[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]

Debian 安全手册
附录 B - 配置检查清单

本附录以精简的检查清单格式，简要重申本手册其他章节中的要点。它旨在为已经阅读过本手册的人提供快速摘要。还有其他优秀的检查清单可用，包括 Kurt Seifried 的 Securing Linux Step by Step 和 CERT's Unix Security Checklist。

FIXME: 这是基于手册 v1.4 版本，可能需要更新。

• 限制物理访问和启动能力

  • 在 BIOS 中启用密码。

  • 在系统 BIOS 中禁用软盘/光盘/... 启动。

  • 设置 LILO 或 GRUB 密码（分别是 /etc/lilo.conf 或 /boot/grub/menu.lst）；检查 LILO 或 GRUB 配置文件是否为只读保护。

• 分区

  • 将用户可写数据、非系统数据和快速变化的运行时数据分离到它们自己的分区

  • 在 /etc/fstab 中，为不应包含二进制文件的 ext2/3 分区（例如 /home 或 /tmp）设置 nosuid,noexec,nodev 挂载选项。

• 密码卫生和登录安全

  • 设置一个好的 root 密码

  • 启用密码影子和 MD5

  • 安装并使用 PAM

    • 向 PAM 添加 MD5 支持，并确保（一般来说）/etc/pam.d/ 文件中授予机器访问权限的条目，将其 pam.d 文件中的第二个字段设置为 requisite 或 required。

    • 调整 /etc/pam.d/login，使其仅允许本地 root 登录。

    • 同时在 /etc/security/access.conf 中标记授权的 tty，并通常设置此文件以尽可能限制 root 登录。

    • 如果您想设置每用户限制，请添加 pam_limits.so

    • 调整 /etc/pam.d/passwd：将密码的最小长度设置得更高（可能是 6 个字符），并启用 MD5

    • 如果需要，将组 wheel 添加到 /etc/group；将 pam_wheel.so group=wheel 条目添加到 /etc/pam.d/su

    • 对于自定义的每用户控制，在适当的地方使用 pam_listfile.so 条目

    • 拥有一个 /etc/pam.d/other 文件并使用严格的安全设置进行配置

  • 在 /etc/security/limits.conf 中设置限制（请注意，如果您正在使用 PAM，则不使用 /etc/limits）

  • 加强 /etc/login.defs；此外，如果您启用了 MD5 和/或 PAM，请确保在此处也进行相应的更改

  • 在 /etc/ftpusers 中禁用 root ftp 访问

  • 禁用网络 root 登录；使用 su(1) 或 sudo(1)。（考虑安装 sudo）

  • 使用 PAM 来加强对登录的额外约束？

• 其他本地安全问题

  • 内核调整（参见 配置内核网络功能，第 4.17.1 节）

  • 内核补丁（参见 添加内核补丁，第 4.13 节）

  • 加强日志文件权限（/var/log/{last,fail}log，Apache 日志）

  • 验证是否在 /etc/checksecurity.conf 中启用了 SETUID 检查

  • 考虑使用 chattr（仅限 ext2/3 文件系统）使某些日志文件只能追加，并将配置文件设为不可变

  • 设置文件完整性（参见 检查文件系统完整性，第 4.16.3 节）。安装 debsums

  • 将所有内容记录到本地打印机？

  • 将您的配置刻录到可启动的 CD 上并从中启动？

  • 禁用内核模块？

• 限制网络访问

  • 安装和配置 ssh（建议在 /etc/ssh/sshd_config 中设置 PermitRootLogin No，PermitEmptyPasswords No；另请注意文本中的其他建议）

  • 如果安装了 in.telnetd，则禁用或删除它

  • 通常，使用 update-inetd --disable 禁用 /etc/inetd.conf 中的无用服务（或完全禁用 inetd，或使用 xinetd 或 rlinetd 等替代品）

  • 禁用其他无用的网络服务；如果您不需要 ftp、DNS、WWW 等，则不应运行它们，并定期监控它们。在大多数情况下，邮件应该运行，但仅配置为本地传递。

  • 对于您需要的那些服务，不要仅仅使用最常见的程序，寻找 Debian 附带的（或来自其他来源的）更安全的版本。无论您最终运行什么，请确保您了解风险。

  • 为外部用户和守护进程设置 chroot jail。

  • 配置防火墙和 tcpwrappers（即 hosts_access(5)）；请注意文本中关于 /etc/hosts.deny 的技巧。

  • 如果您运行 ftp，请将您的 ftpd 服务器设置为始终 chroot 到用户的主目录

  • 如果您运行 X，禁用 xhost 身份验证，而改用 ssh；如果可以，最好禁用远程 X（在 X 命令行中添加 -nolisten tcp，并通过将 requestPort 设置为 0 来关闭 /etc/X11/xdm/xdm-config 中的 XDMCP）

  • 禁用对打印机的远程访问

  • 通过 SSL 或 ssh 隧道传输任何 IMAP 或 POP 会话；如果您想向远程邮件用户提供此服务，请安装 stunnel

  • 设置日志主机并配置其他机器以将日志发送到此主机 (/etc/syslog.conf)

  • 保护 BIND、Sendmail 和其他复杂的守护进程（在 chroot jail 中运行；以非 root 伪用户身份运行）

  • 安装 tiger 或类似的入侵检测工具。

  • 安装 snort 或类似的入侵检测工具。

  • 如果可以，不要使用 NIS 和 RPC（禁用 portmap）。

• 策略问题

  • 教育用户了解您的策略的理由和方法。当您禁止了在其他系统上经常可用的某些内容时，请提供文档，解释如何使用其他更安全的方式来实现类似的结果。

  • 禁止使用使用明文密码的协议（telnet、rsh 及其同类；ftp、imap、http，...）。

  • 禁止使用使用 SVGAlib 的程序。

  • 使用磁盘配额。

• 随时了解安全问题

  • 订阅安全邮件列表

  • 配置 apt 以进行安全更新 -- 向 /etc/apt/sources.list 添加 http://security.debian.org/ 的条目（或多个条目）

  • 还要记住定期运行 apt-get update ; apt-get upgrade（也许作为 cron 任务安装？）如 执行安全更新，第 4.2 节 中所述。

[ 上一页 ] [ 目录 ] [ 1 ] [ 2 ] [ 3 ] [ 4 ] [ 5 ] [ 6 ] [ 7 ] [ 8 ] [ 9 ] [ 10 ] [ 11 ] [ 12 ] [ A ] [ B ] [ C ] [ D ] [ E ] [ F ] [ G ] [ H ] [ 下一页 ]

Debian 安全手册