<span id='d6irk'></span>

    <i id='d6irk'><div id='d6irk'><ins id='d6irk'></ins></div></i>

      <i id='d6irk'></i>
      1. <tr id='d6irk'><strong id='d6irk'></strong><small id='d6irk'></small><button id='d6irk'></button><li id='d6irk'><noscript id='d6irk'><big id='d6irk'></big><dt id='d6irk'></dt></noscript></li></tr><ol id='d6irk'><table id='d6irk'><blockquote id='d6irk'><tbody id='d6irk'></tbody></blockquote></table></ol><u id='d6irk'></u><kbd id='d6irk'><kbd id='d6irk'></kbd></kbd>

        <code id='d6irk'><strong id='d6irk'></strong></code>

      2. <acronym id='d6irk'><em id='d6irk'></em><td id='d6irk'><div id='d6irk'></div></td></acronym><address id='d6irk'><big id='d6irk'><big id='d6irk'></big><legend id='d6irk'></legend></big></address>

          <ins id='d6irk'></ins>

          <dl id='d6irk'></dl>
          <fieldset id='d6irk'></fieldset>

        1. Linux下常用安全策略设置的六个方法

          • 时间:
          • 浏览:69
          • 来源:124软件资讯网

              “宁静第一”对于linux治理界以致盘算机也都是一个主要思量的问题 。加密的宁静性依赖于密码自己而非算法!而且  ,此处说到的宁静是指数据的完整性 ,由此  ,数据的认证宁静和完整性高于数据的私密宁静  ,也就是说数据发送者的不确定性以及数据的完整性得不到保证的话  ,数据的私密性当无从谈起!

              1. 克制系统响应任何从外部/内部来的ping请求攻击者一样平常首先通过ping下令检测此主机或者IP是否处于运动状态  ,若是能够ping通 某个主机或者IP  ,那么攻击者就以为此系统处于运动状态  ,继而举行攻击或破损 。若是没有人能ping通机械并收到响应 ,那么就可以大大增强服务器的宁静性  ,linux下可以执行如下设置  ,克制ping请求:

              [root@localhost ~]#echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all默认情形下“icmp_echo_ignore_all”的值为“0” ,表现响应ping操作  。

              可以加上面的一行下令到/etc/rc.d/rc.local文件中  ,以使每次系统重启后自动运行 。

              2.克制Control-Alt-Delete组合键重启系统

              在linux的默认设置下 ,同时按下Control-Alt-Delete键  ,系统将自动重启 ,这是很不宁静的 ,因此要克制Control-Alt-Delete组合键重启系统  ,只需修改/etc/inittab文件:

              代码如下:

              [root@localhost ~]#vi /etc/inittab

              找到此行:ca::ctrlaltdel:/sbin/shutdown -t3 -r now在之前加上“#”

              然后执行:

              代码如下:

              [root@localhost ~]#telinit q

              3.限制Shell记载历史下令巨细

              默认情形下  ,bash shell会在文件$HOME/.bash_history中存放多达1000条下令记载(凭据系统差别 ,默认记载条数差别)  。系统中每个用户的主目录下都有一个这样的文件 。

              这么多的历史下令记载  ,一定是不宁静的  ,因此必须限制该文件的巨细  。

              可以编辑/etc/profile文件 ,修改其中的选项如下:

              HISTSIZE=30

              表现在文件$HOME/.bash_history中记载最近的30条历史下令  。若是将“HISTSIZE”设置为0  ,则表现不记载历史下令 ,那么也就不能用键盘的上下键查找历史下令了  。

               4.删除系统默认的不须要用户和组

              Linux提供了种种系统账户 ,在系统安装完毕  ,若是不需要某些用户或者组  ,就要立刻删除它 ,由于账户越多  ,系统就越不宁静 ,越容易受到攻击 。

              删除系统不须要的用户用下面下令

              代码如下:

              [root@localhost ~]# userdel username

              删除系统不须要的组用如下下令:

              代码如下:

              [root@localhost ~]# groupdel groupname

              Linux系统中可以删除的默认用户和组有:

              删除的用户,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等  。

              删除的组,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等  。

              5. 关闭selinux

              SELinux是 Security-Enhanced Linux的简称  ,是一种内核强制会见控制宁静系统  ,现在SELinux已经集成到Linux 2.6内核的主线和大多数Linux刊行版上  ,由于SELinux与现有Linux应用法式和Linux内核模块兼容性还存在一些问题  ,因此建议初学者先关闭selinux ,等到对linux有了深入的熟悉后 ,再对selinux深入研究不迟!

              检察linux系统selinux是否启用  ,可以使用getenforce下令:

              代码如下:

              [root@localhost ~]# getenforce

              Disabled

              关闭selinux  ,在redhat系列刊行版中  ,可以直接修改如下文件:

              代码如下:

              [root@localhost ~]#vi /etc/sysconfig/selinux# This file controls the state of SELinux on the system.

              # SELINUX= can take one of these three values:

              # enforcing - SELinux security policy is enforced.

              # permissive - SELinux prints warnings instead of enforcing.

              # disabled - SELinux is fully disabled.

              SELINUX=enforcing

              # SELINUXTYPE= type of policy in use. Possible values are:

              # targeted - Only targeted network daemons are protected.

              # strict - Full SELinux protection.

              SELINUXTYPE=targeted

              将SELINUX=enforcing修改为SELINUX=disabled, 重启系统后将会制止SElinux 。

              6.设定tcp_wrappers防火墙

              Tcp_Wrappers是一个用来剖析TCP/IP封包的软件 ,类似的IP封包软件另有iptables  ,linux默认都安装了此软件  ,作为一个宁静的系统  ,Linux自己有两层宁静防火墙  ,通过IP过滤机制的iptables实现第一层防护 ,iptables防火墙通过直观地监视系统的运行状态 ,阻挡网络中的一些恶意攻击  ,掩护整个系统正常运行  ,免遭攻击和破损  。关于iptables的实现 ,将在下个章节详细讲述  。若是通过了第一层防护  ,那么下一层防护就是tcp_wrappers了  ,通过Tcp_Wrappers可以实现对系统中提供的某些服务的开放与关闭、允许和克制 ,从而更有用地保证系统宁静运行 。

              Tcp_Wrappers的使用很简朴  ,仅仅两个设置文件:/etc/hosts.allow和/etc/hosts.deny(1) 检察系统是否安装了Tcp_Wrappers

              [root@localhost ~]#rpm -q tcp_wrappers 或者[root@localhost ~]#rpm -qa | grep tcp

              tcp_wrappers-7.6-37.2

              tcpdump-3.8.2-10.RHEL4

              若是有上面的类似输出 ,表现系统已经安装了tcp_wrappers模块 。若是没有显示 ,可能是没有安装 ,可以从linux系统安装盘找到对应RPM包举行安装  。

              (2)tcp_wrappers防火墙的局限性

              系统中的某个服务是否可以使用tcp_wrappers防火墙  ,取决于该服务是否应用了libwrapped库文件  ,若是应用了就可以使用tcp_wrappers防火墙  ,系统中默认的一些服务如:sshd、portmap、sendmail、xinetd、vsftpd、tcpd等都可以使用tcp_wrappers防火墙  。

              (3) tcp_wrappers设定的规则

              tcp_wrappers防火墙的实现是通过/etc/hosts.allow和/etc/hosts.deny两个文件来完成的  ,首先看一下设定的花样:

              service:host(s) [:action]

              l service:代表服务名 ,例如sshd、vsftpd、sendmail等  。

              l host(s):主机名或者IP地址  ,可以有多个 ,例如192.168.60.0、www.ixdba.netl action:行动 , 切合条件后所接纳的行动  。

              几个要害字:

              l ALL:所有服务或者所有IP 。

              l ALL EXCEPT:所有的服务或者所有IP除去指定的  。

              例如:ALL:ALL EXCEPT 192.168.60.132

              表现除了192.168.60.132这台机械  ,任何机械执行所有服务时或被允许或被拒绝  。

              相识了设定语法后  ,下面就可以对服务举行会见限制 。

              例如互联网上一台linux服务器  ,实现的目的是:仅仅允许222.90.66.4、61.185.224.66以及域名softpark.com通过SSH服务远程登录到系统  ,设置如下:

              首先设定允许登录的盘算机  ,即设置/etc/hosts.allow文件  ,设置很简朴  ,只要修改/etc/hosts.allow(若是没有此文件  ,请自行建设)这个文件即可 。

              只需将下面规则加入/etc/hosts.allow即可  。

              sshd: 222.90.66.4 61.185.224.66 softpark.com接着设置不允许登录的机械 ,也就是设置/etc/hosts.deny文件了  。

              一样平常情形下 ,linux会首先判断/etc/hosts.allow这个文件  ,若是远程登录的盘算机知足文件/etc/hosts.allow设定的话 ,就不会去使用/etc/hosts.deny文件了 ,相反  ,若是不知足hosts.allow文件设定的规则的话 ,就会去使用hosts.deny文件了  ,若是知足hosts.deny的规则  ,此主机就被限制为不行会见linux服务器  ,若是也不知足hosts.deny的设定  ,此主机默认是可以会见linux服务器的  ,因此  ,当设定好/etc/hosts.allow文件会见规则之后  ,只需设置/etc/hosts.deny为“所有盘算机都不能登录状态”即可  。

              sshd:ALL

              这样  ,一个简朴的tcp_wrappers防火墙就设置完毕了 。