当前位置:七道奇文章资讯系统安全Linux安全
日期:2011-03-04 17:59:00  来源:本站整理

<b>让你的linux操作系统越发安全</b>[Linux安全]

赞助商链接



  本文“<b>让你的linux操作系统越发安全</b>[Linux安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:

  BIOS安全
  记着要在BIOS设置中设定一个BIOS密码,不接纳软盘启动.这样可以禁止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等.
  LILO安全
  在“/etc/lilo.conf”文件中增添3个参数:time-out、restricted 和 password.这些选项会在启动时间(如“linux single”)转到启动转载程序历程中,要求供应密码.
  步骤1
  编辑lilo.conf文件(/etc/lilo.conf),增添和更改这三个选项:
  QUOTE:
  boot=/dev/hda
  map=/boot/map
  install=/boot/boot.b
  time-out=00 #change this line to 00
  prompt
  Default=linux
  restricted #add this line
  password=<password> #add this line and put your password
  image=/boot/vmlinuz-2.2.14-12
  label=linux
  initrd=/boot/initrd-2.2.14-12.img
  root=/dev/hda6
  read-only
  步骤2
  由于此中的密码未加密,“/etc/lilo.conf”文件只对根用户为可读.
  [root@kapil /]# chmod 600 /etc/lilo.conf (不再为全局可读)
  步骤3
  作了上述改正后,更新配置文件“/etc/lilo.conf”.
  [Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)
  步骤4
  还有一个办法使“/etc/lilo.conf”更安全,那就是用chattr号令将其设为不可改:
  [root@kapil /]# chattr i /etc/lilo.conf
  它将禁止任何对“lilo.conf”文件的更改,无论能否成心.
  关于lilo安全的更多信息,请参考LILO.
  禁用全部专门帐号
  在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系统中,将你不利用的全部默许用户帐号和群组帐号删除.
  要删除用户帐号:
  [root@kapil /]# userdel LP
  要删除群组帐号:
  [root@kapil /]# groupdel LP
  挑选得当的密码
  挑选密码时要遵守以下原则:
  密码长度:安装Linux系统时默许的最短密码长度为5个字符.这个长度还不够,应当增为8个.要改成8个字符,必须编辑 login.defs 文件(/etc/login.defs):
  PASS_MIN_LEN 5
  改成:
  PASS_MIN_LEN 8
  “login.defs”是登录程序的配置文件.
  启用盲区密码支持
  请启用盲区密码功效.要实现这一点,利用“/usr/sbin/authconfig”实用程序.假如想把系统中现有的密码和群组改成盲区密码和群组,则辨别用 pwconv 和 grpconv 号令.
  根帐户
  在UNIX系统中,根帐户具有最高权限.假如系统管理员在脱离系统时忘了从根系统注销,系统应当可以自动从shell中注销.那么,你就需求设置一个特别的 Linux 变量“TMOUT”,用以设按时间.
  编辑“/etc/profile”文件在
  "HISTFILESIZE="
  之后增添:
  TMOUT=3600
  为“TMOUT=”输入的值代表1小时的妙数(60 * 60 = 3600妙).
  在“/etc/profile”文件中加了这一行后,任何用户利用该系统时有1小时的停止状况,将自动履行注销操作.而假如用户要对该变量举行辨别设定,可以在“.bashrc”文件中定义自动注销的时间.
  改正了该参数后,必须退出并重新登录(为根帐户),更改才能见效.
  禁止普通用户对掌握台的全部拜候
  应当禁止服务器上的普通用户对关闭、重启、挂起等掌握台级别程序的拜候.运行以下号令:
  [root@kapil /]# rm -f /etc/security/console.apps此中<servicename>为禁止拜候的程序名称.
  禁用 & 卸载全部不利用的服务
  对全部不利用的服务,应当禁用并卸载,这样可以少些麻烦.查看“/etc/inetd.conf”文件,在不需求的项目行前加“#”号,即改成注释语句,便可以禁用它们了.然后给 inetd 历程发送一个 SIGHUP 号令,对“inetd.conf”文件举行更新.步骤以下:
  步骤1
  将“/etc/inetd.conf”文件答应改成600,使其只对根用户为可读写.
  [Root@kapil /]# chmod 600 /etc/inetd.conf
  步骤2
  确保“/etc/inetd.conf”文件的全部者为根用户.
  步骤3
  编辑 inetd.conf 文件(/etc/inetd.conf),禁用以下服务:
  ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等.
  假如不打算用,禁用了这些服务可以削减风险.
  步骤4
  给 inetd 历程发送HUP信号:
  [root@kapil /]# killall -HUP inetd
  步骤5
  将“/etc/inetd.conf”文件设为不可更改,chattr 号令可以使任何人都无法对其举行改正:
  [root@kapil /]# chattr i /etc/inetd.conf
  唯一可以设置或排除该属性的用户只有根用户.要改正inetd.conf文件,必须去掉不可更改标志:
  [root@kapil /]# chattr -i /etc/inetd.conf
  TCP_WRAPPERS
  通过 TCP_WRAPPERS,可以使服务器更好地抵抗外部侵入.最好的办法是回绝全部主机:在“/etc/hosts.deny”文件中加入“ALL: ALL@ALL, PARANOID”,然后在“/etc/hosts.allow”列出答应拜候的主机.TCP_WRAPPERS 受控于两个文件,搜索时停在第一个匹配的地方.
  /etc/hosts.allow
  /etc/hosts.deny
  步骤1
  编辑 hosts.deny 文件(/etc/hosts.deny),加入以下行:
  # Deny access to everyone.
  ALL: ALL@ALL, PARANOID
  语句的意思是,除非在 allow 文件中阐明答应拜候,全部服务、全部主机都被回绝.
  步骤2
  编辑 hosts.allow 文件(/etc/hosts.allow),比方在文件中增添以下行:
  ftp: 202.54.15.99 foo.com
  关于你的客户机来说:202.54.15.99为IP地址,foo.com为答应利用ftp的一个客户机.
  步骤3
  tcpdchk 程序是tcpd wrapper配置的查抄程序.它对tcpd wrapper的配置举行查抄,并报告所发现的潜在的和实际存在的问题.配置完成后,运行tcpdchk 程序:
  [Root@kapil /]# tcpdchk
  不要显示系统发行文件
  当别人远程登录时,不该该显示系统发行文件.做法是在“/etc/inetd.conf”文件中更改telnet选项:
  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd
  改成:
  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
  在末尾加“-h”标志使后台程序不显示任何系统信息,而只给用户供应一个 login: 提醒符.
  更改“/etc/host.conf”文件
  “/etc/host.conf”文件用来指定若何解析名称的办法.编辑 host.conf 文件(/etc/host.conf),增添以下各行:
  # Lookup names via DNS first then fall back to /etc/hosts.
  order bind,hosts
  # We have machines with multiple IP addresses.
  multi on
  # Check for IP address spoofing.
  nospoof on
  第一个选项首先通过DNS解析主机名称,然后解析主机文件.multi 选项用于肯定“/etc/hosts”文件中的主机能否有多个IP地址(多接口以太网).
  nospoof 选项指明该机械不答应假信息.
  为“/etc/services”文件免疫
  必须为“/etc/services”文件举行磁盘免疫,以避免对文件未经受权的删除或增添.利用以下号令:
  [root@kapil /]# chattr i /etc/services
  不承受从差别掌握台的根用户登录
  “/etc/securetty”文件可以指定“root”用户答应从哪个TTY设备登录.编辑“/etc/securetty”文件,在不需求的tty前面加“#”,禁用这些设备.
  禁止任何人利用su号令
  su号令(Substitute User,替换用户)可以使你成为系统的现有效户.假如不但愿别人利用su进入根帐户,大概对某些用户限制利用“su”号令,则在“/etc/pam.d/”目录的“su”配置文件顶部加上下文中给出的两行代码.
  编辑su文件(/etc/pam.d/su),在文件顶部增添以下两行:
  auth sufficient /lib/security/pam_rootok.so debug
  auth required /lib/security/Pam_wheel.so group=wheel
  意思是,只有“wheel”组的成员可以用su号令;此中还包含了日记.你可以在wheel组中增添答应利用该号令的用户.
  shell日记
  shell可存储500个旧号令在“~/.bash_history”文件中(此中“~/”代表主目录),这样可以便于反复前面的长寿令.系统中的每个帐号用户在各自的主目录中都有这个“.bash_history”文件.为安全起见,应使shell存储较少的号令,并在注销用户时将其删除.
  步骤1
  “/etc/profile”文件中的 HISTFILESIZE 和 HISTSIZE 行决意了系统中全部用户的“.bash_history”文件可包容的旧号令个数.倡议将“/etc/profile”文件中的 HISTFILESIZE 和 HISTSIZE 设为对比小的数,比方30.
  编辑 profile 文件(/etc/profile),并更改:
  HISTFILESIZE=30
  HISTSIZE=30
  步骤2
  系统管理员还应在“/etc/skel/.bash_logout”文件中加进“rm -f $HOME/.bash_history”行,这样便可以在每次用户退出时删除“.bash_history”文件.
  编辑 .bash_logout 文件(/etc/skel/.bash_logout),并增添以下行:
  rm -f $HOME/.bash_history
  禁用 Control-Alt-Delete 键盘关机号令
  只要在该行前面加“#”,改成注释行.在“/etc/inittab”文件中找到:
  ca::ctrlaltdel:/sbin/shutdown -t3 -r now
  改成:
  #ca::ctrlaltdel:/sbin/shutdown -t3 -r now
  然后,为使更改见效,在提醒符下输入:
  [root@kapil /]# /sbin/init q
  改正脚本文件在“/etc/rc.d/init.d”目录下的权限
  对脚本文件的权限举行改正,脚本文件用以决意启动时需求运行的全部正常历程的开启和终止.增添:
  [root@kapil/]# chmod -R 700 /etc/rc.d/init.d/*
  这句指的是,只有根用户答应在该目录下利用 Read、Write,和 Execute 脚本文件.
  躲藏系统信息
  默许情形下,当用户登录到 Linux 中时,会显示 Linux 发行名称、版本、内核版本,以及服务器名称.这些已经充足让黑客获得服务器的信息了.精确的做法是只为用户显示“Login: ”提醒符.
  步骤1
  编辑“/etc/rc.d/rc.local” 文件,并将“#”标在下列行的前面:
  QUOTE:
  # This will overwrite /etc/issue at every boot. So, make any changes you
  # want to make to /etc/issue here or you will lose them when you reboot.
  #echo "" > /etc/issue
  #echo "$R" >> /etc/issue
  #echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
  #
  #cp -f /etc/issue /etc/issue.net
  #echo >> /etc/issue
  步骤2
  然后在“/etc”目录下删除“issue.net”和“issue”文件:
  [root@kapil /]# rm -f /etc/issue
  [root@kapil /]# rm -f /etc/issue.net
  禁用普通不用的 SUID/SGID 程序
  假如设为 SUID 根用户,普通用户也可以作为根用户运路程序.系统管理员应当削减 SUID/GUID 程序的利用,并禁用那些不需求的程序.
  步骤1
  要从根用户的程序中搜索全部包含“s”字符的文件,利用号令:
  [root@kapil]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} ;
  要在搜索到的程序中禁用 suid 程序,键入以下号令:
  [root@kapil /]# chmod a-s [program]
  按照上述的一些安全指南,系统管理员便可以到达基本的系统安全要求.上述的一些操作是一个持续的历程.系统管理员必须保持它们的持续性,才能使系统真正安全.

    以上是“<b>让你的linux操作系统越发安全</b>[Linux安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • <b>hosts是什么 hosts文件在什么位置 若何改正hosts</b>
  • <b>在 Windows 8 中手动安装语言包</b>
  • <b>五个常见 PHP数据库问题</b>
  • Windows中Alt键的12个高效快速的利用本领介绍
  • <b>MySQL ORDER BY 的实现解析</b>
  • <b>详解MySQL存储历程参数有三种范例(in、out、inout)</b>
  • <b>Win8系统恢复出来经典的开始菜单的办法</b>
  • <b>Win8系统花屏怎么办 Win8系统花屏的办理办法</b>
  • <b>Windows 7系统下无线网卡安装</b>
  • <b>为什么 Linux不需求碎片整理</b>
  • <b>Windows 8中删除账户的几种办法(图)</b>
  • <b>教你如安在win7下配置路由器</b>
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .