业务安全 SUSE Linux 主机安全加固(5)

业务安全 SUSE Linux 主机安全加固通用操作指导书

# chkconfig ntp on

步骤 3 启动服务

SUSE 9

# /etc/rc.d/xntpd start SUSE 10 # /etc/rc.d/ntp start

步骤 4 停止服务

SUSE 9

# /etc/rc.d/xntpd stop SUSE 10 # /etc/rc.d/ntp stop

操作验证：

1. 验证方法：

查看ntp 的配置文件：# more /etc/ntp.conf 查看ntp进程： SUSE 9： #ps –elf | grep xntpd SUSE 10： # ps –elf | grep ntp 查看当前时间：# date 2. 预期结果：

与NTP服务器保持时间同步。

3.3.4 SEC-SUSE-SVC-04-停用NFS服务

安全要求：

NFS服务：如果没有必要，需要停止NFS服务；如果需要NFS服务，需要限制能够访问NFS服务的IP范围。

通用策略：

实施时根据业务加固策略确定是否能够禁用NFS服务。如果确实需要开启NFS服务，需要限制能访问本机NFS服务的客户端IP。

第21页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

Suse 10 中没有nfslock服务

风险说明：

如果限制IP错误，NFS客户端将无法访问共享目录。需要事先确定能使用本机NFS服务的客户端及其读写权限。

操作方法：

1. 需要停止NFS服务：

步骤 2 关闭NFS服务：

#chkconfig nfs off #chkconfig nfsserver off #chkconfig nfsboot off #chkconfig nfslock off #/etc/init.d/nfs stop #/etc/init.d/nfsserver stop #/etc/init.d/nfsboot stop #/etc/init.d/nfslock stop

步骤 3 配置/etc/fstab文件：

#vi /etc/fstab

/etc/fstab的格式如下：

fs_spec fs_file fs_type fs_options fs_dump fs_pass

上述格式为该文件中的六个字段的名称，如fs_type即表示文件系统类型。

注释掉里面fs_spec字段或fs_type字段中含有NFS字样的行。

步骤 4 删除NFS目录文件：

#rm /etc/exports

2. 需要开启NFS服务：

步骤 1 如果需要NFS服务，需要限制能够访问NFS服务的IP范围：

编辑/etc/exports文件： #vi /etc/exports

第22页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

添加如下行：

/dir/work 192.168.1.12(ro，root_squash） 其中/dir/work为欲分享的目录；

192.168.1.12为登录此目录的主机IP（也可以是主机名），这里可以是一个IP段；

ro表示是只读模式；

root_squash表示禁止root写入该目录。

步骤 2 配置完成后执行#exportfs –a命令使改动立刻生效。

步骤 3 通过限制允许访问NFS服务端的主机IP来限制对NFS的访问，具体请

参照3.4.10节“SEC-SUSE-AUTH-10-限制允许登录到设备的IP地址”。

操作验证：

1. 验证方法：

步骤 1 查看nfs服务是否关闭

#chkconfig nfs #chkconfig nfsserver #chkconfig nfsboot

#chkconfig nfslock（suse 10下不用检查此服务）

步骤 2 若nfs服务状态为开启，则查看/etc/exports文件，通过不在文件允许范围的主机访问该服务端共享的目录

2. 预期结果：

步骤 1 nfs服务为关闭状态；

步骤 2 若nfs服务为开启状态，通过不在/etc/exports文件允许范围的主机访问该

服务端共享的目录失败。

3.3.5 SEC-SUSE-SVC-05-禁用无关启动服务

安全要求：

列出系统启动时自动加载的进程和服务列表，不在此列表的需关闭。

通用策略：

仅关闭产品确认的允许关闭的服务。

在SUSE Linux系统中以下系统服务必须启动：

第23页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

auditd、cron、haldaemon、kbd、network、portmap、random、resmgr、running-kernel、syslog

建议关闭以下服务（需根据各产品线实际加固策略实施，某些服务如vsftp、pure-ftp等等关闭可能会影响业务）： Makefile、SuSEfirewall2_init、SuSEfirewall2_setup、aaeventd、acpid、alsasound、apache2、atd、autofs、autoyast、boot.apparmor、boot.evms、boot.multipath、boot.sched、boot.scsidev、chargen、chargen-udp、cups、cups-lpd、cupsrenice、daytime、daytime-udp、drbd、earlykbd、echo、echo-udp、esound、evms、fam、gpm、gssd、heartbeat、idmapd、ipmi、ipvsadm、iscsitarget、joystick、ksysguardd、ldap、ldirectord、lm_sensors、mdadmd、microcode、multipathd、netstat、nfsserver、novell-zmd、nscd、ntp、o2cb、ocfs2、open-iscsi、openct、oracle、owcimomd、pcscd、postfix、powerd、powersaved、pure-ftpd、rexec、rlogin、rpasswdd、rpmconfigcheck、rsh、rsync、rsyncd、sapinit、saslauthd、servers、services、skeleton.compat、slurpd、smartd、smbfs、smpppd、snmpd、splash、splash_early、suseRegister、svcgssd、systat、time、time-udp、vsftpd、xend、xendomains、xfs、ypbind

风险说明：

1. 第三方系统可能需要使用这里禁用的服务。

2. Unix/Linux上的很多软件对系统服务具有依赖性，服务之间也具有依

赖性。关闭服务可能造成软件或者服务不能正常运行。 3. 禁用服务可能影响以后的业务升级和新业务的上线。

操作方法：

步骤 1 服务关闭方法：

# chkconfig 服务名 off

步骤 2 停止系统启动服务：

将/etc/rcn.d下的不需要启动的服务改名成不以S打头（其中n=0~6）。

操作验证：

1. 验证方法： # chkconfig -l 2. 预期结果：

仅有允许的服务处于开启状态

第24页, 共60页

业务安全 SUSE Linux 主机安全加固通用操作指导书

3.3.6 SEC-SUSE-SVC-06-修改SNMP默认团体名

安全要求：

如果没有必要，需要停止SNMP服务；如果确实需要使用NFS服务，需要修改SNMP Community。

通用策略：

网管软件可能使用snmp协议获取网元信息，I2000网管的UOA组件实现了snmp代理功能，不使用系统自带的snmpd服务，这种情况只需要停止系统snmpd服务即可，关闭方法参照3.3.5节“SEC-SUSE-SVC-05-禁用无关启动服务”。在实施时需要先了解现网是否使用了SUSE系统自带的snmpd服务。

修改默认团体名后，请务必同步修改snmp客户端上的对应信息，否则snmp客户端将无法连接snmpd服务。

风险说明：

修改默认团体名后，请务必同步修改snmp客户端如I2000上的对应信息，否则snmp客户端将无法连接snmpd服务。

操作方法：

SUSE 9：

步骤 1 修改snmp配置文件：

#vi /etc/snmpd.conf

找到以rocommunity或rwcommunity开头的行，如： rocommunity public 127.0.0.1

其中的第二个字段（public）即为团体名，用新的团体名称替换该字段： rocommunity community_name 127.0.0.1

步骤 2 重启snmp服务：

#rcsnmpd restart

SUSE 10：

第25页, 共60页

百度搜索“77cn”或“免费范文网”即可找到本站免费阅读全部范文。收藏本站方便下次阅读，免费范文网，提供经典小说综合文库业务安全 SUSE Linux 主机安全加固(5)在线全文阅读。