当前位置:Linux教程 - Linux - 提高UNIX安全的方法(二)

提高UNIX安全的方法(二)



        

    7、/etc/hosts.lpd文件

    确保该文件的第一个字符不是"-"。
    确保该文件的访问权限被设置成600。
    确保该文件的所有者被设置成root。
    确保在该文件中不使用"!"或"#"符号。这些符号在该文件中不表示注释。

    8、安全的终端设置

    该文件可能是/etc/ttys、/etc/default/login或/etc/security。具体的信息可
    以参照对应UNIX系统的帮助手册。
    确保从所有不需要root登录权限的记录中删除掉安全选取项。此外,如果不希望其
    他用户能以单用户的方式重新启动的话,还应该从console中删除掉安全选项。
    确保该文件的所有者是root。
    确保该文件的访问权限被设置成644。


    9、网络服务安全

    /etc/inetd.conf 文件
    确保该文件的服务权限被设置为600。
    确保该文件的所有者是root。
    尽量过滤掉不真正需要的服务。
    要完成这一点,建议在该文件对应行的第一个字符前加上一个"#"符号。这样做的好
    处是,如果以后要想恢复该项服务,只要去掉"#"符号即可。最好去掉所有的r命令服务
    和tftp服务,因为它们会造成系统明显的安全漏洞。
    对该文件的改动,要在重新启动 inetd 进程之后才能发生作用。重新启动 inetd
    进程的方法是:

    #kill -HUP inetd的进程号

    在有的系统上(例如AIX),上面的命令还不够,具体的命令可以参照使用UNIX系
    统的联机手册。

    10、/etc/services 文件

    确保该文件的访问权限被设置成644。
    确保该文件的所有者是root。

    11、/etc/aliases 文件

    通过在行首加上一个"#"字符来注释掉 decode 别名。要想使该文件的修改发生作
    用,必须手工地运行命令/usr/bin/newaliases。如果运行NIS(YP)服务,还要重新创
    建映射表。
    确保所有由alias执行的程序的所有者是root,服务权限是755,并保存在系统的
    目录中,例如/usr/local/bin。如果用户的系统正在使用smrsh,程序的执行权限还要
    做进一步的限制。具体的设置,请参阅smrsh的文档手册。

    12、portmapper 服务

    portmapper 是将RPC服务映射为TCP/IP服务的系统守护进程,每个RPC服务都要在
    portmapper中注册,之后才能够为系统提供服务。
    为使其更安全,应尽量去掉非必需的、系统在启动时启动、并在portmapper中注册
    的服务程序。

    13、trivial ftp (tftp) 服务

    tftp 主要用于无盘工作站的启动。它与 ftp 类似,但没有口令保护。因此如果系
    统提供tftp服务,那么其他主机上的所有用户都可以通过tftp获取本系统上的文件。
    如果该服务并不必须,应在文件/etc/inetd.conf中去掉该服务,然后重新启动
    inetd 进程(方法前面已提到)。
    如果该服务是必须的,请阅读 AUSCERT Advisory SA-93:05。



    14、TCP-Wrapper 程序包

    确保使用该程序包。
    安装新程序包,并根据具体的UNIX系统进行配置。
    激活 PARANOID 方式。
    考虑使用 RFC931 选项。
    通过在 /etc/hosts.deny 文件中加入一行"all:all",来拒绝所有的主机访问,然后
    通过在 /etc/hosts.allow文件中加入信任的主机名称来显式地列出允许访问的主机名称。
    更详尽的信息,可以参阅该程序包的帮助手册。
    建议用户记录所有在 /etc/inetd.conf 文件中提供的服务。
    建议用户考虑记录系统上所有的UDP服务。如果用户要对UDP服务做记录,就必须在
    /etc/inetd.conf 文件中使用 nowait 选项。


    发布人:netbull 来自:安全教程