CentOS7 系统安全加固实施方案介绍

红太狼 2022-08-08 17:40 285阅读 0赞

CentOS7.0系统安全加固手册

一、用户帐号和环境……………………………………………………………………………………. 2

二、系统访问认证和授权……………………………………………………………………………… 3

三、核心调整……………………………………………………………………………………………… 4

四、需要关闭的一些服务……………………………………………………………………………… 5

五、SSH安全配置……………………………………………………………………………………….. 5

六、封堵openssl的Heartbleed漏洞…………………………………………………………………. 6

七、开启防火墙策略……………………………………………………………………………………. 6

八、启用系统审计服务…………………………………………………………………………………. 8

九、部署完整性检查工具软件………………………………………………………………………. 10

十、部署系统监控环境……………………………………………………………………………….. 11

以下安全设置均是在CentOS7.0\_x64环境下minimal安装进行的验证。

## 一、用户帐号和环境 ##

<table style="margin: 0px 0px 1.714285714rem; padding: 0px; border-width: 0px 0px 1px; border-bottom-style: solid; border-bottom-color: rgb(237, 237, 237); font-size: 0.857142857rem; vertical-align: baseline; border-collapse: collapse; border-spacing: 0px; color: rgb(117, 117, 117); line-height: 2; width: 624px;"> 
 <tbody style="margin: 0px; padding: 0px; border: 0px; font-size: 12px; vertical-align: baseline;"> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">检查项</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">注释:</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">1</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">清除了operator、lp、shutdown、halt、games、gopher 帐号删除的用户组有： lp、uucp、games、dip其它系统伪帐号均处于锁定SHELL登录的状态&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">2</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">验证是否有账号存在空口令的情况:awk -F: &nbsp; ‘($2 == “”) { print $1 }’ /etc/shadow&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">3</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">检查除了root以外是否还有其它账号的UID为0:awk -F: &nbsp; ‘($3 == 0) { print $1 }’ /etc/passwd&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">任何UID为0的账号在系统上都具有超级用户权限.</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">4</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">检查root用户的$PATH中是否有’.’或者所有用户/组用户可写的目录</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">超级用户的$PATH设置中如果存在这些目录可能会导致超级用户误执行一个特洛伊木马</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">5</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">用户的home目录许可权限设置为700</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">用户home目录的许可权限限制不严可能会导致恶意用户读/修改/删除其它用户的数据或取得其它用户的系统权限</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">6</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">是否有用户的点文件是所有用户可读写的:for dir &nbsp; in \`awk -F: &nbsp; ‘($3 &gt;= 500) { print $6 }’ /etc/passwd`dofor file &nbsp; in $dir/.[A-Za-z0-9]*doif [ -f &nbsp; $file ]; thenchmod o-w &nbsp; $filefidonedone&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">Unix/Linux下通常以”.”开头的文件是用户的配置文件,如果存在所有用户可读/写的配置文件可能会使恶意用户能读/写其它用户的数据或取得其它用户的系统权限</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">7</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">为用户设置合适的缺省umask值:cd /etcfor file &nbsp; in profile csh.login csh.cshrc bashrcdoif [ &nbsp; `grep -c umask $file` -eq 0 ];thenecho &nbsp; “umask 022″ &gt;&gt; $filefichown &nbsp; root:root $filechmod 444 &nbsp; $filedone&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">为用户设置缺省的umask值有助于防止用户建立所有用户可写的文件而危及用户的数据.</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">8</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">设备系统口令策略：修改/etc/login.defs文件将PASS_MIN_LEN最小密码长度设置为12位。</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">10</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">限制能够su为root 的用户：#vi /etc/pam.d/su在文件头部添加下面这样的一行auth&nbsp; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;required&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pam_wheel.so use_uid</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">这样，只有wheel组的用户可以su到root操作样例：#usermod &nbsp; -G10 test 将test用户加入到wheel组</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">11</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">修改别名文件/etc/aliases：#vi /etc/aliases注释掉不要的 &nbsp; #games: root #ingres: root #system: root #toor: root #uucp: root #manager: &nbsp; root #dumper: root #operator: root #decode: root #root: marc修改后执行/usr/bin/newaliases</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">13</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">修改帐户TMOUT值，设置自动注销时间vi /etc/profile增加TMOUT=600</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">无操作600秒后自动退出</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">14</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">设置Bash保留历史命令的条数#vi /etc/profile修改HISTSIZE=5</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">即只保留最新执行的5条命令</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">&nbsp;</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">16</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">防止IP &nbsp; SPOOF：#vi /etc/host.conf 添加：nospoof on</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">不允许服务器对IP地址进行欺骗</td> 
 </tr> 
 <tr style="margin: 0px; padding: 0px; border: 0px; vertical-align: baseline;"> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">17</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">使用日志服务器：#vi /etc/rsyslog.conf 照以下样式修改*.info;mail.none;authpriv.none;cron.none&nbsp;&nbsp;&nbsp; @192.168.10.199&nbsp;</td> 
 <td style="margin: 0px; padding: 6px 10px 6px 0px; border-width: 1px 0px 0px; border-top-style: solid; border-top-color: rgb(237, 237, 237); vertical-align: baseline;">这里只是作为参考，需要根据实际决定怎么配置参数</td> 
 </tr> 
 </tbody> 
</table>

## 二、系统访问认证和授权 ##

## 三、核心调整 ##

## 四、需要关闭的一些服务 ##

## 五、SSH安全配置 ##

## 六、封堵openssl的Heartbleed漏洞 ##

检测方法：在服务器上运行以下命令确认openssl版本

\# openssl version

OpenSSL 1.0.1e-fips 11 Feb 2013

以上版本的openssl存在Heartbleed bug，需要有针对性的打补丁。

升及补丁：

\#yum -y install openssl

验证：

\# openssl version -a

OpenSSL 1.0.1e-fips 11 Feb 2013

built on: Thu Jun 5 12:49:27 UTC 2014

以上built on 的时间是2014.6.5号，说明已经修复了该漏洞。

注：如果能够临时联网安装以上补丁，在操作上会比较简单一些。如果无法联网，则有两种处理办法：首选从安装光盘拷贝独立的rpm安装文件并更新；另一个办法是提前下载最新版本的openssl源码，编译并安装。

## 七、开启防火墙策略 ##

在CentOS7.0中默认使用firewall代替了iptables service。虽然继续保留了iptables命令，但已经仅是名称相同而已。除非手动删除firewall，再安装iptables，否则不能继续使用以前的iptables配置方法。以下介绍的是firewall配置方法：

#cd /usr/lib/firewalld/services   //该目录中存放的是定义好的网络服务和端口参数，只用于参考，不能修改。这个目录中只定义了一部分通用网络服务。在该目录中没有定义的网络服务，也不必再增加相关xml定义，后续通过管理命令可以直接增加。

#cd /etc/firewalld/services/                  //从上面目录中将需要使用的服务的xml文件拷至这个目录中，如果端口有变化则可以修改文件中的数值。

## 八、启用系统审计服务 ##

审计内容包括：系统调用、文件访问、用户登录等。编辑/etc/audit/audit.rules,在文中添加如下内容：

\-w /var/log/audit/ -k LOG\_audit

\-w /etc/audit/ -p wa -k CFG\_audit

\-w /etc/sysconfig/auditd -p wa -k CFG\_auditd.conf

\-w /etc/libaudit.conf -p wa -k CFG\_libaudit.conf

\-w /etc/audisp/ -p wa -k CFG\_audisp

\-w /etc/cups/ -p wa -k CFG\_cups

\-w /etc/init.d/cups -p wa -k CFG\_initd\_cups

\-w /etc/netlabel.rules -p wa -k CFG\_netlabel.rules

\-w /etc/selinux/mls/ -p wa -k CFG\_MAC\_policy

\-w /usr/share/selinux/mls/ -p wa -k CFG\_MAC\_policy

\-w /etc/selinux/semanage.conf -p wa -k CFG\_MAC\_policy

\-w /usr/sbin/stunnel -p x

\-w /etc/security/rbac-self-test.conf -p wa -k CFG\_RBAC\_self\_test

\-w /etc/aide.conf -p wa -k CFG\_aide.conf

\-w /etc/cron.allow -p wa -k CFG\_cron.allow

\-w /etc/cron.deny -p wa -k CFG\_cron.deny

\-w /etc/cron.d/ -p wa -k CFG\_cron.d

\-w /etc/cron.daily/ -p wa -k CFG\_cron.daily

\-w /etc/cron.hourly/ -p wa -k CFG\_cron.hourly

\-w /etc/cron.monthly/ -p wa -k CFG\_cron.monthly

\-w /etc/cron.weekly/ -p wa -k CFG\_cron.weekly

\-w /etc/crontab -p wa -k CFG\_crontab

\-w /var/spool/cron/root -k CFG\_crontab\_root

\-w /etc/group -p wa -k CFG\_group

\-w /etc/passwd -p wa -k CFG\_passwd

\-w /etc/gshadow -k CFG\_gshadow

\-w /etc/shadow -k CFG\_shadow

\-w /etc/security/opasswd -k CFG\_opasswd

\-w /etc/login.defs -p wa -k CFG\_login.defs

\-w /etc/securetty -p wa -k CFG\_securetty

\-w /var/log/faillog -p wa -k LOG\_faillog

\-w /var/log/lastlog -p wa -k LOG\_lastlog

\-w /var/log/tallylog -p wa -k LOG\_tallylog

\-w /etc/hosts -p wa -k CFG\_hosts

\-w /etc/sysconfig/network-scripts/ -p wa -k CFG\_network

\-w /etc/inittab -p wa -k CFG\_inittab

\-w /etc/rc.d/init.d/ -p wa -k CFG\_initscripts

\-w /etc/ld.so.conf -p wa -k CFG\_ld.so.conf

\-w /etc/localtime -p wa -k CFG\_localtime

\-w /etc/sysctl.conf -p wa -k CFG\_sysctl.conf

\-w /etc/modprobe.conf -p wa -k CFG\_modprobe.conf

\-w /etc/pam.d/ -p wa -k CFG\_pam

\-w /etc/security/limits.conf -p wa -k CFG\_pam

\-w /etc/security/pam\_env.conf -p wa -k CFG\_pam

\-w /etc/security/namespace.conf -p wa -k CFG\_pam

\-w /etc/security/namespace.init -p wa -k CFG\_pam

\-w /etc/aliases -p wa -k CFG\_aliases

\-w /etc/postfix/ -p wa -k CFG\_postfix

\-w /etc/ssh/sshd\_config -k CFG\_sshd\_config

\-w /etc/vsftpd.ftpusers -k CFG\_vsftpd.ftpusers

\-a exit,always -F arch=b32 -S sethostname

\-w /etc/issue -p wa -k CFG\_issue

\-w /etc/issue.net -p wa -k CFG\_issue.net

重启audit服务

\#service auditd restart

## 九、部署完整性检查工具软件 ##

AIDE(Advanced Intrusion Detection Environment,高级入侵检测环境)是个入侵检测工具，主要用途是检查文档的完整性。

AIDE能够构造一个指定文档的数据库，他使用aide.conf作为其配置文档。AIDE数据库能够保存文档的各种属性，包括：权限(permission)、索引节点序号(inode number)、所属用户(user)、所属用户组(group)、文档大小、最后修改时间(mtime)、创建时间(ctime)、最后访问时间(atime)、增加的大小连同连接数。AIDE还能够使用下列算法：sha1、md5、rmd160、tiger，以密文形式建立每个文档的校验码或散列号。

在系统安装完毕，要连接到网络上之前，系统管理员应该建立新系统的AIDE数据库。这第一个AIDE数据库是系统的一个快照和以后系统升级的准绳。数据库应该包含这些信息：关键的系统二进制可执行程式、动态连接库、头文档连同其他总是保持不变的文档。这个数据库不应该保存那些经常变动的文档信息，例如：日志文档、邮件、/proc文档系统、用户起始目录连同临时目录

安装方法：

\#yum -y install aide

注：如果主机不能联网安装AIDE，那么也可以从安装光盘拷贝至目标主机。

检验系统文件完整性的要求：

因为AIDE可执行程序的二进制文档本身可能被修改了或数据库也被修改了。因此，应该把AIDE的数据库放到安全的地方，而且进行检查时要使用确保没有被修改过的程序，最好是事先为AIDE执行程序生成一份MD5信息。再次使用AIDE可执行程序时，需要先验证该程序没有被篡改过。

配置说明：

建立、更新样本库：

1）执行初始化，建立第一份样本库

\# aide –init

\# cd /var/lib/aide/

\# mv aide.db.new.gz aide.db.gz //替换旧的样本库

2）更新到样本库

\#aide –update

\# cd /var/lib/aide/

\# mv aide.db.new.gz aide.db.gz //替换旧的样本库

执行aide入侵检测：

1）查看入侵检测报告

\#aide –check

报告的详细程度可以通过-V选项来调控，级别为0-255，-V0 最简略，-V255 最详细。

或

\#aide –compare

这个命令要求在配置文件中已经同时指定好了新、旧两个库文件。

2）保存入侵检测报告（将检查结果保存到其他文件）

aide –check –report=file：/tmp/aide-report-20120426.txt

3）定期执行入侵检测，并发送报告

\# crontab -e

45 17 \* \* \* /usr/sbin/aide -C -V4 | /bin/mail -s ”AIDE REPORT $（date +%Y%m%d）” abcdefg\#163.com

或

45 23 \* \* \* aide -C >> /var/log/aide/’date +%Y%m%d’\_aide.log

记录aide可执行文件的md5 checksum：

\#md5sum /usr/sbin/aide

## 十、部署系统监控环境 ##

该段落因为需要安装或更新较多的依赖包，所以目前仅作为参考。

为了在将来合适的时候，可以支持通过一台集中的监控主机全面监控主机系统和网络设备的运行状态、网络流量等重要数据，可以在安全加固主机的系统中预先安装和预留了系统监控软件nagios和cacti在被监控主机中需要使用的软件支撑环境。

由于以下软件在安装过程中需要使用源码编译的方式，由此而引发需要安装GCC和OPENSSL-DEVEL。而为了安装GCC和OPENSSL-DEVEL而引发的依赖包的安装和更新大约有20个左右。这就违返了安全加固主机要保持最小可用系统的设计原则，所以该部分监控软件支撑环境的部署工作不作为默认设置，但仍然通过下文给出了部署参考，以用于系统运行运维过程中需要部署全局性监控系统时使用。

1）安装net-snmp服务

\#yum -y install net-snmp

\#chkconfig snmpd off —将该服务设置为默认关闭，这里只是为以后部署cacti先预置一个支撑环境

如果不能联网安装，则可以使用安装光盘，并安装以下几个rpm包：

lm\_sensors ， net-snmp , net-snmp-libs , net-snmp-utils

2）安装nagios-plugin和nrpe

a. 增加用户&设定密码

\# useradd nagios

\# passwd nagios

b. 安装Nagios 插件

\# tar zxvf nagios-plugins-2.0.3.tar.gz

\# cd nagios-plugins-2.0.3