 该用户从未签到
|
7 }# V4 |/ Y. k _9 z0 J `0 m
系统安全性对于用户来说至关重要,Linux用户也不例外。笔者就自己使用Linux的经历,总结了一些增强Linux安全防护的小窍门,在此介绍给大家。 ! a; R5 p' D* j! F9 ?+ h9 C
1.为LILO增加开机口令 - o- `& ]4 j1 X6 {( ]* C8 ]" o
在/etc/lilo.conf文件中增加选项,从而使LILO启动时要求输入口令,以加强系统的安全性。具体设置如下: / Y& [+ n7 S* \
boot=/dev/hda ( K1 z! t; Y# ~( d! D4 x
map=/boot/map / V ^7 ?5 V8 Z5 M5 q
install=/boot/boot.b 7 }3 ]+ F6 H% n& s! Y6 m6 k
time-out=60 #等待1分钟
. |4 L. P F: k7 e) {2 P. ?& @prompt
* Z/ A6 r1 I% ~% ]6 _/ x( |( _default=linux . [( H* d' S* f+ O( i) q
password= ' Z: d/ M( u. |, l1 X
#口令设置
7 p2 ^1 v0 d0 Rimage=/boot/vmlinuz-2.2.14-12 7 j* d$ a/ y( b. A% i
label=linux 2 G6 a, H2 A% A/ y+ G# w
initrd=/boot/initrd-2.2.14-12.img - K6 p. `2 p: F$ i7 r; D0 S! y
root=/dev/hda6
& F; l4 ^* X6 ~- h" fread-only
+ Q& h# t6 s! H5 c" H( Q9 K3 f9 ]此时需注意,由于在LILO中口令是以明码方式存放的,所以还需要将 5 v' Y$ G5 ~$ d( x/ N
lilo.conf的文件属性设置为只有root可以读写。 ! a; M/ `% P, w1 B) r- i* \
# chmod 600 /etc/lilo.conf
9 k Q$ i+ j% A2 ^8 z8 ~. E- z当然,还需要进行如下设置,使 ! K/ _$ i4 ]3 x6 V; x& S
lilo.conf的修改生效。 $ n* H; ]) h1 \+ V
# /sbin/lilo -v * J: y/ w4 h3 a( u
2.设置口令最小长度和 * E3 x0 o# u6 V7 z7 b2 I
最短使用时间 " \8 r) d" I( Z2 i
口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/login.defs中参数PASS_MIN_LEN。同时应限制口令使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS。
8 t* `6 l* h9 e3.用户超时注销 - [" X1 [7 o+ T5 F; Y
如果用户离开时忘记注销账户,则可能给系统安全带来隐患。可修改/etc/profile文件,保证账户在一段时间没有操作后,自动从系统注销。 - D9 c- q- @0 y/ V8 W+ G
编辑文件/etc/profile,在“HISTFILESIZE=”行的下一行增加如下一行: & o* g3 R" J8 Q% }
TMOUT=600
. i6 G& d( M( ]则所有用户将在10分钟无操作后自动注销。
) U# m+ R& T; D# E4.禁止访问重要文件 7 V& @, _' `* U7 p R0 A8 P5 `& E
对于系统中的某些关键性文件如inetd.conf、services和lilo.conf等可修改其属性,防止意外修改和被普通用户查看。
4 E: T' V' L q, p& l首先改变文件属性为600: 8 |9 k& r2 W0 F8 [* E1 n8 d
# chmod 600 /etc/inetd.conf 5 j: _$ S0 b" ^! z( q. c1 b, c; `* {
保证文件的属主为root,然后还可以将其设置为不能改变: 0 d& t6 |3 _2 y
# chattr +i /etc/inetd.conf ) c! a3 w) M$ M+ s9 L* l
这样,对该文件的任何改变都将被禁止。 " v- ?/ b, e* r3 i, z
只有root重新设置复位标志后才能进行修改: 6 F, E' W9 u; w! {
# chattr -i /etc/inetd.conf " A% g8 i6 k6 w6 R+ w
5.允许和禁止远程访问 2 R! Z/ W) w( \/ ?* C Z \5 s
在Linux中可通过/etc/hosts.allow 和/etc/hosts.deny 这2个文件允许和禁止远程主机对本地服务的访问。通常的做法是:
- Z- X: h# n! c7 v: j(1)编辑hosts.deny文件,加入下列行: . J- E9 q4 P4 B8 U/ S# X$ g: }
# Deny access to everyone. ( [6 [5 ?3 M6 {2 }
ALL: ALL@ALL
* i$ a: J) {+ L( k3 J, O则所有服务对所有外部主机禁止,除非由hosts.allow文件指明允许。
9 G( A; h; Z% ` c(2)编辑hosts.allow 文件,可加入下列行:
5 y7 [# ?& q2 z6 _) ]/ h#Just an example: $ n5 M- s! ]1 C/ J1 c0 S6 U
ftp: 202.84.17.11 xinhuanet.com 9 J* O, l3 N# o% v
则将允许IP地址为202.84.17.11和主机名为xinhuanet.com的机器作为Client访问FTP服务。 ! X5 ]' `8 H2 N: M1 k& l
(3)设置完成后,可用tcpdchk检查设置是否正确。 9 f; a8 W' N% L# _3 \
6.限制Shell命令记录大小
9 _, N: s2 J- {: C默认情况下,bash shell会在文件$HOME/.bash_history中存放多达500条命令记录(根据具体的系统不同,默认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。在此笔者强烈建议限制该文件的大小。
8 X/ W0 {* @9 t0 j0 Z您可以编辑/etc/profile文件,修改其中的选项如下: HISTFILESIZE=30或HISTSIZE=30
% l. C% c' ?) R; {7.注销时删除命令记录
; e5 F0 E- l% B0 d5 ^2 H/ i4 v编辑/etc/skel/.bash_logout文件,增加如下行:
+ g) ^6 L# d8 O; D( Urm -f $HOME/.bash_history
6 r U* j. r& G) H# b这样,系统中的所有用户在注销时都会删除其命令记录。 # q3 T$ T! w+ r
如果只需要针对某个特定用户,如root用户进行设置,则可只在该用户的主目录下修改/$HOME/.bash_history文件,增加相同的一行即可。 8 a6 D% f4 B3 H b [; P
8.禁止不必要的SUID程序
8 J, ^- S8 `2 Q9 @! @2 g, W' G/ ~SUID可以使普通用户以root权限执行某个程序,因此应严格控制系统中的此类程序。
' j' ~$ w( j f找出root所属的带s位的程序:
' `" c& n( k9 D7 U$ V: j# find / -type f \( -perm -04000 -o -perm -02000 \) -print |less
! U, a; h* s4 c1 @( I# J. x禁止其中不必要的程序:
4 Q0 Q' r0 e) q; B7 I# chmod a-s program_name 9 [$ M! u$ W) y5 F( _0 C
9.检查开机时显示的信息
: O) X. d2 n6 X" J) ELinux系统启动时,屏幕上会滚过一大串开机信息。如果开机时发现有问题,需要在系统启动后进行检查,可输入下列命令: # c- d& E8 ]: N* Q1 @
#dmesg >bootmessage ! z( L: W3 Y# D0 J8 e
该命令将把开机时显示的信息重定向输出到一个文件bootmessage中。 ; R) e: P+ l% R4 `5 k
10.磁盘空间的维护 9 {9 H' |+ b% P- B
经常检查磁盘空间对维护Linux的文件系统非常必要。而Linux中对磁盘空间维护使用最多的命令就是df和du了。
% E+ e; M5 m4 v) y' ?; u6 Pdf命令主要检查文件系统的使用情况,通常的用法是:
* W) R2 c" @2 N, G#df -k
( ]$ A" ^, y: x* q4 EFilesystem 1k-blocks Used Available Use% Mounted on , [* K/ Q C7 V" C; n- N
/dev/hda3 1967156 1797786 67688 96% / 1 J J( n9 z( h9 w- Q$ U2 [- C* c* H
du命令检查文件、目录和子目录占用磁盘空间的情况,通常带-s选项使用,只显示需检查目录占用磁盘空间的总计,而不会显示下面的子目录占用磁盘的情况。 f& `2 s" |0 E# C) h8 A
% du -s /usr/X11R6/*
& z( T8 \' i3 N7 O/ s' C, Q34490 /usr/X11R6/bin
T& w% j- R& H1 d1 /usr/X11R6/doc . ]3 a3 o& [8 {7 U4 z1 \3 |
3354 /usr/X11R6/include |
|
/1 
IP卡
狗仔卡
发表于 2005-4-22 14:47:00
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
收藏
分享
顶
踩
转发到微博
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
抢沙发
千斤顶
显身卡