<ins id='rml1t'></ins>
      <dl id='rml1t'></dl>
    1. <fieldset id='rml1t'></fieldset>

      <i id='rml1t'><div id='rml1t'><ins id='rml1t'></ins></div></i>

    2. <acronym id='rml1t'><em id='rml1t'></em><td id='rml1t'><div id='rml1t'></div></td></acronym><address id='rml1t'><big id='rml1t'><big id='rml1t'></big><legend id='rml1t'></legend></big></address><span id='rml1t'></span>

        <code id='rml1t'><strong id='rml1t'></strong></code>

        1. <i id='rml1t'></i>
        2. <tr id='rml1t'><strong id='rml1t'></strong><small id='rml1t'></small><button id='rml1t'></button><li id='rml1t'><noscript id='rml1t'><big id='rml1t'></big><dt id='rml1t'></dt></noscript></li></tr><ol id='rml1t'><table id='rml1t'><blockquote id='rml1t'><tbody id='rml1t'></tbody></blockquote></table></ol><u id='rml1t'></u><kbd id='rml1t'><kbd id='rml1t'></kbd></kbd>
        3. linux 服务器安全设置教程

          • 时间:
          • 浏览:9
          • 来源:124软件资讯网

              一、系统宁静记载文件

              操作系统内部的记载文件是检测是否有网络入侵的主要线索  。若是您的系统是直接连到Internet  ,您发现有许多人对您的系统做Telnet/FTP登录实验  ,可以运行“#more /var/log/secure grep refused”来检查系统所受到的攻击  ,以便接纳响应的对策 ,如使用SSH来替换Telnet/rlogin等  。

              二、启动和登录宁静性

              1.BIOS宁静IXPUB

              设置BIOS密码且修改指导序次克制从软盘启动系统 。

              2.用户口令

              用户口令是Linux宁静的一个基本起点  ,许多人使用的用户口令过于简朴  ,这即是给侵入者敞开了大门  ,虽然从理论上说  ,只要有足够的时间和资源可以使用  ,就没有不能破解的用户口令  ,但选取恰当的口令是难于破解的  。较好的用户口令是那些只有他自己容易记得并明白的一串字符  ,而且绝对不要在任何地方写出来  。

              3.默认账号

              应该克制所有默认的被操作系统自己启动的而且不须要的账号  ,当您第一次安装系统时就应该这么做 ,Linux提供了许多默认账号  ,而账号越多  ,系统就越容易受到攻击  。

              可以用下面的下令删除账号  。

              [root@server /]# userdel 用户名

              或者用以下的下令删除组用户账号  。

              [root@server /]# groupdel username

              4.口令文件

              chattr下令给下面的文件加上不行更改属性  ,从而防止非授权用户获得权限 。

              [root@server /]# chattr +i /etc/passwd

              [root@server /]# chattr +i /etc/shadow

              [root@server /]# chattr +i /etc/group

              [root@server /]# chattr +i /etc/gshadow

              5.克制Ctrl+Alt+Delete重新启念头器下令

              修改/etc/inittab文件  ,将“ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉  。然后重新设置/etc/rc.d/init.d/目录下所有文件的允许权限 ,运行如下下令:

              [root@server /]# chmod -R 700 /etc/rc.d/init.d/*

              这样便仅有root可以读、写或执行上述所有剧本文件  。

              6.限制su下令

              若是您不想任何人能够su作为root  ,可以编辑/etc/pam.d/su文件  ,增添如下两行:

              auth sufficient /lib/security/pam_rootok.so debug

              auth required /lib/security/pam_wheel.so group=isd

              这时 ,仅isd组的用户可以su作为root 。今后  ,若是您希望用户admin能够su作为root ,可以运行如下下令:

              [root@server /]# usermod -G10 admin

              7.删减登录信息

              默认情形下  ,登录提醒信息包罗Linux刊行版、内核版本名和服务器主机名等  。对于一台宁静性要求较高的机械来说这样走漏了过多的信息  。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉 。

              # This will overwrite /etc/issue at every boot. So  , make any changes you

              # want to make to /etc/issue here or you will lose them when you reboot.

              # echo “” 》 /etc/issue

              # echo “$R” 》》 /etc/issue

              # echo “Kernel $(uname -r) on $a $(uname -m)” 》》 /etc/issue

              # cp -f /etc/issue /etc/issue.net

              # echo 》》 /etc/issue

              然后 ,举行如下操作:

              [root@server /]# rm -f /etc/issue

              [root@server /]# rm -f /etc/issue.net

              [root@server /]# touch /etc/issue

              [root@server /]# touch /etc/issue.net

              8.设置Grub密码

              [root@server share]# grub-md5-crypt

              Password: //输入密码

              Retype password: //输入确认密码

              $1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0

              vim /boot/grub/grub.conf

              添加一行:password $1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0

              三、限制网络会见

              1.NFS会见若是您使用NFS网络文件系统服务 ,应该确保您的/etc/exports具有最严酷的会见权限设置  ,也就是意味着不要使用任何通配符、不允许root写权限而且只能安装为只读文件系统  。编辑文件/etc/exports并加入如下两行 。

              /dir/to/export host1.mydomain.com(ro ,root_squash)

              /dir/to/export host2.mydomain.com(ro ,root_squash)

              /dir/to/export 是您想输出的目录 ,host.mydomain.com是登录这个目录的机械名  ,ro意味着mount成只读系统 ,root_squash克制root写入该目录  。为了使改动生效  ,运行如下下令  。

              [root@server /]# /usr/sbin/exportfs -a

              2.Inetd设置

              首先要确认/etc/inetd.conf的所有者是root  ,且文件权限设置为600 。设置完成后 ,可以使用“stat”下令举行检查  。

              [root@server /]# chmod 600 /etc/inetd.conf

              然后  ,编辑/etc/inetd.conf克制以下服务  。

              ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

              若是您安装了ssh/scp  ,也可以克制掉Telnet/FTP 。为了使改变生效  ,运行如下下令:

              [root@server /]# killall -HUP inetd

              默认情形下  ,多数Linux系统允许所有的请求  ,而用TCP_WRAPPERS增强系统宁静性是举手之劳  ,您可以修改/etc/hosts.deny和 /etc/hosts.allow来增添会见限制  。例如  ,将/etc/hosts.deny设为“ALL: ALL”可以默认拒绝所有会见  。然后在/etc/hosts.allow文件中添加允许的会见 。例如 ,“sshd: 192.168.1.10/255.255.255.0 gate.openarch.com”表现允许IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH毗连 。

              设置完成后  ,可以用tcpdchk检查:

              [root@server /]# tcpdchk

              tcpchk是TCP_Wrapper设置检查工具 ,它检查您的tcp wrapper设置并陈诉所有发现的潜在/存在的问题  。

              3.登录终端设置

              /etc/securetty文件指定了允许root登录的tty装备  ,由/bin/login法式读取  ,其花样是一个被允许的名字列表  ,您可以编辑/etc/securetty且注释掉如下的行  。

              # tty1

              # tty2

              # tty3

              # tty4

              # tty5

              # tty6

              这时  ,root仅可在tty1终端登录 。

              4.制止显示系统和版本信息 。

              若是您希望远程登任命户看不到系统和版本信息  ,可以通过一下操作改变/etc/inetd.conf文件:

              telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -

              加-h表现telnet不显示系统信息  ,而仅仅显示“login:” 。

              5.不允许root用户登录服务器

              [root@server /]# vim /etc/ssh/sshd_config

              修改:PermitRootLogin no

              四、防止攻击

              1.阻止ping 若是没人能ping通您的系统  ,宁静性自然增添了 。

              [root@server /]# vim /etc/sysctl.conf

              添加:net.ipv4.icmp_echo_ignore_all = 1

              [root@server /]# sysctl -p

              2.防止IP诱骗

              编辑host.conf文件并增添如下几行来防止IP诱骗攻击  。

              order bind ,hosts

              multi off

              nospoof on

              3.防止DoS攻击

              对系统所有的用户设置资源限制可以防止DoS类型攻击  。如最大历程数和内存使用数目等  。例如  ,可以在

              [root@server /]# vim /etc/security/limits.conf中添加如下几行:

              * hard core 0

              * hard rss 5000

              * hard nproc 20

              然后必须编辑/etc/pam.d/login文件检查下面一行是否存在  。

              session required /lib/security/pam_limits.so

              上面的下令克制调试文件  ,限制历程数为50而且限制内存使用为5MB 。