ 4
4 文件系统安全........................................................................................... 4 4.1 4.2 4.3 4.4 4.5 4.6 4.7
NFS安全 ........................................................................................... 4 设备安全............................................................................................ 5 脚本安全............................................................................................ 5 安全测试............................................................................................ 5 安全书籍............................................................................................ 5 安全站点............................................................................................ 6 厂商链接............................................................................................ 7
第 i 页
Unix计算机安全Checklist
Unix计算机安全Checklist
该文档为系统管理员提供如何更好地提供系统安全,该文档不保证覆盖全部系统安全,对于任何人误用这些信息,本文档以及作者不承担任何责任。本文档以HP-UX为例讲解
如需了解更多内容,请参考http://www.unixtools.com/security.html。
1 物理安全
1.1 控制台安全
1) 房间上锁 (限制钥匙数量)
2) 没有其它途径可以进入房间 (包括地板和天花板)
1.2 数据安全
3) Backup存储在安全的地方&制定合理的数据恢复计划 4) UPS确保电源稳定供应 5) 保护网络线缆以防暴露 6) 敏感信息文件柜上锁
7) 销毁敏感的打印输出介质/磁带
1.3 用户安全措施
8) 当离开桌面时锁屏
9) 不要在桌面上记录密码暗示
10) 小心使用xauth/xhost使得其他人不能读取屏幕
11) 站点不提供欢迎标语(只有授权访问允许看到欢迎标语)
第 1 页
Unix计算机安全Checklist
2 网络安全
2.1 过滤
12) 关闭不使用的服务(inetd.conf)
13) 产生访问控制列表/var/adm/inetd.sec表示那些主机可以建立连接 14) 在路由器上过滤所有不必要的服务,只有必要的服务能够通过 15) 需要TCP wrapper用于日志审计 16) 如果网络连接Internet,使用防火墙
2.2 阻止spoofing
17) 路由模式
a) 关闭source routing
b) 阻止外部网络使用内部地址发起队内网的连接和访问 18) NFS, hosts.equiv ....这些系统文件中描述有资格访问的主机名 19) 如果可能,不使用hosts.equiv或.rhosts(cron) 20) .rhost和.netrc文件的permission设置为600
2.3 FTP安全
21) 确保/etc/ftpusers w/所有系统账号(uucp, bin. root ..) 22) 设定最小permission和最小account 23) 使用FTP日志,并查看日志 24) 如果可能设定目录不可写入
2.4 Modem安全
25) 所有的modems都应该有额外的密码
c) 确保/etc/d_passwd的口令不能使用CRACK工具猜测出来 d) 每个用户一个口令,确保口令不能使用CRACK工具猜测出来
第 2 页
Unix计算机安全Checklist
26) 所有的拨号modem都应记录断开连接 ( /etc/gettydefs的hupcl)
2.5 SATAN 能够发现这些问题
3 账号安全
3.1 密码安全
27) 所有账号都必须拥有口令 28) 只有root UID是0
29) 密码不可猜测(基于规则的crack) 30) 不记录密码
31) 办公桌上不存在密码描述 32) 密码过期
33) 一次性使用的密码
34) 如果不使用NIS或NIS+,HP能够使用信任的系统软件包(SAM) 35) 不存在.netrc文件
36) 当存在不符合要求的登录请求时,关闭该帐号
3.2 root账号
37) root仅仅可以在控制台登录(/etc/securetty) 38) 检查root . 文件,不能在path中应用. 39) 限制用户数量 40) 使用高强度口令
41) 经常等出root shell;不要在不注意的情况下留下root shell 42) 每隔3个月修改一次root口令&只要某些人离开公司 43) 使用普通用户登录&使用su 44)
45) umasks如果可能设置为077
第 3 页
Unix计算机安全Checklist
46) 不在控制台操作时应使用全部路经。 47) 不允许非root写入访问任何root路径的目录 48) 在公共可写入目录中不存在tmp文件
3.3 Guest账号
49) 必要情况下,限制时间 50) 使用非标准名字-而不是guest 51) 使用高强度口令 52) 使用受限制shell
53) umasks 如果可能设置为077
3.4 用户帐号
54) 在中止该用户帐号后删除该帐号 55) 账号不能共享
56) 关闭不必要的账号,bin、sys、uucp 57) umasks如果可能设置为077 58) 如果可能使用受限制shell
4 文件系统安全
4.1 NFS安全
59) 只有需要才运行NFS,应用最新的patch 60) 小心使用/etc/exports(SUN :/etc/dfs/dfstab) 61) 如果可能设置为只读 62) 如果可能不设置suid 63) hostname使用全名
第 4 页
Unix计算机安全Checklist
4.2 设备安全
64) s /dev/null, /dev/tty & /dev/console设备文件可以由world写入,但不能执行 65) 其他设备文件不可被常规用户读取和写入。
4.3 脚本安全
66) 不要对setuid/setgid脚本执行写入操作;而是使用C语言做代替 67) 脚本中的路径应该是绝对路径
68) 最小化写入文件系统(esp. 系统文件/目录) 69) 只有在必要时,才使用setuid/setgid 70) 确保重要的文件只能被授权的用户所访问 71) COPS能够发现这些问题
4.4 安全测试
72) 使用最新的系统安全patch 73) 订购安全邮件列表或新闻组
74) If you do NOT use NIS or NIS+, make your system a HP-UX trusted system for
easier system security 75) 测试w/ SATAN (网络安全) 76) 测试w/ COPS (多种系统检测) 77) 测试w/ TIGER 78) w/ CRACK (口令检测) 79) Tripwire (文件改变检测) 80) 检查btmp, wtmp, syslog, sulog等
81) 设定自动email或页面信息向系统管理员报告人和可疑的行为
4.5 安全书籍
82) Practical Unix and Internet Security by Simson Garfinkel & Gene Spafford
第 5 页
Unix计算机安全Checklist
83) Firewalls and Internet Security : Repelling the Wily Hacker (Addison-Wesley
Professional Computing) by William R. Cheswick & Steven M. Bellovin 84) Computer Security Basics by Deborah F. Russell, G. T. Gangemi
(Contributor)
85) Building Internet Firewalls by Brent Chapman & Elizabeth D. Zwicky,
Deborah Russell (Editor)
86) Computer Crime : A Crimefighter's Handbook (Computer Security) by David
J. Icove, David, Seger, Karl Icove & Vonstorch, Karl Seger (Contributor), William Vonstorch (Contributor)
4.6 安全站点
COAST-- Computer Operations, Audit, and Security Technology A multiple project, multiple investigator laboratory in computer security research in the Computer Sciences Department at Purdue University
Computer and Network Security Reference Index
A list of links to information sources on Network and Computer Security. Sun's Java Security Reference The source for Java Technology National Security Institute Security Resource Net
Internet Security Systems, Inc
ISS Security Library: Adaptive Network Security Coast Security Hotlist
A great resource of the latest security sites by COAST Matt's Unix Security
Includes nice section on why to publish this information and great links SANS Institute
Great network security guidelines, information, and conferences
第 6 页
Unix计算机安全Checklist
4.7 厂商链接
Sunsolve Security Reference Index Sun Security Information, patches, FAQs Securing RedHat 5.x
Nice site on securing linux - though work on it is suspended. Linux Security WWW: Other Security Links
Links: Security Advisories, \"White\" Papers, Organizations/Research Groups, Companies and Commercial Products, Security Archives/References, Projects, Security Mailing lists
第 7 页
因篇幅问题不能全部显示,请点此查看更多更全内容