Chinaunix首页 | 论坛 | 博客

wenkudaren的ChinaUnix博客

首页 |  博文目录 |  关于我

wenkudaren

  • 博客访问: 423112
  • 博文数量: 113
  • 博客积分: 2228
  • 博客等级: 大尉
  • 技术积分: 1341
  • 用 户 组: 普通用户
  • 注册时间: 2012-10-24 15:07
文章分类

全部博文(113)

文章存档

2013年(52)

2012年(61)

我的朋友
最近访客
推荐博文
相关博文
最详细的linux安全手册

分类: LINUX

2012-12-03 09:42:54


本文讲述了如何通过基本的安全措施,使你的linux系统变得可靠。

  1Bios Security

  一定要给Bios设置密码,以防通过在Bios中改变启动顺序,而可以从软盘启动。这样

  可以阻止别人试图用特殊的启动盘启动你的系统,还可以阻止别人进入Bios改动其中的设

  置(比如允许通过软盘启动等)。

  2LILO Security

  在“/etc/lilo.conf”文件中加入下面三个参数:time-out,restricted,password。这

  三个参数可以使你的系统在启动lilo时就要求密码验证。

  第一步:

  编辑lilo.conf文件(vi /etc/lilo.comf,假如或改变这三个参数:

  boot=/dev/hda

  map=/boot/map

  install=/boot/boot.b

  time-out=00 #把这行改为00

  prompt

  Default=linux

  restricted #加入这行

  password= #加入这行并设置自己的密码

  image=/boot/vmlinuz-2.2.14-12

  label=linux

  initrd=/boot/initrd-2.2.14-12.img

  root=/dev/hda6

  read-only

  第二步:

  因为"/etc/lilo.conf"文件中包含明文密码,所以要把它设置为root权限读取。

  [root@kapil /]# chmod 600 /etc/lilo.conf

  第三步:

  更新系统,以便对“/etc/lilo.conf”文件做的修改起作用。

  [Root@kapil /]# /sbin/lilo -v

  第四步:

  使用“chattr”命令使"/etc/lilo.conf"文件变为不可改变。

  [root@kapil /]# chattr +i /etc/lilo.conf

  这样可以防止对“/etc/lilo.conf”任何改变(意外或其他原因)

  3、删除所有的特殊账户

  你应该删除所有不用的缺省用户和组账户(比如lp, sync, shutdown, halt, news,

  uucp, operator, games, gopher等)。

  删除用户:

  [root@kapil /]# userdel LP

  删除组:

  [root@kapil /]# groupdel LP

  4、选择正确的密码

  在选择正确密码之前还应作以下修改:

  修改密码长度:在你安装linux时默认的密码长度是5个字节。但这并不够,要把它设

  为8。修改最短密码长度需要编辑login.defs文件(vi /etc/login.defs),把下面这行

  PASS_MIN_LEN 5

  改为

  PASS_MIN_LEN 8

  login.defs文件是login程序的配置文件。

  5、打开密码的shadow支持功能:

  你应该打开密码的shadow功能,来对password加密。使用“/usr/sbin/authconfig”

  工具打开shadow功能。如果你想把已有的密码和组转变为shadow格式,可以分别使用

  “pwcov,grpconv”命令。

  6root账户

  在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销

  root账户,系统会自动注销。通过修改账户中“TMOUT”参数,可以实现此功能。TMOUT按秒

  计算。编辑你的profile文件(vi /etc/profile,"HISTFILESIZE="后面加入下面这行:

  TMOUT=3600

  3600,表示60*60=3600秒,也就是1小时。这样,如果系统中登陆的用户在一个小时

  内都没有动作,那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添

  加该值,以便系统对该用户实行特殊的自动注销时间。

  改变这项设置后,必须先注销用户,再用该用户登陆才能激活这个功能。

  7、取消普通用户的控制台访问权限

  你应该取消普通用户的控制台访问权限,比如shutdownreboothalt等命令。

  [root@kapil /]# rm -f /etc/security/console.apps/

  是你要注销的程序名。

  8、取消并反安装所有不用的服务

  取消并反安装所有不用的服务,这样你的担心就会少很多。察看“/etc/inetd.conf”

  文件,通过注释取消所有你不需要的服务(在该服务项目之前加一个“#”)。然后用

  “sighup”命令升级“inetd.conf”文件。
……
更多详细:
阅读(828) | 评论(0) | 转发(0) |
0

上一篇:解决Linux系统不能启动问题

下一篇:在Linux和Windows中共享资源

给主人留下些什么吧!~~
关于我们 | 关于IT168 | 联系方式 | 广告合作 | 法律声明 | 免费注册

Copyright 2001-2010 ChinaUnix.net All Rights Reserved 北京皓辰网域网络信息技术有限公司. 版权所有

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6