关于分区
缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!
为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。
最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。
关于BIOS
记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。
关于口令
口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。
关于Ping
echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
关于SUID
# find / -perm -4000 -print
你可以用chmod -s去掉一些不需要程序的suid位。
关于账户注销
如果系统管理员在离开系统时忘了从root注销,系统应该能够自动从shell中注销。
编辑文件/etc/profile,在“histfilesize=”行的下一行增加如下一行: tmout=600 则所有用户将在10分钟无操作后自动注销。注意:修改了该参数后,必须退出并重新登录root,更改才能生效。
关于用户资源
对你的系统上所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数,内存数量等。例如,对所有用户的限制, 编辑/etc/security/limits.con
由于NFS服务器漏洞比较多,你一定要小心。
编辑文件/etc/exports并且加:
/dir/to/export host1.mydomain.com(ro,root_squash)
root_squash禁止root写入该目录。运行/usr/sbin/exportfs -a。
关于不安全的服务
yppasswdd(NIS服务器)、ypserv(NIS服务器)nfs(NFS服务器)
关于补丁 vim /etc/crontab
01 03 * * * root /usr/bin/yum -y update && yum clean packages
关于特权账号
禁止所有默认的被操作系统本身启动的且不需要的帐号 ,你有的帐号越多,就越容易受到攻击。
在终端上打入下面的命令删掉下面的特权用账号: userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel mail
如果你不用sendmail服务器,就删除这几个帐号: userdel news
userdel uucp
userdel operator
userdel games
如果你不用X windows服务器,就删掉这个帐号。 userdel gopher
如果你不允许匿名FTP,就删掉这个用户帐号: userdel ftp
阅读(374) | 评论(0) | 转发(0) |