分类: LINUX
2009-10-15 11:29:56
1.自定义安装系统,把不用的服务禁用
2.给机箱上锁,BIOS,lilo/grub设置口令,/var,/home,/usr,/root使用独立的分区,防止垃圾数据和日志填满硬盘
3.给root设置足够强壮的密码,删除不必要的帐号和组,编辑/etc/login.defs,更改密码策略
4.限制使用su的用户:
vi /etc/pam.d/su,添加auth required /lib/security/$ISA/pam_wheel.so group=wheel行,用命令“usermod -G 10 <用户名>”来添加允许使用su的用户
5.禁止root使用ssh远程登入:
vi /etc/ssh/sshd_config,找到#PermitRootLogin yes 改成–> PermitRootLogin no,重启ssh服务
6.构建独立的linux日志服务器:
1>在日志服务器上
vi /etc/sysconfig/syslog,找到并修改 SYSLOGD_OPTIONS=”-r -m 0″,重启syslog服务
2>服务器上
vi /etc/syslog.conf,添加*.* @1.1.1.1
然后重启syslog服务,这样服务器的系统日志就会发往日志服务器1.1.1.1
7.给重要文件加锁,拒绝修改:
# chattr +i /etc/passwd
# chattr +i /etc/shadow
注:使用chattr提高ext2文件系统的安全性([url]http://www.nsfocus.net/index.php?act…=view&mid=1430)[/url]
8.Banner伪装:
Apache:编辑httpd.conf,找到#ServerTokens Full 改为 ServerTokens Prod,找到#ServerSignature On 改为 ServerSignature Off
Vsftpd: 编辑vsftpd.conf,找到#ftpd_banner=Welcome to blash FTP service,删除行首的“#”
9.防火墙脚本:
iptables -P INPUT DROP
iptables -A INPUT -i eth0 -s 192.168.0.100 -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -s 192.168.0.100 –mac-source 00:00:00:00:00:00 -p tcp –dport 22 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp –dport 80 -j ACCEPT
iptables -A INPUT -m state –state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp –syn -j DROP
iptables -A OUTPUT -o eth0 -p udp -j DROP
此防火墙脚本开放系统80端口的web服务,ssh端口仅允许管理员连接(假设:管理员ip为192.168.0.100,网卡的Mac地址为00:00:00:00:00:00),禁止从服务器上对外发起tcp连接,过滤udp包。
10.选择使用LIDS保护系统,详情参考psef的《LIDS攻略》[url]http://www.xfocus.net/articles/200202/362.html[/url]