当前位置:七道奇文章资讯系统安全Linux安全
日期:2011-06-15 16:21:00  来源:本站整理

Linux下常用安全战略设置办法[Linux安全]

赞助商链接



  本文“Linux下常用安全战略设置办法[Linux安全]”是由七道奇为您精心收集,来源于网络转载,文章版权归文章作者所有,本站不对其观点以及内容做任何评价,请读者自行判断,以下是其具体内容:
  1. 禁止系统呼应任何从外部/内部来的ping恳求
  攻击者普通首先通过ping号令检测此主机大概IP能否处于活动状况,假如可以ping通 某个主机大概IP,那么攻击者就认为此系统处于活动状况,继而举行攻击或破坏.假如没有人能ping通机械并收到呼应,那么便可以大大加强服务器安全性,linux下可以履行以下设置,禁止ping恳求:
  [root@localhost ~]#echo "1"> /proc/sys/net/ipv4/icmp_echo_ignore_all
  默许情形下"icmp_echo_ignore_all"的值为"0",表示呼应ping操作.
  可以加上面的一行号令到/etc/rc.d/rc.local文件中,以使每次系统重启后自动运行.
  2.禁止Control-Alt-Delete组合键重启系统
  在linux的默许设置下,同时按下Control-Alt-Delete键,系统将自动重启,这是很不安全的,因此要禁止Control-Alt-Delete组合键重启系统,只需改正/etc/inittab文件:
  [root@localhost ~]#vi /etc/inittab
  找到此行:ca::ctrlaltdel:/sbin/shutdown -t3 -r now
  在之前加上"#"
  然后履行:
  [root@localhost ~]#telinit q
  3.限制Shell记录历史号令大小
  默许情形下,bash shell会在文件$HOME/.bash_history中存放多达1000条号令记录(按照系统差别,默许记录条数差别).系统中每个用户的主目录下都有一个这样的文件.
  这么多的历史号令记录,必定是不安全的,因此必须限制该文件的大小.
  可以编辑/etc/profile文件,改正此中的选项以下:
  HISTSIZE=30
  表示在文件$HOME/.bash_history中记录近来的30条历史号令.假如将"HISTSIZE"设置为0,则表示不记录历史号令,那么也就不能用键盘的上下键查找历史号令了.
  4.删除系统默许的不必要用户和组
  Linux供应了各种系统账户,在系统安装完毕,假如不需求某些用户大概组,就要当即删除它,因为账户越多,系统就越不安全,越简单遭到攻击.
  删除系统不必要的用户用下面号令
  [root@localhost ~]# userdel username
  删除系统不必要的组用以下号令:
  [root@localhost ~]# groupdel  groupname
  Linux系统中可以删除的默许用户和组有:
  删除的用户,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等.
  删除的组,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等.
  5. 关闭selinux
  SELinux是 Security-Enhanced Linux的简称,是一种内核强迫拜候掌握安全系统,目前SELinux已经集成到Linux 2.6内核的主线和大大都Linux发行版上,由于SELinux与现有Linux利用程序和Linux内核模块兼容性还存在一些问题,因此倡议初学者先关闭selinux,等到对linux有了深化的熟习后,再对selinux深化研究不迟!
  查看linux系统selinux能否启用,可以利用getenforce号令:
  [root@localhost ~]# getenforce
  Disabled
  关闭selinux,在redhat系列发行版中,可以直接改正以下文件:
  [root@localhost ~]#vi /etc/sysconfig/selinux
  # This file controls the state of SELinux on the system.
  # SELINUX= can take one of these three values:
  #       enforcing - SELinux security policy is enforced.
  #       permissive - SELinux prints warnings instead of enforcing.
  #       disabled - SELinux is fully disabled.
  SELINUX=enforcing
  # SELINUXTYPE= type of policy in use. Possible values are:
  #       targeted - Only targeted network daemons are protected.
  #       strict - Full SELinux protection.
  SELINUXTYPE=targeted
  将SELINUX=enforcing改正成SELINUX=disabled, 重启系统后将会终止SElinux.
  6.设定tcp_wrappers防火墙
  Tcp_Wrappers是一个用来解析TCP/IP封包的软件,近似的IP封包软件还有iptables,linux默许都安装了此软件,作为一个安全的系统,Linux本身有两层安全防火墙,通过IP过滤机制的iptables实现第一层防护,iptables防火墙通过直观地监督系统的运行情况,拦阻网络中的一些恶意攻击,保护整个系统正常运行,免遭攻击和破坏.关于iptables的实现,将在下个章节具体报告.假如通过了第一层防护,那么下一层防护就是tcp_wrappers了,通过Tcp_Wrappers可以实现对系统中供应的某些服务的开放与关闭、答应和禁止,从而更有效地保证系统安全运行.
  Tcp_Wrappers的利用很简单,仅仅两个配置文件:/etc/hosts.allow和/etc/hosts.deny
  (1) 查看系统能否安装了Tcp_Wrappers
  [root@localhost ~]#rpm -q tcp_wrappers  大概
  [root@localhost ~]#rpm -qa | grep tcp
  tcp_wrappers-7.6-37.2
  tcpdump-3.8.2-10.RHEL4
  假若有上面的近似输出,表示系统已经安装了tcp_wrappers模块.假如没有显示,大概是没有安装,可以从linux系统安装盘找到对应RPM包举行安装.
  (2)tcp_wrappers防火墙的范围性
  系统中的某个服务能否可以利用tcp_wrappers防火墙,取决于该服务能否利用了libwrapped库文件,假如利用了便可以利用 tcp_wrappers防火墙,系统中默许的一些服务如:sshd、portmap、sendmail、xinetd、vsftpd、tcpd等都可以利用tcp_wrappers防火墙.
  (3)  tcp_wrappers设定的法则
  tcp_wrappers防火墙的实现是通过/etc/hosts.allow和/etc/hosts.deny两个文件来完成的,首先看一下设定的格局:
  service:host(s) [:action]
  ? service:代表服务名,比方sshd、vsftpd、sendmail等.
  ? host(s):主机名大概IP地址,可以有多个,比方192.168.60.0、www.ixdba.net
  ? action:行动, 符合条件后所采纳的行动.
  几个关键字:
  ? ALL:全部服务大概全部IP.
  ? ALL EXCEPT:全部的服务大概全部IP除去指定的.
  比方:ALL:ALL EXCEPT 192.168.60.132
  表示除了192.168.60.132这台机械,任何机械履行全部服务时或被答应或被回绝.
  理解了设定语法后,下面便可以对服务举行拜候限定.
  比方互联网上一台linux服务器,实现的目标是:仅仅答应222.90.66.4、61.185.224.66以及域名softpark.com通过SSH服务远程登录到系统,设置以下:
  首先设定答应登录的计算机,即配置/etc/hosts.allow文件,设置很简单,只要改正/etc/hosts.allow(假如没有此文件,请自行成立)这个文件便可.
  只需将下面法则加入/etc/hosts.allow便可.
  sshd: 222.90.66.4 61.185.224.66 softpark.com
  接着设置不答应登录的机械,也就是配置/etc/hosts.deny文件了.
  普通情形下,linux会首先判断/etc/hosts.allow这个文件,假如远程登录的计算机满意文件/etc/hosts.allow设定的话,就不会去利用/etc/hosts.deny文件了,相反,假如不满意hosts.allow文件设定的法则的话,就会去利用hosts.deny文件了,假如满意hosts.deny的法则,此主机就被限制为不可拜候linux服务器,假如也不满意hosts.deny的设定,此主机默许是可以拜候 linux服务器的,因此,当设定好/etc/hosts.allow文件拜候法则之后,只需设置/etc/hosts.deny为"全部计算机都不能登录状况"便可.
  sshd:ALL
  这样,一个简单的tcp_wrappers防火墙就设置完毕了
  以上是“Linux下常用安全战略设置办法[Linux安全]”的内容,如果你对以上该文章内容感兴趣,你可以看看七道奇为您推荐以下文章:
  • windows下的近似linux下的grep号令--findstr
  • linux下mysql链接被防火墙禁止的办理办法
  • Linux下mysql新建账号及权限设置办法
  • SUSE Linux下搭建Web服务器
  • Windows/Linux MySQL忘掉密码重置密码教程
  • Linux下Apache自动监测重启脚本(智能化程度较高)
  • linux备份 linux克隆 linux clone
  • <b>为什么 Linux不需求碎片整理</b>
  • CentOS6 yum搭建Linux+Nginx+PHP+MYSQL(LNMP)
  • Linux系统有效防备ARP攻击
  • Linux下 Memcache的安装和简单管理
  • 笔记本预装linux重装成windows系统
  • 本文地址: 与您的QQ/BBS好友分享!
    • 好的评价 如果您觉得此文章好,就请您
        0%(0)
    • 差的评价 如果您觉得此文章差,就请您
        0%(0)

    文章评论评论内容只代表网友观点,与本站立场无关!

       评论摘要(共 0 条,得分 0 分,平均 0 分) 查看完整评论
    Copyright © 2020-2022 www.xiamiku.com. All Rights Reserved .