2023年7月27日发(作者：)

root

root

root

root

root

root

root

644(rw-r — r--)

644(rw-r — r--)

600(rw-------)

600(rw-r--r--)

600(rw-------)

755(rwxr-xr-x)

400(r--------)

/etc/fstab

/etc/passwd

/etc/shadow

/etc/group

/etc/services

/etc/aliases

/etc/securetty

: 设置不可改变 chattr +i /etc/service。

: 注释掉 ”decode,games,ingres,system,toor,uucp,manager,dumper,operator。”

以下文件是危（wei）险文件，需要删除：

/etc/

/etc/

$HOME/.rhosts

$HOME/.shosts

检查 PATH环境变量的目录中是否存在除白名单以外的带有S 标志位的文件。

白名单： /sbin/

/sbin/pam_timestamp_check

/sbin/netreport

/sbin/unix_chkpwd

/bin/mount

/bin/ping6

/bin/su

/bin/cgexec

/bin/ping

/bin/umount

/bin/cgclassify /usr/sbin/userhelper

/usr/sbin/fping

/usr/sbin/usernetctl

/usr/sbin/lockdev

/usr/sbin/postdrop

/usr/sbin/fping6

/usr/sbin/postqueue

/usr/bin/crontab

/usr/bin/chfn

/usr/bin/write

/usr/bin/newgrp

/usr/bin/chage

/usr/bin/at

/usr/bin/pkexec

/usr/bin/wall

/usr/bin/ssh-agent

/usr/bin/gpasswd

/usr/bin/sudo

/usr/bin/chsh

/usr/bin/staprun

/usr/bin/passwd

检查用户 home 目录是否存在 setuid 或者 setgid 文件。

检查用户目录和文件是否属于正确的用户和用户组。

检查用户目录是否存在设备文件，若存在则有异常。

1、口令至少为 8 位，并且包括特殊字符

2 、口令不要太简单，不要以你或者有关人的相关信息构成的密码，比如生日、电话、

姓名的拼音或者缩写、单位的拼音或者英文简称等等。

3、口令必须有有效期

4、发现暴力破解，需要更换口令

1 、密码不能与用户名相同。

2 、使用弱密码字典进行检测。

1 、 检查可登录用户是否存在空密码情况；

2 、 禁止使用最近使用过的 5 个密码；

编辑 cat /etc/pam.d/system-auth 文件：增加

password sufficient pam_ md5 shadow nullok try_first_pass use_authtok remember=5

3 、 设置服务器口令有效期为 3 个月；

4 、 口令长度至少 8 位；

5 、 只允许服务器管理组(wheel 或者其他)使用su 命令切换到root 用户。

编辑 /etc/pam.d/login(终端) 和 /etc/pam.d/sshd(远程 ssh)文件，在#%PAM-1.0 下添加如

下配置：

auth required pam_ deny=5 lock_time=600 even_deny_root root_unlock_time=600

参数解释：

even_deny_root：也限制 root 用户。

deny：设置普通用户和 root 用户连续错误登陆的最大次数，超过最大次数，则锁定该

用户。

unlock_time ：设定普通用户锁定后，多少时间后解锁，单位是秒。

root_unlock_time：设定 root 用户锁定后，多少时间后解锁，单位是秒。

UID 为 0 的任何用户都拥有系统的最高特权，保证惟独 root 用户的 UID 为 0。

1 、 设置服务及 ip 访问限制条件，编辑 /etc/ 和/etc/ 文件。

2 、 针对极重要的服务器可考虑采用 SSH 证书登录验证。

1 、 清除不必要的系统帐户

缺省账号是攻击者入侵的常用入口：

adm, bin, daemon, ip, sync, shutdown, halt, news, uucp, operator, games(如果不使用 X

Window，则删除), gopher, ftp(如果不使用 ftp 服务则删除)等

2 、 禁止在 passwd 文件中包含个人信息，防止被 finger 之类程序泄露。

3 、 保证 uid 、gid 的惟一性

4 、 修改 shadow,passwd,gshadow 文件不可改变位

chattr +i /etc/passwd

chattr +i /etc/shadow

chattr +i /etc/group

chattr +i /etc/gshadow

两个基本原则：

1 、 只对外开放所需要的服务，关闭所有不需要的服务。对外提供的服务越少，所面临

的外部威胁越小。

2 、 将所需的不同服务分布在不同的主机上，这样不仅提高系统的性能，同时便于配置

和管理，减小系统的安全风险。

1 、 在主机上禁止以下服务，如果是必须的，需要通过防火墙、路由指定 ip 信任访问。

2 、 确保惟独真正需要的服务才被允许外部访问，并通过路由器过滤检查。

7

11

15

67

69

87

95

111

144

161

TCP/UDP

TCP/UDP

UDP

TCP/UDP

UDP

TCP/UDP

TCP/UDP

TCP/UDP

TCP/UDP

UDP

回显服务。

当前登陆用户列表。

当前主机和网络信息。

引导协议( BOOTP)服务；还被动态主机配置协议

(DHCP)服务使用，普通 dhcp 服务器使用。

小文件传输协议(TFTP)。

Any Private Terminal Link。

Telnet 协议扩展。

用于远程命令执行的远程过程调用 (RPC) 协议， 被网

络文件系统(NFS)使用。

Universal Management Architecture。

SNMP 允许远程管理设备。所有配置和运行信息的储

存在数据库中，通过 SNMP 可获得这些信息。许多管

理员的错误配置将被暴露在 Internet 。Cackers 将试图

echo

systat

netstat

bootps

tftp

link

supdup

sunrpc

news,uma

snmp

使用默认的密码 public 、private 访问系统。他们可能

会试验所有可能的组合。 SNMP 包可能会被错误的指

向用户的网络。

xdmcp

exec

biff[comsat]

177

512

512

TCP/UDP

TCP

UDP

UDP

许多入侵者通过它访问 X-windows 操作台，它同时需

要打开 6000 端口。

用于对远程执行的进程进行验证。

异步邮件客户(biff)和服务(comsat)。

是从使用 cable modem 或者 DSL 登陆到子网中的

UNIX 计算机发出的广播。这些人为入侵者进入他们的系统

提供了信息。

whod 用户记录守护进程。

不必登录的远程 shell(rshell)和远程复制(rcp)。

UNIX 系统日志服务。

打印服务

UNIX-to-UNIX 复征服务

选路信息协议(RIP)，攻击者更新恶意路由信息，可

能有以下几种危害：

1、僵尸网络

2、监听流量

3、利用数据包绕过防火墙

login, remote login

513

who

shell

syslog

printer

uucp

route

513

514

514

515

540

520

UDP

TCP

UDP

UDP

TCP/UDP

UDP

openwin

nfs

x11

2000

2049

600[0-n]

UDP

UDP/TCP

UDP

sun openwin，类似于 x11，用于远程窗口连接，容易

被欺骗或者会话劫持。

nfs 服务， nfs 服务可能由于配置不当导致安全隐患，

使用时需要注意。

X 窗口系统服务，可能会产生以下安全事件：

1 、 会话欺骗

2 、 会话劫持

3 、 屏幕、键盘监控

4 、 插入恶意键盘数据和命令

5 、 数据欺骗

6 、 拒绝服务(DOS)

建议不要在生产环境中运行 x-windows 服务。

1、以下服务可能导致远程溢出和 dos 攻击，需要禁用：

ted

rpcbind

rver

sadmind

2、使用 ssh 代替 telnetd、ftpd 、pop 等服务

由于传统的网络服务程序，如ftp 、pop 和 telnet，其本质都是不安全的；因为他们

在网络中采用明文传输数据、 账号和口令， 容易造成数据泄漏； 所以需要用安全的协议

代替传统网络服务程序；

3 、 服务内部使用的账户不能使用 root，如数据库、 ftp 等；

4 、 禁用 tftp 服务；

5 、 卸载 sendmail；

6 、 屏蔽 finger 命令。

chown root:root /usr/bin/crontab

chmod u-s /usr/bin/crontab

删除/etc/security/ 目录下的文件

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

iptables 丢弃 icmp 包设置如下规则：

-A INPUT -p icmp -j DROP

注意：此条规则可能会导致局域网 udp 包无响应，根据需要配置

#!/bin/bash

for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do

echo 0 > $f

done

配置 /etc/rc.d/init.d 目录权限为惟独 root 可写。

建议将 umask 值设置为 0027，表示新建的文件权限为 0750。

设置远程账户的登陆超时：

以 root 用户登录，输入 vi /etc/profile 命令，编辑 profile 文件。

查找 TMOUT，若没有，则可以在文件最后添加如下语句：

export TMOUT=400

如果查找到了，直接设置时间就 OK；400 表示登录时最长期。

配置系统 dns 为企业可信任 dns 服务器：

编辑/etc/文件添加 “nameserver ”。

确保“/etc/securetty”文件仅包含 console、vc/x 和 ttyx (x 代表数字)。

1 、 开启 audit 审计

开启 auditd 服务并做正确的配置。

2 、 审计历史记录

对 history 的历史记录进行审计。

3 、 配置日志文件

a 、 确定以下文件存在并正确记录日志

/var/log/secure

/var/run/utmp

/var/log/wtmp

b 、 配置以下惟独 root 用户可读写，其他用户无任何权限，权限值为600

/var/run/utmp

/var/log/secure

/root/.bash_history

/var/log/wtmp

/var/log/messages

/var/log/btmp

/var/log/cron

c 、 日志定期进行备份

对系统日志应定期进行备份。

SSH 配置文件存在于/etc/ssh/sshd_config，以下的配置修改基于此文件进行。

配置如下：

Protocol 2

配置如下：

PermitRootLogin no

修改 ssh 服务的默认端口，降低扫描工具的扫描几率；配置如下：

Port 12345

如有 iptables 限制端口访问，需要增加通过规则如下：

-A INPUT -m state --state NEW -m tcp -p tcp --dport 12345 -j ACCEPT

当使用 XShell, Xftp, WinSC SecureCRT, SecureFX .....等.等软件登录时，软件都提供记住密

码的功能， 使下次再登陆的时候无须输入密码就可以进入系统。 这样做的确非常方便， 但是

电脑一旦丢失或者被其他人进入， 会有非常大的危（wei）险。 所以系统管理员或者登陆人员应禁止使 用这些客户端的记住密码功能。

为避免密码泄漏和暴力破解的风险，尽量使用静态口令+动态口令认证的方式登陆机器，

如 opt 等。

配置如下：

PermitEmptyPasswords no