世界500强企业的主机系统安全配置标准(11)

世界500强企业的主机系统安全配置标准

/usr/sbin/no -o directed_broadcast=0

对于直接的广播信息不作回应。

5.1.6 地址掩码查询和时间戳广播

地址掩码查询通常被用来映射netblock大小和进一步系统侦测，时间戳通常被用来映射和查询识别主机的另一种方式。

REDHAT: 在/etc/sysctl.conf文件中添加如下配置行：

net.ipv4.tcp_timestamps=0

来禁用对于TCP时间戳的支持。

SOLARIS: 在/etc/init.d/inetinit文件中添加如下配置行：

/usr/sbin/ndd -set /dev/ip ip_respond_to_address_mask_broadcast 0 防止地址掩码查询。

/usr/sbin/ndd -set /dev/ip ip_respond_to_timestamp_broadcast 0

禁用对于时间戳广播查询的响应。

AIX:在etc/文件中添加如下配置行：

/usr/sbin/no -o icmpaddressmask=0

防止地址掩码查询。

5.2 /etc/hosts.equiv, .rhosts和.netrc配置文件

/etc/hosts.equiv 和 /etc/hosts.lpd不能出现在任何一台UNIX服务器上，因为在这些文件中出现的服务器被认为是可以信任的，故此在从这些服务器通过 Berkeley r系列命令进行登录操作是是不需要进行密码的。这要就导致了安全隐患。

.rhosts不能出现在任何一台UNIX服务器上，因为此文件存在安全漏洞而且对于每个用户都可以单独进行修改；

.netrc 文件不能存在于任何一台UNIX服务器上，因为为了给多个网络应用如ftp，ncftp和curl提供服务可能会包含明码口令，从而造成一个安全漏洞。

5.3 X Window系统

以下的相关设置必须在所有运行X Window系统的UNIX平台上实施。

所有的X-Window的通讯必须被加密，例如可以使用Secure Shell (ssh)工具； /tmp目录的访问权限必须设置为1777，粘置位必须设置以确保只有所有者才可以删除X-server套接字文件， /tmp/.X11-unix/X0；

所有者必须是root，所有组ID必须为0或system;

X magic cookie机制MIT-MAGIC-COOKIE-1必须被启用，通过编辑

xdm-config文件并将DisplayManager*authorize属性设置为true来实现xdm登录控制；

不得使用低于X11 release 6版本；