编号：时间：2021年x月x日书山有路勤为径，学海无涯苦作舟页码：第PAGE9页共NUMPAGES9页第PAGE\*MERGEFORMAT9页共NUMPAGES\*MERGEFORMAT9页Linux系统安全加固手册1.安装最新安全补丁:项目:注释:1安装操作系统提供商发布的最新的安全补丁各常见的Linux发布安全信息的web地址:RedHatLinux:HYPERLINK"http://www.redhat.com/support/"http://www.redhat.com/support/CalderaOpenLinux:HYPERLINK"http://www.calderasystems.com/support/security/"http://www.calderasystems.com/support/security/ConectivaLinux:HYPERLINK"http://www.conectiva.com.br/atualizacoes/"http://www.conectiva.com.br/atualizacoes/DebianGNU/Linux:HYPERLINK"http://www.debian.org/security/"http://www.debian.org/security/MandrakeLinux:HYPERLINK"http://www.linux-mandrake.com/en/fupdates.php3"http://www.linux-mandrake.com/en/fupdates.php3LinuxPPC:HYPERLINK"http://www.linuxppc.com/support/updates/security/"http://www.linuxppc.com/support/updates/security/S.u.S.E.:HYPERLINK"http://www.suse.de/security/index.html"http://www.suse.de/security/index.htmlYellowDogLinux:HYPERLINK"http://www.yellowdoglinux.com/resources/errata.shtml"http://www.yellowdoglinux.com/resources/errata.shtml2.网络和系统服务:inetd/xinetd网络服务:设置项注释:1确保只有确实需要的服务在运行:先把所有通过ineted/xineted运行的网络服务关闭,再打开确实需要的服务绝大多数通过inetd/xinetd运行的网络服务都可以被禁止,比如echo,exec,login,shell,who,finger等.对于telnet,r系列服务,ftp等,强烈建议使用SSH来代替.2设置xinetd访问控制在/etc/xinetd.conf文件的”default{}”块中加入如下行:only_from=<net>/<num_bit><net>/<num_bit>…每个<net>/<num_bit>(比如192.168.1.0/24)对表示允许的源地址启动服务:设置项注释:1关闭NFS服务器进程:运行chkconfignfsoffNFS通常存在漏洞会导致未授权的文件和系统访问.2关闭NFS客户端进程:运行chkconfignfslockoffchkconfigautofsoff3关闭NIS客户端进程:chkconfigypbindoffNIS系统在设计时就存在安全隐患4关闭NIS服务器进程:运行chkconfigypservoffchkconfigyppasswdoff5关闭其它基于RPC的服务:运行chkconfigportmapoff基于RPC的服务通常非常脆弱或者缺少安全的认证,但是还可能共享敏感信息.除非确实必需,否则应该完全禁止基于RPC的服务.6关闭SMB服务运行chkconfigsmboff除非确实需要和Windows系统共享文件,否则应该禁止该服务.7禁止Netfs脚本chkconfignetfsoff如果不需要文件共享可禁止该脚本8关闭打印机守护进程chkconfiglpdoff如果用户从来不通过该机器打印文件则应该禁止该服务.Unix的打印服务有糟糕的安全记录.9关闭启动时运行的XServersed's/id:5:initdefault:/id:3:initdefault:/'\</etc/inittab>/etc/inittab.newmv/e