--在应用程序启动之前umask是否设置好如(如:022)
--应用程序是不是能以非ROOT身份运行?是否很好的设置密码若最少8位加标点,字符大小写
--注意是否所有文件的权限设置正确,即是不是只能有应用程序用户自己拥有
读写权限,有没有全局能读写的文件
--当应用程序在写LOG记录时是否安全?有没有可能把密码写到安装LOG中去(不用感到好笑,这很普遍)下面是一些安装常用服务所需要的安全问题
1,FTP服务(ftp)
-如果你使用Western University wu-ftpd,必须知道它存在一些历史BUG,如
(请参看 CERT advisorIEs CA-93:06, CA-94:07,
CA-95:16 and Auscert AA-97.03 and AA-1999.02),最起码使用V2.6.0或以后
的版本。
2,配置/etc/ftpusers的系统帐号使其不能用来FTP,如使以ROOT身份登录FTP无效,把root增加到/etc/ftpusers.要想把所有系统帐号加入到你的新系统中去可使用如下方法:
awk -F: '{print $1}' /etc/passwd > /etc/ftpusers
-FTP可以通过/etc/ftpusers选择性的激活每个用户;也可以使用下面的方法:
对于那些不能通过FTP访问此机器的,提供他们一些不正规的SHELL(如BASH和TCSH),但不把新的SHELL加入到/etc/shells,这样FTP访问将被拒绝。相反,要把一个非标准的SHELL加入到/etc/shells才能使FTP正常工作。
-使LOGGING有效:把-l选项增加到/etc/inetd.conf中去,另外-d选项将增加debug输出。
-FTP可以限制IP地址或基于tcp wrappers的主机名。
-如果需要匿名FTP访问,必须非常谨慎,一个chroot的环境是必须的。
具体请参看in.ftpd 手册。避免允许上传文件权利。如果需要上传文件的权利,需不允许下载上载了的文件,隐藏上载文件名及不允许他们覆盖方式操作。
标签: