以下为《通用UNIX系统安全检查列表》的无排版文字预览，完整格式请下载

下载前请仔细阅读文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。

通用UNIX/Linux系统安全检查列表(Security Checklist)

网络安全

1.1 过滤

1.1.1 在inetd.conf中禁止使用你不需要的 服务

1.1.2 是否已经禁止了”r”系列 服务

1.1.3 是否能用更安全的版本替代（比如ssh2）

1.1.4 路由器要在(TCP)512,513,514等端口进行过滤

1.1.5 只为允许访问的机器创建访问控制列表 /var/adm/inetd.sec

1.1.6 从路由中过滤不必要的 服务 仅有必要的 服务 能通路由器上的过滤规则

1.1.7 采用TCP wrappers 提供更强的访问控制和日志记录功能

1.2 防止欺骗

1.2.1 路由器

1. 关闭来源发送

2. 应用过滤器保证从外部网络进来的信息包的源地址没有与内部网络里的IP 地址相匹配

3. 确保只有有资格的主机名存在于NFS, hosts.equiv等系统文件里

4. 尽量不要使用hosts.equiv和.rhosts

5. 如果要使用.rhost和 .netrc 文件,必须把权限设置为600

1.3 网络 服务 安全

1.3.1 /etc/inetd.conf 文件

1. 确保该文件的许可权限设置为600

2. 确保该文件的属主是root

3. 禁止任何不需要的 服务

1.3.2 /etc/services 文件

1. 确保该文件的许可权限设置为644

2. 确保该文件的属主是root

1.3.3 tcp _ wrapper

1. 保护所有/etc/inetd.conf里允许的 服务

2. 考虑保护任何允许的udp 服务 ，如果保护的话必须在/etc/inetd.conf里使用nowait选项

1.3.4 /etc/aliases 文件

1. 在该行的开头用一个“#”号以禁止“decode”别名。为了使改动生效，必须运行/usr/bin/newaliases

1.3.5 /etc/hosts.lpd 文件

1. 确保该文件的第一个字符不是“-”

2. 确保该文件的许可权限设置为600

3. 确保该文件的属主是root

4. 确保在该文件中不出现“!”或“#”字符，该文件没有注释字符

5. 确保已经打上了最新的补丁

1.3.6 sendmail

1. 使用最新版本的sendmail

2. 如果使用操作系统提供的sendmail,确保安装了最新的安全补丁

3. 确保使用的sendmail 版本没有允许wizard 口令

4. 确保如果在/etc/sendmail.cf里有“OW”开头的行，则后面仅跟有一个“*”

5. 把sendmail(8)的最小日志记录级别增加到级别9，这有助于探测对sendmail 漏洞 的利用

1.3.7 fingerd

1. 如无特殊需要，尽量不要使用该 服务

2. 使用最新版本的fingerd 软件

1.3.8 tftp

1. 如无特殊需要，尽量不要使用该 服务

2. 一定在inetd.conf文件里设置目录访问限制

1.3.9 httpd（WWW 服务 ）

1. 确保使用最行版本的httpd 服务 器 软件 2. 以一个专门创建的非特权用户（比如 nobody）的身份来运行httpd 服务 程序 3. 不要以root身份来运行httpd 服务 程序 4. 可能的话，在一个chroot(1)环境里运行httpd来限制http客户访问文件系统的其他部分

5. 仔细配置 服务 器程序的选项 内容过长，仅展示头部和尾部部分文字预览，全文请查看图片预览。 ( -perm -2 -o -perm -20 \) -exec ls -ldg {} \;

A.10 查找代SUID位某某SGID位的文件

# /bin/find / -type f \( -perm -004000 -o -perm -002000 \) -exec ls -lg {} \;

A.11 查找 /dev 下的普通文件

# /bin/find /dev -type f -exec ls -l {} \;

A.12 查找块或字符特殊文件

# /bin/find / \( -type b -o -type c \) -print | grep -v '^/dev/'

[文章尾部最后300字内容到此结束,中间部分内容请查看底下的图片预览]

以上为《通用UNIX系统安全检查列表》的无排版文字预览，完整格式请下载

下载前请仔细阅读上面文字预览以及下方图片预览。图片预览是什么样的，下载的文档就是什么样的。