基本原则: a. 及时更新所有的服务,以防止最新的威胁
                   b. 尽可能使用安全的协议
                   c. 尽可能让每台机只提供一种服务
                   d. 严格监控所有机器以及时发现恶意行为
                   e. 订阅系统相关的安全邮件列表
一.帐户和口令
   (). 帐户
       1.为每个系统维护人员建立一个独立的普通权限帐号,为监控机建立监控
      帐号,分别用于日常系统维护和系统监控;
       2FTP 服务器配置虚拟帐号;
       3.禁止除root 帐号, 系统维护人员帐号和监控机帐号之外所有帐号使用
      SHELL的权限;
       4.锁定所有在安装系统时自动建立的帐号;
          a. 查找出未锁定的系统帐号:egrep -v '.*:\*|:\!' /etc/shadow | awk -F: '{print $1}'
          b. 锁定:usermod –L <username>
   (). 口令
       1.强度:a. 10位以上;包含了字母(大写字母和小写字母),数字和特殊符号;不允许包含英文单词;
                          b. 配置:在文件/etc/pam.d/system-auth中配置;
                                          password  requisite  /lib/security/$ISA/pam_cracklib.so retry=3 minlen=10  lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1
       2.更改频率:a. 120天;
                    b. 配置新建帐户的默认更改频率:在文件/etc/login.defs中设置 pass_max_days=120
                    c. 修改当前用户的更改频率: chage –M 120 <username>
       3.历史:a. 10
                b. 配置:在文件/etc/pam.d/system-auth中配置
                  password  requisite  /lib/security/$ISA/pam_cracklib.so  retry=3  minlen=10 lcredit=-1  ucredit=-1  dcredit=-1  ocredit=-1  difok=3
password  sufficient  /lib/security/$ISA/pam_unix.so  nullok  use_authtok  md5  shadow  remember=10
       4.推荐的选择口令的方法:想出一个句子,用其中每个单词的首字母及其包含的符合,并将字母替换为跟其相似的数字或符号来生成口令;
       5.好的口令举例:Zhongguoliantong10010!))!), Beijingquhao010)!)
二.远程登录
   (). SSH
       1.只支持SSH v.2
       2.禁止直接使用root帐号登录,只允许使用普通权限帐号直接登录;
       3.更改默认端口(改为22222);
   (). 登录banner
        1. /etc/issue文件里加入登录警告
           #cat > /etc/issue << EOF
           =======================================
           Warning: The system is owned by xxxxxx,
                   Unauthorized access to this system is prohibited!!!
           =======================================
 
        2. /etc/motd文件里加入对登录成功者的警告
          #cat > /etc/motd << EOF
           =======================================
           Warning: The system is owned by xxxxxx,
                   What you do will be monitored and logged!!!
           =======================================
三.内核参数
    1.调整如下内核参数,以提高系统防止IP欺骗及DOS攻击的能力:
        net.ipv4.ip_forward = 0   # 对于LVS,网关或×××服务器,要设置为1
      net.ipv4.tcp_syncookies = 1
      net.ipv4.conf.all.accept_source_route = 0
      net.ipv4.conf.all.accept_redirects = 0
      net.ipv4.conf.all.rp_filter = 1   # 对于LVS 后端服务器
                                        # 要设置为0
      net.ipv4.icmp_echo_ignore_broadcasts = 1
      net.ipv4.icmp_ignore_bogus_error_responses = 1
      net.ipv4.conf.all.log_martians = 1
       
      kernel.sysrq = 0
      kernel.core_uses_pid = 1
四.文件系统
1mount 选项:/           ro            # 先将 /root 目录移到/home/root
                               /boot    ro
  /usr      ro
   /var       noexec, nosuid
  /tmp       noexec, nosuid
   2SUID,SGID文件:每天运行一个cron任务,看是否有新的SUID/SGID文件出现,
                   如果有,则发e-mail 给维护人员;
   3.所有人都可以写的目录:每天运行一个cron任务,看是否有新的所有人都可以
                         写的目录出现,如果有,则发e-mail 给维护人员;
   4ACL:在为多个用户分配某个文件或目录的权限时,禁止使用修改用户所属组
          实现,使用ACL实现;
   5. umask:配置为0022 0055(在/etc/bashrc中配置);
五.日志
1.日志集中存放到日志主机上, 本地保存4周的日志备份;
2.日志客户机配置:参考<<linux 系统规范>> 8. 配置系统日志;
3.日志主机配置:参考<<linux 日志主机配置指南>>
六.应用程序
   (). MySQL
       1.以mysql用户运行MySQL
       2.给管理员帐户root改名(ht-mysql-admin)
       3.给管理员帐户设置强键的口令;
       4.删除数据库test
       5.删除MySQL安装过程中自动创建的不需要的帐户,
      禁止创建非绝对必需的帐户;
       6.禁止存放任何纯文本口令在数据库中;
       7.禁止从字典里选择口令;
       8.严格控制用户权限:仅给予用户完成其工作所需的最小的权限;
                      禁止授予PROCESS, SUPER, FILE 权限给非管理帐户;
       9.禁止将MySQL数据目录的读写权限授予给mysql用户外的其它OS 用户;
       10.订阅邮件列表:MySQL Announcements
   (). Resin
       1.以用户resin运行resin
       2.跟APACHE集成使用,禁止运行在standalone 模式直接提供WEB服务
   (). Apache
       1.只编译必须使用的模块;
       2.以daemon组的daemon用户运行APACHE
       3.关闭所有的诊断页面和自动目录索引服务;
       4.删除cgi-bin目录和manul目录;
       5.尽可能不要暴露自己的真实身份;
       6.使用chrooting 限制apache对文件系统的访问(在使用了集中存储的情况下
比较难以实现);
       7.安装modsecurity模块;
       8.运用基于主机的身份验证控制对管理页面的访问;
       9.日志集中存放和分析;
      10.订阅邮件列表:Apache HTTP Server Announcements List
七.防火墙
一).软件:iptables
 ().  规则
                1.加载重要的iptables 模块:ip_tables, iptable_filter, ip_conntrack,
                                                                        ip_conntrack_ftp
2.按网卡接口(eth0, eth1,…)和数据包类型(TCP,UDP,ICMP
   自定义规则集;
3.配置每个规则集的 policy ACCEPT,但一定要在每个规则集的末尾显式DROP任何匹配该规则集但不允许的数据包(iptables –A <rule-set name> -j DROP);
4DROP 无效数据包,IP spoof 数据包;
5.只开放能满足业务需求的最少的端口;
 ().  配置
      参考<< linux 系统规范 >> 10. 配置安全 3)防火墙;
八.入侵检测和防护
1.工具:OSSEC
2.策略:在某台服务器上安装OSSEC HIDS 服务器,在需要作主机入侵检查和防护及文件完整性检测的服务器上安装OSSEC HIDS 代理,代理将相关信息发送到HIDS服务器,由服务器统一分析处理;
3.配置:参考<< HIDS OSSEC安装指南>>
九.安全审计
    ---------------------------------------------------------------
审计对象          工具                     频率
-----------------------------------------------------------
Linux 系统        nmap                     1个月
                           Nessus                  3个月
                          自动日志分析      实时
                           人工日志分析     必要时
口令文件          John the ripper     3个月
APACHE          nikto                       6个月
                           Appscan                6个月
------------------------------------------------------------
注:新安装的服务器必须经过安全审计才允许投入产品环境;
        新发布了应用后,必须立即进行安全审计;
.安全邮件列表和网站
1.订阅邮件列表:[url]www.securityfocus.com[/url] Bugtraq, Focus-Linux, Web
                                    Application Security