KVM宿主机安全配置标准是什么

1、查看系统中有s位的程序

[root@test / ]#find / -perm -4000 –print 查找带有suid的程序

[root@test / ]#find / -perm -2000 –print 查找带有guid的程序

2、取消以下程序的s位

ftp sudo  ping  /usr/bin/chage  /usr/bin/gpasswd  /usr/bin/wall /usr/bin/chfn  /usr/bin/chsh  /usr/bin/newgrp   /usr/bin/write   /usr/sbin/traceroute

/bin/mount   /bin/umount 

chmod a-s/usr/bin/ftp

chmod a-s/usr/bin/chage  

chmod a-s/usr/bin/gpasswd  

chmod a-s/usr/bin/wall  

chmod a-s/usr/bin/chfn  

chmod a-s/usr/bin/chsh  

chmod a-s/usr/bin/newgrp  

chmod a-s/usr/bin/write  

chmod a-s/bin/traceroute  

chmod a-s/bin/mount  

chmod a-s/bin/umount    

chmod a-s /bin/ping

chmod a-s/usr/bin/sudo

[root@test /]#chmod a-s 文件

3、检查设置是否生效

[root@test /]#find / -perm -4000 –print

[root@test /]#find / -perm -2000 –print  查看以上的设置是否生效

1、修改以下可执行文件的权限

gcc  ssh  scp  ftp finger  shutdown  reboot  init  lsattr

chmod 700 /usr/bin/ssh

chmod 700 /usr/bin/scp

chmod 700 /usr/bin/finger

chmod 700 /usr/bin/gcc

chmod 700 /usr/bin/g++

chmod 700/sbin/shutdown

chmod 700/sbin/reboot

chmod 700 /usr/bin/lsattr

注：可用whereis 查找程序所在位置

1、修改以下重要目录权限

   [root@test / ]#cd /   [root@test/ ]#chmod o-r *   [root@test / ]#cd /usr   [root@test/ ]#chmod o-r *   [root@test/ ]#cd /var   [root@test/ ]#chmod o-r *         [root@test/ ]#chmod go-rx /etc /init.d   [root@test/ ]#chmod o-r /etc/init.d/*   [root@test/ ]#chmod go-rx /usr/include

[root@test / ]#chmod o+r /tmp

[root@test / ]#chmod o+r /proc

   注：如果有建立一些存放比较重要文件的目录，也去掉-r权限

1、修改密码相关文件的属性

[root@test /]#chattr +i /etc/passwd

 [root@test / ]#chattr +i /etc/shadow

 [root@test / ]#chattr +i /etc/services

注：修改密码相关文件属性后，账号密码等无法进行修改，

需要取消设置命令如下，chattr –i  相关文件。

1、使用ntsysv或chkconfig检查启动的服务 可开启的服务有：

atd   crond  iptables  portmap  qemu-kvm  rsync  snmpd sysstat  sysklogd irqbalance      networking   ntpd  dateng  dbus  ganglia-monitor  grub-common instsvcdrv  killprocs  nagios-nrpe-server  openipmi puppet  rc.local  sendsigs  sudo

其余的服务一律关闭：（若后续业务有需要用到的服务可以开启）

[root@test /]#chkconfig --level 启动级别 程序名称 off/on

[root@test/ ]#chkconfig --level 35 apmd off 

1、修改/etc/ssh/sshd_config

[root@test / ]#vi /etc/ssh/sshd_config

Protocol 2           //采用ssh2协议

UseDNS no           //禁用DNS解析

1、防火墙上的设置，限制IP访问ssh，vnc端口