让安全性更上一层楼Linux平安配置步骤简述
一、磁盘分区
1、如果是新安装系统,对磁盘分区招考虑安全性:
1根目录/、用户目录/home、常设目录/tmp和/var目录应离开到不同的磁盘分区;
2以上各目录所在分区的磁盘空间大小应充足斟酌,防止因某些起因造成分区空间用完而导致系统瓦解;
2、对于/tmp和/var目录所在分区,大多数情形下不需要有suid属性的程序,所以应为这些分区增添nosuid属性;
办法一:修改/etc/fstab文件,增加nosuid属性字。例如:
/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0
^^^^^^
方式二:假如对/etc/fstab文件操作不熟,倡议通过linuxconf程序来修改。
. 运行linuxconf程序;
. 选择"File systems"下的"Access local drive";
. 取舍须要修改属性的磁盘分区;
. 抉择"No setuid programs allowed"选项;
. 依据需要选择其它可选项;
. 畸形退出。个别会提醒从新mount该分区
二、装置
1、对非测试主机,不应安装过多的软件包。这样能够下降因软件包而导致呈现安全破绽的可能性。
2、对于非测试主机,在选择主机启动服务时不应挑选非必需的服务。例如routed、ypbind等。
三、安全配置与增强
内核升级。最少要进级至2.2.16以上版本。
GNU libc共享库升级。忠告:如果没有教训,不可容易尝试。可暂缓。
关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等
封闭非必须的网络服务。talk、ntalk、pop2等
常见网络服务安全配置与升级
确保网络服务所应用版本为当前最新和最安全的版本。
撤消匿名FTP拜访
去除非必需的suid程序
使用tcpwrapper
使用ipchains防火墙
日志系统syslogd
一些细节:
1.操作系统内部的log file是检测是否有网络入侵的主要线索,当然这个假设你的logfile不被侵入者所损坏,如果你有台服务器用专线直接连到Internet上,这意味着你的IP地址是永恒固定牡刂罚?慊岱⑾钟泻芏嗳硕阅愕南低匙?elnet/ftp登录尝试,试着运行#more /var/log/secure ' grep refused 去检查。
2. 限度具有SUID权限标志的程序数目,具有该权限标志的程序以root身份运行,是一个潜在的安全漏洞,当然,有些程序是必需要拥有该标记的,象passwd程序。
3.BIOS保险。设置BIOS密码且修正领导顺序制止从软盘启动体系。
4. 用户口令。用户口令是Linux安全的一个最基础的出发点,良多人使用的用户口令就是简略的‘password\',这即是给侵入者敞开了大门,固然从实践上说不不能确解的用户口令,只有有足够的时光和资源可以应用。比拟好的用户口令是那些只有他本人可能轻易记得并懂得的一串字符,并且相对不要在任何处所写出来。
5./etc/exports 文件。如果你使用NFS网络文件系统服务,那么确保你的/etc/exports具备最严厉的存取权限设置,不象征着不要使用任何通配符,不允许root写权限,mount成只读文件系统。编辑文件/etc/exports并且加:例如:
/dir/to/export host1.mydomain.(ro,root_squash)
/dir/to/export host2.mydomain.(ro,root_squash)
/dir/to/export 是你想输出的目录,host.mydomain.是登录这个目录的机器名,
ro意味着mount成只读系统,root_squash禁止root写入该目录。
为了让上面的转变生效,运行/usr/sbin/exportfs a
6.确信/etc/inetd.conf的所有者是root,且文件权限设置为600 。
.rootdeep.# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
.rootdeep.# stat /etc/inetd.conf
File: "/etc/inetd.conf"
Size: 2869 Filetype: Regular File
Mode: (0600/rw) Uid: ( 0/ root) Gid: ( 0/ root)
Device: 8,6 Inode: 18219 Links: 1
Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)
Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)
编纂/etc/inetd.conf禁止以下服务:
ftp, telnet, shell, login, exec, talk, ntalk, imap, pop2, pop3, finger,
auth, etc. 除非你真的想用它。
特殊是禁止那些r命令.如果你用ssh/scp,那么你也可以禁止掉telnet/ftp。
为了使改变生效,运行#killall HUP inetd
你也可以运行#chattr +i /etc/inetd.conf使该文件存在不可更改属性。
只有root才干解开,用命令
#chattr i /etc/inetd.conf
7. TCP_WRAPPERS
默认地,Redhat Linux许可所有的请求,用TCP_WRAPPERS加强你的站点的安全性是举手
之劳,你可以放入
“ALL: ALL”到/etc/hosts.deny中禁止所有的恳求,而后放那些明白容许的要求到
/etc/hosts.allow中,如:
sshd: 192.168.1.10/255.255.255.0 gate.openarch.
对IP地址192.168.1.10跟主机名gate.openarch.,答应通过ssh衔接。
配置完了之后,用tcpdchk检查
.rootdeep.# tcpdchk
tcpchk是TCP_Wrapper配置检查工具,
它检讨你的tcp wrapper配置并讲演所有发明的潜在/存在的问题。
8. 别名文件aliases
编辑别号文件/etc/aliases也可能是/etc/mail/aliases),移走/解释掉下面的行。
# Basic system aliases these MUST be present.
MAILERDAEMON: postmaster
postmaster: root
# General redirections for pseudo accounts.
bin: root
daemon: root
#games: root remove or ment out.
#ingres: root remove or ment out.
nobody: root
#system: root remove or ment out.
#toor: root remove or ment out.
#uucp: root remove or ment out.
# Wellknown aliases.
阅读(623) | 评论(0) | 转发(0) |