让你的linux操作系统更加安全

您当前所在位置：IT猫扑网 > 操作系统 > LINUX > 让你的linux操作系统更加安全

让你的linux操作系统更加安全 时间：2015-06-28 00:00 来源：IT猫扑网|http://www.itmop.com/ 作者：网管联盟 我要评论(0)

　　BIOS安全

　　记着要在BIOS设置中设定一个BIOS密码，不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的linux系统，并避免别人更改BIOS设置，如更改软盘启动设置或不弹出密码框直接启动服务器等。

　　LILO安全

　　在&/etc/lilo.conf&文件中添加3个参数：time-out、restricted 和 password。这些选项会在启动时间（如&linux single&）转到启动转载程序过程中，要求提供密码。

　　步骤1

　　编辑lilo.conf文件（/etc/lilo.conf），添加和更改这三个选项：

　　QUOTE:

　　boot=/dev/hda

　　map=/boot/map

　　install=/boot/boot.b

　　time-out=00 #change this line to 00

　　prompt

　　Default=linux

　　restricted #add this line

　　password=<password> #add this line and put your password

　　image=/boot/vmlinuz-2.2.14-12

　　label=linux

　　initrd=/boot/initrd-2.2.14-12.img

　　root=/dev/hda6

　　read-only

　　步骤2

　　由于其中的密码未加密，&/etc/lilo.conf&文件只对根用户为可读。

　　[root@kapil /]# chmod 600 /etc/lilo.conf （不再为全局可读）

　　步骤3

　　作了上述修改后，更新配置文件&/etc/lilo.conf&。

　　[Root@kapil /]# /sbin/lilo -v （更新lilo.conf文件）

　　步骤4

　　还有一个方法使&/etc/lilo.conf&更安全，那就是用chattr命令将其设为不可改：

　　[root@kapil /]# chattr i /etc/lilo.conf

　　它将阻止任何对&lilo.conf&文件的更改，无论是否故意。

　　关于lilo安全的更多信息，请参考LILO。

　　禁用所有专门帐号

　　在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系统中，将你不使用的所有默认用户帐号和群组帐号删除。

　　要删除用户帐号：

　　[root@kapil /]# userdel LP

　　要删除群组帐号：

　　[root@kapil /]# groupdel LP

　　选择恰当的密码

　　选择密码时要遵循如下原则：

　　密码长度：安装Linux系统时默认的最短密码长度为5个字符。这个长度还不够，应该增为8个。要改为8个字符，必须编辑 login.defs 文件（/etc/login.defs）：

　　PASS_MIN_LEN 5

　　改为：

　　PASS_MIN_LEN 8

　　&login.defs&是登录程序的配置文件。

　　启用盲区密码支持

　　请启用盲区密码功能。要实现这一点，使用&/usr/sbin/authconfig&实用程序。如果想把系统中现有的密码和群组改为盲区密码和群组，则分别用 pwconv 和 grpconv 命令。

　　根帐户

　　在UNIX系统中，根帐户具有最高权限。如果系统管理员在离开系统时忘了从根系统注销，系统应该能够自动从shell中注销。那么，你就需要设置一个特殊的 Linux 变量&TMOUT&，用以设定时间。

　　编辑&/etc/profile&文件在

　　&HISTFILESIZE=&

　　之后添加：

　　TMOUT=3600

　　为&TMOUT=&输入的值代表1小时的妙数（60 * 60 = 3600妙）。

　　在&/etc/profile&文件中加了这一行后，任何用户使用该系统时有1小时的休止状态，将自动执行注销操作。而如果用户要对该变量进行分别设定，可以在&.bashrc&文件中定义自动注销的时间。

　　修改了该参数后，必须退出并重新登录（为根帐户），更改才能生效。

　　禁止普通用户对控制台的所有访问

　　应该禁止服务器上的普通用户对关闭、重启、挂起等控制台级别程序的访问。运行如下命令：

　　[root@kapil /]# rm -f /etc/security/console.apps其中<servicename>为禁止访问的程序名称。

　　禁用 & 卸载所有不使用的服务

　　对所有不使用的服务，应该禁用并卸载，这样可以少些麻烦。查看&/etc/inetd.conf&文件，在不需要的项目行前加&＃&号，即改为注释语句，就可以禁用它们了。然后给 inetd 过程发送一个 SIGHUP 命令，对&inetd.conf&文件进行更新。步骤如下：

　　步骤1

　　将&/etc/inetd.conf&文件许可改为600，使其只对根用户为可读写。

　　[Root@kapil /]# chmod 600 /etc/inetd.conf

　　步骤2

　　确保&/etc/inetd.conf&文件的所有者为根用户。

　　步骤3

　　编辑 inetd.conf 文件（/etc/inetd.conf），禁用如下服务：

　　ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth，等等。

　　如果不打算用，禁用了这些服务可以减少风险。

　　步骤4

　　给 inetd 过程发送HUP信号：

　　[root@kapil /]# killall -HUP inetd

　　步骤5

　　将&/etc/inetd.conf&文件设为不可更改，chattr 命令可以使任何人都无法对其进行修改：

　　[root@kapil /]# chattr i /etc/inetd.conf

　　唯一可以设置或清除该属性的用户只有根用户。要修改inetd.conf文件，必须去掉不可更改标记：

　　[root@kapil /]# chattr -i /etc/inetd.conf

　　TCP_WRAPPERS

　　通过 TCP_WRAPPERS，可以使服务器更好地抵制外部侵入。最好的办法是拒绝所有主机：在&/etc/hosts.deny&文件中加入&ALL:&nbspALL@ALL, PARANOID&，然后在&/etc/hosts.allow&列出允许访问的主机。TCP_WRAPPERS 受控于两个文件，搜索时停在第一个匹配的地方。

　　/etc/hosts.allow

　　/etc/hosts.deny

　　步骤1

　　编辑 hosts.deny 文件（/etc/hosts.deny），加入如下行：

　　# Deny access to everyone.

　　ALL:&nbspALL@ALL, PARANOID

　　语句的意思是，除非在 allow 文件中说明允许访问，所有服务、所有主机都被拒绝。

　　步骤2

　　编辑 hosts.allow 文件（/etc/hosts.allow），例如在文件中添加如下行：

　　ftp: 202.54.15.99 foo.com

　　对于你的客户机来说：202.54.15.99为IP地址，foo.com为允许使用ftp的一个客户机。

　　步骤3

　　tcpdchk 程序是tcpd wrapper配置的检查程序。它对tcpd wrapper的配置进行检查，并报告所发现的潜在的和实际存在的问题。配置完成后，运行tcpdchk 程序：

　　[Root@kapil /]# tcpdchk

　　不要显示系统发行文件

　　当别人远程登录时，不应该显示系统发行文件。做法是在&/etc/inetd.conf&文件中更改telnet选项：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

　　改为：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

　　在末尾加&-h&标记使后台程序不显示任何系统信息，而只给用户提供一个 login: 提示符。

　　更改&/etc/host.conf&文件

　　&/etc/host.conf&文件用来指定如何解析名称的方法。编辑 host.conf 文件（/etc/host.conf），添加如下各行：

　　# Lookup names via DNS first then fall back to /etc/hosts.

　　order bind,hosts

　　# We have machines with multiple IP addresses.

　　multi on

　　# Check for IP address spoofing.

　　nospoof on

　　第一个选项首先通过DNS解析主机名称，然后解析主机文件。multi 选项用于确定&/etc/hosts&文件中的主机是否有多个IP地址（多接口以太网）。

　　nospoof 选项指明该机器不允许假信息。

　　为&/etc/services&文件免疫

　　必须为&/etc/services&文件进行磁盘免疫，以避免对文件未经授权的删除或添加。使用如下命令：

　　[root@kapil /]# chattr i /etc/services

　　不接受从不同控制台的根用户登录

　　&/etc/securetty&文件可以指定&root&用户允许从哪个TTY设备登录。编辑&/etc/securetty&文件，在不需要的tty前面加&＃&，禁用这些设备。

　　禁止任何人使用su命令

　　su命令（Substitute User，替代用户）可以使你成为系统的现有用户。如果不希望别人使用su进入根帐户，或者对某些用户限制使用&su&命令，则在&/etc/pam.d/&目录的&su&配置文件顶部加上下文中给出的两行代码。

　　编辑su文件（/etc/pam.d/su），在文件顶部添加如下两行：

　　auth sufficient /lib/security/pam_rootok.so debug

　　auth required /lib/security/Pam_wheel.so group=wheel

　　意思是，只有&wheel&组的成员可以用su命令；其中还包括了日志。你可以在wheel组中添加允许使用该命令的用户。

　　shell日志

　　shell可存储500个旧命令在&~/.bash_history&文件中（其中&~/&代表主目录），这样可以便于重复前面的长命令。系统中的每个帐号用户在各自的主目录中都有这个&.bash_history&文件。为安全起见，应使shell存储较少的命令，并在注销用户时将其删除。

关键词标签：linux,操作系统

文章评论

查看所有0条评论>>