linux 安全加固-lc0060305-ChinaUnix博客

李庚睿（lgr）的博客 -- 蔚蓝天空garry.blog.chinaunix.net

首页　| 　博文目录　| 　关于我

lc0060305

博客访问： 3346843
博文数量： 1450
博客积分： 11163
博客等级：上将
技术积分： 11101
用户组：普通用户
注册时间： 2005-07-25 14:40

文章分类

全部博文（1450）

音视频直播（2）
linux各种服务器（3）
ARM学习（8）

ARM汇编指令（7）
手机开发（230）

android（2）

iphone（4）

symbian（224）
nginx 分析（6）
vi常用方法（13）
linux 常用命令（65）

linux shell 脚本（38）
window批处理资料（15）
黑客技术（20）

linux 系统安全（12）
搜索引擎与网络爬（32）
数据库技术（143）
网络技术（25）

网络测试方法（2）
操作系统研究（192）

android源码分析（1）

linux驱动（20）
程序设计（513）

调试技术（3）

测试方法（7）

性能调优（2）

debian（1）

JNI（5）

configure.ac（1）

Makefile.am（3）

设计模式（19）

算法与数据结构（4）

java程序开发（103）

web程序开发（41）
随笔（129）

地图集（14）

英语（4）

笑话（56）

我喜爱的诗（6）

我的小诗（4）
未分配的博文（54）

文章存档

2017年（5）

2014年（2）

2013年（3）

2012年（35）

2011年（39）

2010年（88）

2009年（395）

2008年（382）

2007年（241）

2006年（246）

2005年（14）

我的朋友

相关博文

linux 安全加固

分类： LINUX

2009-10-15 11:29:56

1.自定义安装系统，把不用的服务禁用

2.给机箱上锁，BIOS,lilo/grub设置口令，/var,/home,/usr,/root使用独立的分区，防止垃圾数据和日志填满硬盘

3.给root设置足够强壮的密码，删除不必要的帐号和组，编辑/etc/login.defs，更改密码策略

4.限制使用su的用户：
vi /etc/pam.d/su，添加auth required /lib/security/$ISA/pam_wheel.so group=wheel行，用命令“usermod -G 10 <用户名>”来添加允许使用su的用户

5.禁止root使用ssh远程登入：
vi /etc/ssh/sshd_config，找到#PermitRootLogin yes 改成–> PermitRootLogin no，重启ssh服务

6.构建独立的linux日志服务器：
1>在日志服务器上
vi /etc/sysconfig/syslog，找到并修改 SYSLOGD_OPTIONS=”-r -m 0″，重启syslog服务
2>服务器上
vi /etc/syslog.conf，添加*.* @1.1.1.1
然后重启syslog服务,这样服务器的系统日志就会发往日志服务器1.1.1.1

7.给重要文件加锁，拒绝修改：
# chattr +i /etc/passwd
# chattr +i /etc/shadow
注：使用chattr提高ext2文件系统的安全性([url]http://www.nsfocus.net/index.php?act…=view&mid=1430)[/url]

8.Banner伪装：
Apache：编辑httpd.conf,找到#ServerTokens Full 改为 ServerTokens Prod，找到#ServerSignature On 改为 ServerSignature Off
Vsftpd: 编辑vsftpd.conf,找到#ftpd_banner=Welcome to blash FTP service，删除行首的“#”

9.防火墙脚本：
iptables -P INPUT DROP
iptables -A INPUT -i eth0 -s 192.168.0.100 -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.100 –mac-source 00:00:00:00:00:00 -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –syn -j DROP
iptables -A OUTPUT -o eth0 -p udp -j DROP

此防火墙脚本开放系统80端口的web服务，ssh端口仅允许管理员连接(假设：管理员ip为192.168.0.100，网卡的Mac地址为00:00:00:00:00:00)，禁止从服务器上对外发起tcp连接，过滤udp包。

10.选择使用LIDS保护系统，详情参考psef的《LIDS攻略》[url]http://www.xfocus.net/articles/200202/362.html[/url]

阅读(559) | 评论(0) | 转发(0) |

上一篇：linux 安全加固

下一篇：备份mysql数据库

给主人留下些什么吧！~~

感谢所有关心和支持过ChinaUnix的朋友们

16024965号-6