提高UNIX安全的方法(二)
7、/etc/hosts.lpd文件
确保该文件的第一个字符不是"-"。
确保该文件的访问权限被设置成600。
确保该文件的所有者被设置成root。
确保在该文件中不使用"!"或"#"符号。这些符号在该文件中不表示注释。
8、安全的终端设置
该文件可能是/etc/ttys、/etc/default/login或/etc/security。具体的信息可
以参照对应UNIX系统的帮助手册。
确保从所有不需要root登录权限的记录中删除掉安全选取项。此外,如果不希望其
他用户能以单用户的方式重新启动的话,还应该从console中删除掉安全选项。
确保该文件的所有者是root。
确保该文件的访问权限被设置成644。
9、网络服务安全
/etc/inetd.conf 文件
确保该文件的服务权限被设置为600。
确保该文件的所有者是root。
尽量过滤掉不真正需要的服务。
要完成这一点,建议在该文件对应行的第一个字符前加上一个"#"符号。这样做的好
处是,如果以后要想恢复该项服务,只要去掉"#"符号即可。最好去掉所有的r命令服务
和tftp服务,因为它们会造成系统明显的安全漏洞。
对该文件的改动,要在重新启动 inetd 进程之后才能发生作用。重新启动 inetd
进程的方法是:
#kill -HUP inetd的进程号
在有的系统上(例如AIX),上面的命令还不够,具体的命令可以参照使用UNIX系
统的联机手册。
10、/etc/services 文件
确保该文件的访问权限被设置成644。
确保该文件的所有者是root。
11、/etc/aliases 文件
通过在行首加上一个"#"字符来注释掉 decode 别名。要想使该文件的修改发生作
用,必须手工地运行命令/usr/bin/newaliases。如果运行NIS(YP)服务,还要重新创
建映射表。
确保所有由alias执行的程序的所有者是root,服务权限是755,并保存在系统的
目录中,例如/usr/local/bin。如果用户的系统正在使用smrsh,程序的执行权限还要
做进一步的限制。具体的设置,请参阅smrsh的文档手册。
12、portmapper 服务
portmapper 是将RPC服务映射为TCP/IP服务的系统守护进程,每个RPC服务都要在
portmapper中注册,之后才能够为系统提供服务。
为使其更安全,应尽量去掉非必需的、系统在启动时启动、并在portmapper中注册
的服务程序。
13、trivial ftp (tftp) 服务
tftp 主要用于无盘工作站的启动。它与 ftp 类似,但没有口令保护。因此如果系
统提供tftp服务,那么其他主机上的所有用户都可以通过tftp获取本系统上的文件。
如果该服务并不必须,应在文件/etc/inetd.conf中去掉该服务,然后重新启动
inetd 进程(方法前面已提到)。
如果该服务是必须的,请阅读 AUSCERT Advisory SA-93:05。
14、TCP-Wrapper 程序包
确保使用该程序包。
安装新程序包,并根据具体的UNIX系统进行配置。
激活 PARANOID 方式。
考虑使用 RFC931 选项。
通过在 /etc/hosts.deny 文件中加入一行"all:all",来拒绝所有的主机访问,然后
通过在 /etc/hosts.allow文件中加入信任的主机名称来显式地列出允许访问的主机名称。
更详尽的信息,可以参阅该程序包的帮助手册。
建议用户记录所有在 /etc/inetd.conf 文件中提供的服务。
建议用户考虑记录系统上所有的UDP服务。如果用户要对UDP服务做记录,就必须在
/etc/inetd.conf 文件中使用 nowait 选项。
发布人:netbull 来自:安全教程