UNIX 操作系统安全检查列表(2)

　　1.2　 WWW服务

　　1.2.1　常见安全威胁

　　对于WWW服务，常见安全威胁包括：

　　■HTTP拒绝服务：攻击者通过某些手段使服务器拒绝对HTTP应答

　　■缓冲区溢出

　　1.2.2　Web服务器（apache）配置文件

　　控制着服务器各个方面的特性的三个配置文件：

　　■httpd.conf主配置文件，是对守护程序httpd如何运行的技术描述

　　■srm.conf是服务器的资源映射文件，告诉服务器各种文件的MIME类型，以及如何支持这些文件

　　■access.conf用于配置服务器的访问权限，控制不同用户和计算机的访问限制

　　1、Apache的基本安全配置

　　■及时更新安装Apache的最新版本

　　■设置chroot运行环境

　　■隐藏版本信息

　　2、Apache服务器访问控制

　　■文件的访问控制

　　■目录的访问控制

　　■主机的访问控制

　　■access.conf文件包含一些指令控制允许某个用户、某个域、IP地址或者IP段的访问访问Apache目录。

　　■order deny,allow

　　■deny from all

　　■allow from sans.org

　　■使用.htaccess文件，可以把某个目录的访问权限赋予某个用户

　　1.3　 mail服务

　　1.3.1　Sendmail的主要安全问题

　　■邮件转发与垃圾邮件

　　■避免未授权的用户滥用noexpn,novrfy

　　■限制可以审核邮件队列内容的人员

　　■（/etc/sendmail.cf: PrivacyOptions=authwarnings,noexpn,novrfy,restrictmailq）

　　■关闭relay选项

　　■及时更新安装最新版本的Sendmail

　　■文件系统安全

　　■拒绝服务攻击

　　1、关闭relay选项

　　sendmail提供了许多在编译期间选择的功能特性

　　在/etc/sendmail.mc中与安全相关的特性有：

　　■FEATURE（*）

　　■promiscuous_relay

　　■accept_unqualified_senders

　　■loose_relay_check

　　■accept_unresolvable_domains

　　■blacklist_recipients

　　■relay_entire_domain

　　2、邮件转发与垃圾邮件

　　设置smtp身份验证。

　　3、文件系统安全

　　重要的文件设置不可更改位

　　■[root@deep]# chattr +i /etc/sendmail.cf

　　■[root@deep]# chattr +i /etc/sendmail.cw

　　■[root@deep]# chattr +i /etc/sendmail.mc

　　■[root@deep]# chattr +i /etc/aliases

　　■[root@deep]# chattr +i /etc/mail/access

　　4、Sendmail配置抵御DOS

　　■/etc/sendmail.cf üMinFreeBlocks--配置最少的自由块数

　　■MaxMessageSize--最大邮件大小

　　■AutoRebuildAliases--自动重建别名

　　■QueueLA--队列平均负荷

　　■RefuseLA--平均负荷拒绝临界点

　　■MaxDaemonChildren--最大的守护进程的子进程数

　　■MaxHeadersLength --最大的报头长度

　　■MaxMimeHeaderLength --最大MIME编码报文长度

　　■MaxRecipientsPerMessage --每封邮件的最多接收者

　　1.4　FTP

　　了解那些FTP有安全问题：

　　■wu-ftpd -（wu-ftpd 2.6.0 输入验证漏洞、site newer 内存耗尽问题）

　　■proftpd

　　1.4.1　Ftp安全要点

　　■使用最新版本 -http://www.wu-ftpd.org/　2.6.2 -http://www.proftpd.org/ 1.2.9

　　■使用ftpuser限制ftp用户

　　■使用ftpaccess控制用户行为，流量等等

　　■设置chroot运行环境 o使用ssh或sftp代替ftp

　　2　UNIX系统帐号安全