4.1服务过滤Filteringl 在SERVER上禁止这些服务
l 如果一定要开放这些服务,通过防火墙、路由指定信任IP访问 。
l 要确保只有真正需要的服务才被允许外部访问,并合法地通过用户的路由器过滤检查 。尤其在下面的服务不是用户真正需要时候,要从路由器上将其过滤掉
NAME PORT PROTOCOL
echo 7 TCP/UDP
systat 11 TCP
netstat 15 TCP
bootp 67 UDP
tftp 69 UDP
link 87 TCP
supdup 95 TCP
sunrpc 111 TCP/UDP
news 144 TCP
snmp 161 UDP
xdmcp 177 UDP
exec 512 TCP
login 513 TCP
shell 514 TCP
printer 515 TCP
biff 512 UDP
who 513 UDP
syslog 514 UDP
uucp 540 TCP
route 520 UDP
openwin 2000 TCP
nfs 2049 UDP/TCP
x11 6000 to 6000+n TCP
注意:有些UDP服务可以导致DOS攻击和远程溢出,如
rpc.ypupdated
rpcbind
rpc.cmsd 100068
rpc.statd 100024
rpc.ttdbserver 100083
sadmind 100232/10
l 配置完成以后,利用网络扫描器模拟入侵者从外部进行扫描测试 。如利用nmap
4.2 /etc/inetd.confl 确保文件权限设置为600
l 确保文件属主设置为root
l 注释掉所有不需要的服务,需要重新启动inetd进程
l 使用netstat –an命令,查看本机所提供的服务 。确保已经停掉不需要的服务
4.3 R 服务不必使用R服务
l 关闭R服务,Red hat 6.2在/etc/inetd.conf文件中注释以下服务,并且重新启动inetd服务 。Red hat 7.0在/etc/xinetd.d目录中删除
exec 512 TCP
Rlogin 513 TCP
Rshell 514 TCP
l 预先生成$HOME/.rhosts,/etc/hosts.equiv文件,并且设置为0000,防止被写入”+ +” 。(攻击者经常使用类似符号链接或者利用ROOTSHELL写入,并且远程打开受保护主机的R服务)
必须使用R服务
l 使用更安全版本的r服务 。如Wietse Venema的logdaemon程序等 。
l 在路由或者防火墙上禁止外部网络访问受保护主机的512,513 and 514 (TCP)端口 。
l 使用TCP WRAppERS设置可访问受保护主机R服务的信任机器 。
4.4 Tcp_wrapper该软件的作用是在Unix平台上过滤TCP/UDP服务,它目前已被广泛用于监视并过滤发生在主机上的ftp、telnet、rsh、rlogin、tftp、finger等标准TCP/UDP服务 。
当系统安装TCP_wrapper之后,in.conf文件中 /usr/sbin/in.telnetd的in.telnetd会被TCP_wrapper附带的tcpd程序取代 。该程序截获来自客户端的服务请求、记录请求发生的时间和IP地址,并按访问控制进行检查 。当本次连接的用户、请求源的IP等信息符合管理员的预设值时,才将该次请求传递给系统in.telnetd,由系统in.telnetd完成后续工作;若连接不符合要求,该连接请求将被拒绝 。同样,ftp、 rsh等TCP/UDP服务均可被tcpd取代,由tcpd充当二传手 。
l 使用PARANOID 模式,用此参数后需要在/etc/hosts文件中加上允许使用telnet或ftp服务的客户端的名字和IP地址
l 在/etc/hosts.deny中设置为all:all,默认所有不允许
Access is denied by default.
# Deny access to everyone.
ALL: ALL@ALL, PARANOID #Matches any host whose name does not match its address, see
bellow.
l 在/etc/hosts.allow中设置允许的服务和地址
如:sshd: 208.164.186.1 gate.openarch.com
l 使用tcpdchk检查
l UDP服务使用tcpwrapper时要使用/etc/inetd.conf中的nowait选项 。
4.5 /etc/hosts.equiv 文件不必使用/etc/hosts.equiv文件
l 从系统中删除此文件
l 预先生成/etc/hosts.equiv文件,并且设置为0000,防止被写入”+ +” 。(攻击者经常使用类似符号链接或者利用ROOTSHELL写入,并且远程打开受保护主机的R服务)
必须使用/etc/hosts.equiv文件
l 确保此文件中可信赖主机为必须的 。
l 预先生成/etc/hosts.equiv文件,并且设置为0000,防止被写入”+ +” 。(攻击者经常使用类似符号链接或者利用ROOTSHELL写入,并且远程打开受保护主机的R服务)
l 如果使用NIS或者NIS+的话,此文件中的组应该是容易管理的 。
l 信赖主机必须确保可靠
l 信赖主机使用全名,如例如 hostname.domainname.cn
l 任何时候都不应该出现”+”字符,因为这样会使任何一台主机上的任何用户都可以不加口令地访问系统
l 文件中不要使用'!' 和'#'符号,因为在该文件中那并不表示注释信息
l 文件开始字符不应该为'-'.,请查阅C8
l 确保该文件的访问权限被设置成600 。
l 文件属主确保为ROOT 。
l 在每次安装补丁程序或操作系统之后,都应该重新检查该文件夹的设置情况
推荐阅读
- centos7安全加固方案
- Linux Shell中单引号、双引号、反引号的解释
- Linux系统中shell命令执行过程
- 浅谈Go定时器应用
- 在Windows和Linux中找出磁盘分区使用的文件系统,就是这么简单
- Linux环境下100个开源免费专业软件推荐之17款产品应用软件1-10
- Sequence Lock Linux同步原语之顺序锁
- Linux系统扩展oracle数据库所在的分区
- 过安全狗 记一次艰难的SQL注入
- Linux常用监视和故障排查命令详解