本附录以精简清单的形式简要地重申本手册中其它部分的一些内容.
这只是为那些已经阅读本文档的人做个快速的总结. 它还包括其它一些不错的清单, 如
Securing
Linux Step by Step
和 CERT's Unix Security
Checklist
.
FIXME: 这些内容基于手册的 1.4 版, 也许需要更新了..
/etc/lilo.conf
或
/boot/grub/menu.lst
, 分别); 检查LILO 或 GRUB
配置文件是否为只读保护.
/etc/fstab
中对 ext2 分区, 如 /tmp
设置
nosuid, noexec, nodev mount 选项.
/etc/pam.d/
下的文件中授权对机器的访问条目, 第二个域设为 requisite 或
required
/etc/pam.d/login
以使只允许本地 root 登陆.
/etc/security/access.conf
中标记 authorized tty:s
,通常配置此文件以尽量限制 root 登录.
/etc/pam.d/passwd
: 增大密码的最小长度设置(可能为 6 字符)
并启用 MD5
/etc/group
中增加 wheel 组; 在
/etc/pam.d/su
中增加 pam_wheel.so group=wheel条目
/etc/pam.d/other
文件, 以设置更高的安全性.
/etc/security/limits.conf
(注意 如果您使用 PAM,
则/etc/limits
不会被使用)
/etc/login.defs
; 还有, 如果您启用了 MD5 和/或 PAM,
确保在对应处也做了修改
/etc/ftpusers
中禁止 root 的 ftp 访问
su(1)
或 sudo(1)
.(考虑安装
sudo
)
/var/log/{last,fail}log
, Apache 日志)
/etc/checksecurity.conf
中启用了 SETUID 检查
debsums
ssh
(建议在 /etc/ssh/sshd_config
中设置
PermitRootLogin No, 注意文章中的其它建议)
in.telnetd
update-inetd --disable
禁用
/etc/inetd.conf
中无用的服务(或全部禁用 inetd
, 或使用
xinetd
或 rlinetd
替换)
chroot
jail.
hosts_access(5)
); 注意文章中有关
/etc/hosts.deny
的技巧.
chroot
了的用户家目录内
ssh
替代; 最好禁用远程X
如果可以的话(为X命令行增加 -nolisten tcp 选项,通过在
/etc/X11/xdm/xdm-config
中设置 requestPort 为 0, 关闭 XDMCP)
ssh
隧道;
如果为远程邮件用户提供此项服务,安装 stunnel
/etc/syslog.conf
)
chroot
中;
以非root pseduo 用户运行)
telnet
, rsh
和类似的; ftp,
imap, http, ...).
apt
-- 在 /etc/apt/sources.list
中增加一条(或多条)有关 /http://security.debian.org/debian-security 的源
apt-get update ; apt-get upgrade
(或许可以设为一个
cron
job?) 如 进行安全更新, 第 4.2 节 所述.
Securing Debian Manual
v3.2, Mon, 20 Jun 2005 08:01:11 +0000jfs@debian.org
etony@tom.com