Chinaunix首页 | 论坛 | 博客
  • 博客访问: 734657
  • 博文数量: 235
  • 博客积分: 4309
  • 博客等级: 中校
  • 技术积分: 2325
  • 用 户 组: 普通用户
  • 注册时间: 2011-01-17 11:25
个人简介

If you don\\\\\\\\\\\\\\\'t wanna do it, you find an EXCUSE; if you do, you\\\\\\\\\\\\\\\'ll find a WAY :-)

文章分类

全部博文(235)

文章存档

2014年(3)

2013年(2)

2012年(31)

2011年(199)

分类: LINUX

2011-01-17 17:11:34

关于分区
  缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!
  为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。
       最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。

  关于BIOS
  记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。

  关于口令
  口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。

  关于Ping
  echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all
关于SUID  
  # find / -perm -4000 -print
  你可以用chmod -s去掉一些不需要程序的suid位。

  关于账户注销
  如果系统管理员在离开系统时忘了从root注销,系统应该能够自动从shell中注销。
 编辑文件/etc/profile,在“histfilesize=”行的下一行增加如下一行:  tmout=600  则所有用户将在10分钟无操作后自动注销。注意:修改了该参数后,必须退出并重新登录root,更改才能生效。

  关于用户资源
  对你的系统上所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数,内存数量等。例如,对所有用户的限制, 编辑/etc/security/limits.con 
  由于NFS服务器漏洞比较多,你一定要小心。
编辑文件/etc/exports并且加:  
/dir/to/export host1.mydomain.com(ro,root_squash)
  root_squash禁止root写入该目录。运行/usr/sbin/exportfs -a。

  关于不安全的服务 
yppasswdd(NIS服务器)、ypserv(NIS服务器)nfs(NFS服务器)

  关于补丁  vim /etc/crontab 
01 03 * * * root /usr/bin/yum -y update && yum clean packages
  关于特权账号
  禁止所有默认的被操作系统本身启动的且不需要的帐号 ,你有的帐号越多,就越容易受到攻击。
  在终端上打入下面的命令删掉下面的特权用账号:  userdel adm
  userdel lp
  userdel sync
  userdel shutdown
  userdel halt
  userdel mail
  如果你不用sendmail服务器,就删除这几个帐号:  userdel news
  userdel uucp
  userdel operator
  userdel games
  如果你不用X windows服务器,就删掉这个帐号。  userdel gopher
  如果你不允许匿名FTP,就删掉这个用户帐号:  userdel ftp
阅读(375) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~