下载并解压缩CIS工具，阅读README文档和PDF文档。 (PDF文档针对系统安全提供了很好的参考材料。)按照README文档说明进行安装包安装，工具安装完成后，用户应该有一个目录/opt/CIS。运行命令cis-scan来了解用户的系统。这取决于用户服务器的速度和所连接的硬盘数量，扫描可能需要花很长时间才能完成。扫描完成后，用户将会有一个名为cis-ruler-log.YYYYMMDD-HH:MM:SS.PID的文档。该文档是系统的总结报告，包含了所有的测试结果。其中该文档不包详细信息--这意味着只能作为索引来参考扫描工具自带的PDF文档。逐行审阅ruler-log文件，如果有一个负面的结果，建议在PDF文档中确定是否可以执行变更。大部分变更可以在不影响服务器的操作下实现，但并不是所有。谨防漏报;用户可能需要使用PortSentry工具查看端口515是否存在lp漏洞，这会导致了CIS工具报告用户有lp漏洞的错误。在报告末尾，数字越高用户的系统越“坚固”。

这是一个很好的信息安全工具，定期在用户的服务器上运行可以保持服务器的健康。访问互联网安全中心的网站，随着关注该工具的不断发展和变化。

6、运行过程避免使用超级用户特权

许多运行在的服务器上的服务并不需要超级用户权限来执行他们的功能。通常，他们不需要任何特殊权限以外的读取和写入数据目录的能力。但由于Unix安全措施规定由超级用户权限的运行的开放的TCP / IP端口必须低于1024，加上这一事实，大多数著名的端口都低于1024，意味着用户的守护进程必须在超级用户权限下开放其端口。

这种困境有几个解决方法。第一，最安全的并不是运行所有的服务。如果守护进程没有运行，那么它不需要作为超级用户运行。然而，这并不是每次都管用的。有时候用户也需要为守护进程提供运行服务。在这种情况下，创建一个专门的用户ID来运行守护进程，并且尽可能的严格控制它。只使用这个ID写入可写的目录，并且不要给这个ID特别高的权限。然后更改启动脚本，守护进程只属于这个新的用户ID。现在如果攻击者利用漏洞攻击用户的服务器并且损害用户的守护进程，攻击者将获得非特权账户并且必须做进一步的工作来获得超级用户权限，在更多的损失发生之前将给予用户更多的时间来跟踪和阻止他或她。

7、扫描并处理高权限文件

所有系统都有设置用户ID(SUID)和设置组ID(SGID)文件。这些文件可以使用特定的用户或组来运行应用程序、脚本和守护进程，而不是个人用户ID或组ID来运行。top命令是一个很好的例子，它的运行权限较高，所以它可以扫描内核空间中的进程信息。因为大多数用户的默认权限不能读取这些信息，top需要运行更高的权限是有必要的。

许多操作系统允许用户的指定某些磁盘不支持SUID和SGID，通常是通过在用户的系统挂载文件中使用一个命令来完成。在Solaris中，用户会在/etc/vfstab中指定nosuid命令。例如，使用nosuid命令将/users安装在磁盘c2t0d0s3上，用户可以输入如下命令：

/dev/dsk/c2t0d0s3 /dev/rdsk/c2t0d0s3 /users ufs 2 yes nosuid

(责任编辑：)