B.2. 配置清单

This appendix briefly reiterates points from other sections in this manual in a condensed checklist format. This is intended as a quick summary for someone who has already read the manual. There are other good checklists available, including Kurt Seifried's http://seifried.org/security/os/linux/20020324-securing-linux-step-by-step.html and http://www.cert.org/tech_tips/usc20_full.html.

FIXME: 这些内容基于手册的 1.4 版, 也许需要更新了..

限制物理访问和启动
- Enable a password in the BIOS.
- Disable floppy/cdrom/... booting in the system's BIOS.
- 设置 LILO 或 GRUB 密码(/etc/lilo.conf 或 /boot/grub/menu.lst, 分别); 检查LILO 或 GRUB 配置文件是否为只读保护.
分区
- 用户可写数据, 非系统数据, 和运行时频繁改变的数据与安装分区分离.
- Set nosuid,noexec,nodev mount options in /etc/fstab on ext2/3 partitions that should not hold binaries such as /home or /tmp.
密码学和登陆安全
- 设置一个好的 root 密码
- 安装并使用 PAM
  增加PAM 对 MD5 的支持, 并确保(一般而言) /etc/pam.d/ 下的文件中授权对机器的访问条目, 第二个域设为 requisite 或 required
  调整 /etc/pam.d/login 以使只允许本地 root 登陆.
  在 /etc/security/access.conf 中标记 authorized tty:s ,通常配置此文件以尽量限制 root 登录.
  如果要对每个用户设置限制, 增加 pam_limits.so.
  调整 /etc/pam.d/passwd: 增大密码的最小长度设置(可能为 6 字符) 并启用 MD5
  如果需要, 在 /etc/group 中增加 wheel 组; 在 /etc/pam.d/su 中增加 pam_wheel.so group=wheel条目
  适当的使用 pam_listfile.so 条目, 以习惯每个用户的控制
  增加 /etc/pam.d/other 文件, 以设置更高的安全性.
- 配置 /etc/security/limits.conf(注意如果您使用 PAM, 则/etc/limits不会被使用)
- 配置 /etc/login.defs; 还有, 如果您启用了 MD5 和/或 PAM, 确保在对应处也做了修改
- Tighten up /etc/pam.d/login
- 在 /etc/ftpusers 中禁止 root 的 ftp 访问
- Disable network root login; use su(1) or sudo(1). (consider installing sudo)
- 使用 PAM 登录时强制附加另外的限制?
其它本地安全问题
- 调整内核(参见第 4.18.1 节 “配置内核的网络特性”)
- 内核补丁(参见第 4.14 节 “增加内核补丁”)
- 限制日志文件的访问(/var/log/{last,fail}log, Apache 日志)
- 确保在 /etc/checksecurity.conf 中启用了 SETUID 检查
- Consider making some log files append-only and configuration files immutable using chattr (ext2/3 file systems only)
- Set up file integrity (see 第 4.17.3 节 “文件系统的完整性检查”). Install debsums
- 使用本地打印机记录日志?
- 将您的配置烧录到可引导 CD 上并 boot off that?
- 禁用内核模块?
网络访问限制
- 安装和配置 ssh(建议在 /etc/ssh/sshd_config 中设置 PermitRootLogin No, 注意文章中的其它建议)
- Disable or remove in.telnetd, if installed
- 通常, 使用 update-inetd --disable 禁用 /etc/inetd.conf 中无用的服务(或全部禁用 inetd, 或使用 xinetd 或 rlinetd 替换)
- Disable other gratuitous network services; ftp, DNS, WWW etc should not be running if you do not need them and monitor them regularly. In most cases mail should be running but configured for local delivery only.
- 对于您需要的那些服务, 不要仅仅使用通用版本, 寻找引入 Debian(或从其它地方)的更加安全的版本.无论使用什么, 都应当了解其风险.
- 为外部用户和守护进程设置 chroot jail.
- Configure firewall and tcpwrappers (i.e. hosts_access(5)); note trick for /etc/hosts.deny in text.
- 如果运行了ftp, 设置您的ftpd服务器总是运行在chroot 了的用户家目录内
- 如果运行了 X, 禁用 xhost 认证, 使用 ssh 替代; 最好禁用远程X 如果可以的话(为X命令行增加 -nolisten tcp 选项,通过在 /etc/X11/xdm/xdm-config中设置 requestPort 为 0, 关闭 XDMCP)
- Disable remote access to printers
- 任何 IMAP 或 POP 会话都使用 SSL 或 ssh 隧道; 如果为远程邮件用户提供此项服务,安装 stunnel
- 配置日志主机, 并设置其它机器将日志发送到此主机(/etc/syslog.conf)
- 增强 BIND, Sendmail, 和其它复杂守护进程的安全性.(运行在 chroot 中; 以非root pseduo 用户运行)
- Install tiger or a similar network intrusion detection tool.
- Install snort or a similar network intrusion detection tool.v
- 如果可能不要使用 NIS 和 RPC(禁用 portmap).
策略问题
- 培训用户了解您的策略. 当您禁止某些在其它系统通常可以使用的事项时, 提供文档, 解释如何使用其它的以达到近似的效果, 或更安全的方法.
- 禁止使用明文密码的协议(telnet, rsh 和类似的; ftp, imap, http, ...).
- 禁止使用 SVGAlib 的程序.
- 启用磁盘配额.
谨记的安全问题
- 订阅安全邮件列表
- Configure apt for security updates -- add to /etc/apt/sources.list an entry (or entries) for http://security.debian.org/
- 并且谨记经常运行 apt-get update ; apt-get upgrade(或许可以设为一个 cron job?) 如第 4.2 节 “进行安全更新” 所述.