<acronym id='riftw'><em id='riftw'></em><td id='riftw'><div id='riftw'></div></td></acronym><address id='riftw'><big id='riftw'><big id='riftw'></big><legend id='riftw'></legend></big></address><fieldset id='riftw'></fieldset><span id='riftw'></span>
<i id='riftw'></i>

        1. <dl id='riftw'></dl>

          <i id='riftw'><div id='riftw'><ins id='riftw'></ins></div></i>
          <ins id='riftw'></ins>
        2. <tr id='riftw'><strong id='riftw'></strong><small id='riftw'></small><button id='riftw'></button><li id='riftw'><noscript id='riftw'><big id='riftw'></big><dt id='riftw'></dt></noscript></li></tr><ol id='riftw'><table id='riftw'><blockquote id='riftw'><tbody id='riftw'></tbody></blockquote></table></ol><u id='riftw'></u><kbd id='riftw'><kbd id='riftw'></kbd></kbd>

            <code id='riftw'><strong id='riftw'></strong></code>

            linux 服务器安全设置教程

            • 时间:
            • 浏览:4
            • 来源:124软件资讯网

                一、系统宁静记载文件

                操作系统内部的记载文件是检测是否有网络入侵的主要线索  。若是您的系统是直接连到Internet ,您发现有许多人对您的系统做Telnet/FTP登录实验  ,可以运行“#more /var/log/secure grep refused”来检查系统所受到的攻击  ,以便接纳响应的对策  ,如使用SSH来替换Telnet/rlogin等  。

                二、启动和登录宁静性

                1.BIOS宁静IXPUB

                设置BIOS密码且修改指导序次克制从软盘启动系统  。

                2.用户口令

                用户口令是Linux宁静的一个基本起点  ,许多人使用的用户口令过于简朴  ,这即是给侵入者敞开了大门 ,虽然从理论上说  ,只要有足够的时间和资源可以使用 ,就没有不能破解的用户口令  ,但选取恰当的口令是难于破解的  。较好的用户口令是那些只有他自己容易记得并明白的一串字符  ,而且绝对不要在任何地方写出来  。

                3.默认账号

                应该克制所有默认的被操作系统自己启动的而且不须要的账号  ,当您第一次安装系统时就应该这么做 ,Linux提供了许多默认账号  ,而账号越多  ,系统就越容易受到攻击  。

                可以用下面的下令删除账号  。

                [root@server /]# userdel 用户名

                或者用以下的下令删除组用户账号  。

                [root@server /]# groupdel username

                4.口令文件

                chattr下令给下面的文件加上不行更改属性  ,从而防止非授权用户获得权限  。

                [root@server /]# chattr +i /etc/passwd

                [root@server /]# chattr +i /etc/shadow

                [root@server /]# chattr +i /etc/group

                [root@server /]# chattr +i /etc/gshadow

                5.克制Ctrl+Alt+Delete重新启念头器下令

                修改/etc/inittab文件  ,将“ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉 。然后重新设置/etc/rc.d/init.d/目录下所有文件的允许权限  ,运行如下下令:

                [root@server /]# chmod -R 700 /etc/rc.d/init.d/*

                这样便仅有root可以读、写或执行上述所有剧本文件  。

                6.限制su下令

                若是您不想任何人能够su作为root  ,可以编辑/etc/pam.d/su文件  ,增添如下两行:

                auth sufficient /lib/security/pam_rootok.so debug

                auth required /lib/security/pam_wheel.so group=isd

                这时  ,仅isd组的用户可以su作为root  。今后 ,若是您希望用户admin能够su作为root  ,可以运行如下下令:

                [root@server /]# usermod -G10 admin

                7.删减登录信息

                默认情形下  ,登录提醒信息包罗Linux刊行版、内核版本名和服务器主机名等 。对于一台宁静性要求较高的机械来说这样走漏了过多的信息  。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉  。

                # This will overwrite /etc/issue at every boot. So  , make any changes you

                # want to make to /etc/issue here or you will lose them when you reboot.

                # echo “” 》 /etc/issue

                # echo “$R” 》》 /etc/issue

                # echo “Kernel $(uname -r) on $a $(uname -m)” 》》 /etc/issue

                # cp -f /etc/issue /etc/issue.net

                # echo 》》 /etc/issue

                然后  ,举行如下操作:

                [root@server /]# rm -f /etc/issue

                [root@server /]# rm -f /etc/issue.net

                [root@server /]# touch /etc/issue

                [root@server /]# touch /etc/issue.net

                8.设置Grub密码

                [root@server share]# grub-md5-crypt

                Password: //输入密码

                Retype password: //输入确认密码

                $1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0

                vim /boot/grub/grub.conf

                添加一行:password $1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0

                三、限制网络会见

                1.NFS会见若是您使用NFS网络文件系统服务 ,应该确保您的/etc/exports具有最严酷的会见权限设置  ,也就是意味着不要使用任何通配符、不允许root写权限而且只能安装为只读文件系统 。编辑文件/etc/exports并加入如下两行  。

                /dir/to/export host1.mydomain.com(ro  ,root_squash)

                /dir/to/export host2.mydomain.com(ro  ,root_squash)

                /dir/to/export 是您想输出的目录  ,host.mydomain.com是登录这个目录的机械名  ,ro意味着mount成只读系统  ,root_squash克制root写入该目录 。为了使改动生效 ,运行如下下令  。

                [root@server /]# /usr/sbin/exportfs -a

                2.Inetd设置

                首先要确认/etc/inetd.conf的所有者是root  ,且文件权限设置为600 。设置完成后  ,可以使用“stat”下令举行检查  。

                [root@server /]# chmod 600 /etc/inetd.conf

                然后  ,编辑/etc/inetd.conf克制以下服务  。

                ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

                若是您安装了ssh/scp ,也可以克制掉Telnet/FTP  。为了使改变生效  ,运行如下下令:

                [root@server /]# killall -HUP inetd

                默认情形下  ,多数Linux系统允许所有的请求  ,而用TCP_WRAPPERS增强系统宁静性是举手之劳 ,您可以修改/etc/hosts.deny和 /etc/hosts.allow来增添会见限制  。例如  ,将/etc/hosts.deny设为“ALL: ALL”可以默认拒绝所有会见 。然后在/etc/hosts.allow文件中添加允许的会见  。例如  ,“sshd: 192.168.1.10/255.255.255.0 gate.openarch.com”表现允许IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH毗连  。

                设置完成后  ,可以用tcpdchk检查:

                [root@server /]# tcpdchk

                tcpchk是TCP_Wrapper设置检查工具 ,它检查您的tcp wrapper设置并陈诉所有发现的潜在/存在的问题  。

                3.登录终端设置

                /etc/securetty文件指定了允许root登录的tty装备  ,由/bin/login法式读取  ,其花样是一个被允许的名字列表 ,您可以编辑/etc/securetty且注释掉如下的行 。

                # tty1

                # tty2

                # tty3

                # tty4

                # tty5

                # tty6

                这时  ,root仅可在tty1终端登录  。

                4.制止显示系统和版本信息  。

                若是您希望远程登任命户看不到系统和版本信息  ,可以通过一下操作改变/etc/inetd.conf文件:

                telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -

                加-h表现telnet不显示系统信息  ,而仅仅显示“login:” 。

                5.不允许root用户登录服务器

                [root@server /]# vim /etc/ssh/sshd_config

                修改:PermitRootLogin no

                四、防止攻击

                1.阻止ping 若是没人能ping通您的系统  ,宁静性自然增添了  。

                [root@server /]# vim /etc/sysctl.conf

                添加:net.ipv4.icmp_echo_ignore_all = 1

                [root@server /]# sysctl -p

                2.防止IP诱骗

                编辑host.conf文件并增添如下几行来防止IP诱骗攻击  。

                order bind ,hosts

                multi off

                nospoof on

                3.防止DoS攻击

                对系统所有的用户设置资源限制可以防止DoS类型攻击  。如最大历程数和内存使用数目等  。例如  ,可以在

                [root@server /]# vim /etc/security/limits.conf中添加如下几行:

                * hard core 0

                * hard rss 5000

                * hard nproc 20

                然后必须编辑/etc/pam.d/login文件检查下面一行是否存在  。

                session required /lib/security/pam_limits.so

                上面的下令克制调试文件  ,限制历程数为50而且限制内存使用为5MB  。