資源描述:
《Unix Checklist(中文)》由會(huì)員上傳分享�����,免費(fèi)在線閱讀�����,更多相關(guān)內(nèi)容在學(xué)術(shù)論文-天天文庫(kù)���。
1���、Unix計(jì)算機(jī)安全Checklist目錄1物理安全11.1控制臺(tái)安全11.2數(shù)據(jù)安全11.3用戶(hù)安全措施12網(wǎng)絡(luò)安全22.1過(guò)濾22.2阻止spoofing22.3FTP安全22.4Modem安全22.5SATAN能夠發(fā)現(xiàn)這些問(wèn)題33賬號(hào)安全33.1密碼安全33.2root賬號(hào)33.3Guest賬號(hào)43.4用戶(hù)帳號(hào)44文件系統(tǒng)安全44.1NFS安全44.2設(shè)備安全54.3腳本安全54.4安全測(cè)試54.5安全書(shū)籍64.6安全站點(diǎn)64.7廠商鏈接7Unix計(jì)算機(jī)安全Checklist該文檔為系統(tǒng)管理
2、員提供如何更好地提供系統(tǒng)安全�,該文檔不保證覆蓋全部系統(tǒng)安全,對(duì)于任何人誤用這些信息�,本文檔以及作者不承擔(dān)任何責(zé)任。本文檔以HP-UX為例講解如需了解更多內(nèi)容�����,請(qǐng)參考http://www.unixtools.com/security.html。1物理安全1.1控制臺(tái)安全1)房間上鎖(限制鑰匙數(shù)量)2)沒(méi)有其它途徑可以進(jìn)入房間(包括地板和天花板)1.2數(shù)據(jù)安全3)Backup存儲(chǔ)在安全的地方&制定合理的數(shù)據(jù)恢復(fù)計(jì)劃4)UPS確保電源穩(wěn)定供應(yīng)5)保護(hù)網(wǎng)絡(luò)線纜以防暴露6)敏感信息文件柜上鎖7)銷(xiāo)毀敏感的
3����、打印輸出介質(zhì)/磁帶1.3用戶(hù)安全措施8)當(dāng)離開(kāi)桌面時(shí)鎖屏9)不要在桌面上記錄密碼暗示10)小心使用xauth/xhost使得其他人不能讀取屏幕11)站點(diǎn)不提供歡迎標(biāo)語(yǔ)(只有授權(quán)訪問(wèn)允許看到歡迎標(biāo)語(yǔ))1網(wǎng)絡(luò)安全1.1過(guò)濾1)關(guān)閉不使用的服務(wù)(inetd.conf)2)產(chǎn)生訪問(wèn)控制列表/var/adm/inetd.sec表示那些主機(jī)可以建立連接3)在路由器上過(guò)濾所有不必要的服務(wù),只有必要的服務(wù)能夠通過(guò)4)需要TCPwrapper用于日志審計(jì)5)如果網(wǎng)絡(luò)連接Internet����,使用防火墻1.2阻止spo
4、ofing6)路由模式a)關(guān)閉sourceroutingb)阻止外部網(wǎng)絡(luò)使用內(nèi)部地址發(fā)起隊(duì)內(nèi)網(wǎng)的連接和訪問(wèn)7)NFS,hosts.equiv....這些系統(tǒng)文件中描述有資格訪問(wèn)的主機(jī)名8)如果可能���,不使用hosts.equiv或.rhosts(cron)9).rhost和.netrc文件的permission設(shè)置為6001.3FTP安全10)確保/etc/ftpusersw/所有系統(tǒng)賬號(hào)(uucp,bin.root..)11)設(shè)定最小permission和最小account12)使用FTP日志����,
5�、并查看日志13)如果可能設(shè)定目錄不可寫(xiě)入1.4Modem安全14)所有的modems都應(yīng)該有額外的密碼c)確保/etc/d_passwd的口令不能使用CRACK工具猜測(cè)出來(lái)d)每個(gè)用戶(hù)一個(gè)口令,確??诹畈荒苁褂肅RACK工具猜測(cè)出來(lái)1)所有的撥號(hào)modem都應(yīng)記錄斷開(kāi)連接(/etc/gettydefs的hupcl)1.1SATAN能夠發(fā)現(xiàn)這些問(wèn)題2賬號(hào)安全2.1密碼安全2)所有賬號(hào)都必須擁有口令3)只有rootUID是04)密碼不可猜測(cè)(基于規(guī)則的crack)5)不記錄密碼6)辦公桌上不存在密碼
6、描述7)密碼過(guò)期8)一次性使用的密碼9)如果不使用NIS或NIS+�,HP能夠使用信任的系統(tǒng)軟件包(SAM)10)不存在.netrc文件11)當(dāng)存在不符合要求的登錄請(qǐng)求時(shí),關(guān)閉該帳號(hào)2.2root賬號(hào)12)root僅僅可以在控制臺(tái)登錄(/etc/securetty)13)檢查root.文件���,不能在path中應(yīng)用.14)限制用戶(hù)數(shù)量15)使用高強(qiáng)度口令16)經(jīng)常等出rootshell����;不要在不注意的情況下留下rootshell17)每隔3個(gè)月修改一次root口令&只要某些人離開(kāi)公司18)使用普通用戶(hù)
7、登錄&使用su19)20)umasks如果可能設(shè)置為07721)不在控制臺(tái)操作時(shí)應(yīng)使用全部路經(jīng)�����。1)不允許非root寫(xiě)入訪問(wèn)任何root路徑的目錄2)在公共可寫(xiě)入目錄中不存在tmp文件1.1Guest賬號(hào)3)必要情況下���,限制時(shí)間4)使用非標(biāo)準(zhǔn)名字-而不是guest5)使用高強(qiáng)度口令6)使用受限制shell7)umasks如果可能設(shè)置為0771.2用戶(hù)帳號(hào)8)在中止該用戶(hù)帳號(hào)后刪除該帳號(hào)9)賬號(hào)不能共享10)關(guān)閉不必要的賬號(hào),bin��、sys��、uucp11)umasks如果可能設(shè)置為07712)如果
8��、可能使用受限制shell2文件系統(tǒng)安全2.1NFS安全13)只有需要才運(yùn)行NFS�����,應(yīng)用最新的patch14)小心使用/etc/exports(SUN:/etc/dfs/dfstab)15)如果可能設(shè)置為只讀16)如果可能不設(shè)置suid17)hostname使用全名2.2設(shè)備安全18)s/dev/null,/dev/tty&/dev/console設(shè)備文件可以由world寫(xiě)入�,但不能執(zhí)行1)其他設(shè)備文件不可被常規(guī)用戶(hù)讀取和寫(xiě)入。1.1腳本安全2)不要對(duì)setuid/setgid腳本執(zhí)行寫(xiě)入操作�����;而
