Linux加固Paper[操作系统]

beach翻译的,持续分享
目录:
1.BIOS
2.SSH安全
3.禁用telnet
4.禁用 代码编译
5.ProFTP
6.TCPwrappers
7.成立一个SU组
8.root告诉
9.history安 全
10.欢送信息
11.禁用全部特别账户
12.chmod危险文件
13.指定答应root登陆的TTY设备
14. 挑选一个安全的密码
15.查抄Rootkit
16.安装补钉
17.躲藏Apache信息
18.躲藏php信息
19. 关闭不利用的服务
20.检测监听中的端口
21.关闭翻开的端口和服务
22.删除不用的rpm包
23.禁用危险的php函 数
24.安装配置防火墙
25.安装和配置BFD
26.内核加固(sysctl.conf)
27.更改SSH端口
28./tmp /var/tmp,/dev/shm分区安全
29.PHP IDS

总结
========================================================================
介 绍

这个教程将一步步的指引你,使你的Linux系统变得安全.
任何默许安装的操作系统都是不够安全的,本文将指引你若何成立一个
相 对安全的Linux系统.
========================================================================
1.BIOS
你 应当老是在系统启动的时刻设置一个BIOS密码和禁用从CD-ROM和软盘指导.
这将避免一些人未经答应拜候你的系统和更改BIOS设置

2.SSH 安全
SSH是一个协议,操纵它可以登录到一个远程系统或远程履行系统号令,
默许答应root登录,并且sshv1存在缺陷,我们应当在
sshd_config 禁止root拜候和利用sshv2来让ssh越发安全.

办法:
vi /etc/ssh/sshd_config
把协议改成 2
PermitRootLogin = no
重启sshd /etc/rc.d/init.d/sshd restart

3. 禁用telnet
早期的Linux默许开启telnet服务,telnet,ftp,rlogin都是明文传输的协议
是简单被嗅探到的, 这就是为什么举荐利用安全的版本(sftp,scp,ssh)的缘由
假如你必必要利用telnet,那么至少应当躲藏banner信息

方 法:
改正/etc/xinetd.d/telnet
disable=yes

4.禁用代码编译
你可以禁用代码编译并 且只把编译的权限分配给一个用户组
办法:
增添编译用户组 /usr/sbin/groupadd compiler ,cd /usr/bin
把常见的编译器所属组赋给编译用户组
chgrp compiler *cc*
chgrp compiler *++*
chgrp compiler ld
chgrp compiler as
设置mysqlaccess的拜候
chgrp root mysqlaccess
设置权限
chmod 750 *cc*
chmod 750 *++*
chmod 750 ld
chmod 750 as
chmod 755 mysqlaccess
把用户增添到组里
改正/etc /group
compiler:x:520:user1,user2

5.ProFTP
你可以通过改正 proftpd.conf来禁止root登陆
办法:
改正/etc/proftpd.conf
Add RootLogin off
重 启proftpd /sbin/service proftpd stop
/sbin/service proftpd start

6.TCP wrappers
编辑hosts.allow和hosts.deny可以限制或答应拜候inet服务

办法:
限制拜候 inet服务
改正/etc/hosts.allow
倡议格局:
#Approved IP addresses
ALL:192.168.0.1
ALL:192.168.5.2
#CSV uploader machine
proftpd:10.0.0.5
#pop3 from antwhere
ipop3:ALL
修 改/etc/hosts.deny
ALL:ALL EXCEPT localhostENY

7.成立SU用户组
因为我们在 SSH禁止了root用户拜候并且禁用了telnet,全部我们应当
分配给一些用户su权限来获得root特权

办法:
vi /etc/group
增添一行 wheel:x:10:root,user1,user2
chgrp wheel /bin/su
chmod o-rwx /bin/su

8.root告诉
当一个具有root权限的用户登录的时刻发mail
办法:
编辑 /root下的.bashrc ,当有root权限的用户登录时发生email告诉
echo 'ALERT - Root Shell Access (Server Name) on:' `date` `who` | mail -s