> 问答

让你的linux操作系统更加安全

人阅读 2024-10-17 03:06:28Linux
广告 X
欧意最新版本

欧意最新版本

欧意最新版本app是一款安全、稳定、可靠的数字货币交易平台。

APP下载  官网地址

  BIOS安全

  记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等。

  LILO安全

  在"/etc/lilo.conf"文件中添加3个参数:time-out、restricted 和 password。这些选项会在启动时间(如"linux single")转到启动转载程序过程中,要求提供密码。

  步骤1

  编辑lilo.conf文件(/etc/lilo.conf),添加和更改这三个选项:

  QUOTE:

  boot=/dev/hda

  map=/boot/map

  install=/boot/boot.b

  time-out=00 #change this line to 00

  prompt

  Default=linux

  restricted #add this line

  password=<password> #add this line and put your password

  image=/boot/vmlinuz-2.2.14-12

  label=linux

  initrd=/boot/initrd-2.2.14-12.img

  root=/dev/hda6

  read-only

  步骤2

  由于其中的密码未加密,"/etc/lilo.conf"文件只对根用户为可读。

  [root@kapil /]# chmod 600 /etc/lilo.conf (不再为全局可读)

  步骤3

  作了上述修改后,更新配置文件"/etc/lilo.conf"。

  [Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)

  步骤4

  还有一个方法使"/etc/lilo.conf"更安全,那就是用chattr命令将其设为不可改:

  [root@kapil /]# chattr i /etc/lilo.conf

  它将阻止任何对"lilo.conf"文件的更改,无论是否故意。

  关于lilo安全的更多信息,请参考LILO。

  禁用所有专门帐号

  在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系统中,将你不使用的所有默认用户帐号和群组帐号删除。

  要删除用户帐号:

  [root@kapil /]# userdel LP

  要删除群组帐号:

  [root@kapil /]# groupdel LP

  选择恰当的密码

  选择密码时要遵循如下原则:

  密码长度:安装Linux系统时默认的最短密码长度为5个字符。这个长度还不够,应该增为8个。要改为8个字符,必须编辑 login.defs 文件(/etc/login.defs):

  PASS_MIN_LEN 5

  改为:

  PASS_MIN_LEN 8

  "login.defs"是登录程序的配置文件。

  启用盲区密码支持

  请启用盲区密码功能。要实现这一点,使用"/usr/sbin/authconfig"实用程序。如果想把系统中现有的密码和群组改为盲区密码和群组,则分别用 pwconv 和 grpconv 命令。

  根帐户

  在UNIX系统中,根帐户具有最高权限。如果系统管理员在离开系统时忘了从根系统注销,系统应该能够自动从shell中注销。那么,你就需要设置一个特殊的 Linux 变量"TMOUT",用以设定时间。

  编辑"/etc/profile"文件在

  "HISTFILESIZE="

  之后添加:

  TMOUT=3600

  为"TMOUT="输入的值代表1小时的妙数(60 * 60 = 3600妙)。

  在"/etc/profile"文件中加了这一行后,任何用户使用该系统时有1小时的休止状态,将自动执行注销操作。而如果用户要对该变量进行分别设定,可以在".bashrc"文件中定义自动注销的时间。

  修改了该参数后,必须退出并重新登录(为根帐户),更改才能生效。

  禁止普通用户对控制台的所有访问

  应该禁止服务器上的普通用户对关闭、重启、挂起等控制台级别程序的访问。运行如下命令:

  [root@kapil /]# rm -f /etc/security/console.apps其中<servicename>为禁止访问的程序名称。

  禁用 & 卸载所有不使用的服务

  对所有不使用的服务,应该禁用并卸载,这样可以少些麻烦。查看"/etc/inetd.conf"文件,在不需要的项目行前加"#"号,即改为注释语句,就可以禁用它们了。然后给 inetd 过程发送一个 SIGHUP 命令,对"inetd.conf"文件进行更新。步骤如下:

  步骤1

  将"/etc/inetd.conf"文件许可改为600,使其只对根用户为可读写。

  [Root@kapil /]# chmod 600 /etc/inetd.conf

  步骤2

  确保"/etc/inetd.conf"文件的所有者为根用户。

  步骤3

  编辑 inetd.conf 文件(/etc/inetd.conf),禁用如下服务:

  ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。

  如果不打算用,禁用了这些服务可以减少风险。

  步骤4

  给 inetd 过程发送HUP信号:

  [root@kapil /]# killall -HUP inetd

  步骤5

  将"/etc/inetd.conf"文件设为不可更改,chattr 命令可以使任何人都无法对其进行修改:

  [root@kapil /]# chattr i /etc/inetd.conf

  唯一可以设置或清除该属性的用户只有根用户。要修改inetd.conf文件,必须去掉不可更改标记:

  [root@kapil /]# chattr -i /etc/inetd.conf

  TCP_WRAPPERS

  通过 TCP_WRAPPERS,可以使服务器更好地抵制外部侵入。最好的办法是拒绝所有主机:在"/etc/hosts.deny"文件中加入"ALL:&nbspALL@ALL, PARANOID",然后在"/etc/hosts.allow"列出允许访问的主机。TCP_WRAPPERS 受控于两个文件,搜索时停在第一个匹配的地方。

  /etc/hosts.allow

  /etc/hosts.deny

  步骤1

  编辑 hosts.deny 文件(/etc/hosts.deny),加入如下行:

  # Deny access to everyone.

  ALL:&nbspALL@ALL, PARANOID

  语句的意思是,除非在 allow 文件中说明允许访问,所有服务、所有主机都被拒绝。

  步骤2

  编辑 hosts.allow 文件(/etc/hosts.allow),例如在文件中添加如下行:

  ftp: 202.54.15.99 foo.com

  对于你的客户机来说:202.54.15.99为IP地址,foo.com为允许使用ftp的一个客户机。

  步骤3

  tcpdchk 程序是tcpd wrapper配置的检查程序。它对tcpd wrapper的配置进行检查,并报告所发现的潜在的和实际存在的问题。配置完成后,运行tcpdchk 程序:

  [Root@kapil /]# tcpdchk

  不要显示系统发行文件

  当别人远程登录时,不应该显示系统发行文件。做法是在"/etc/inetd.conf"文件中更改telnet选项:

  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

  改为:

  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

  在末尾加"-h"标记使后台程序不显示任何系统信息,而只给用户提供一个 login: 提示符。

  更改"/etc/host.conf"文件

  "/etc/host.conf"文件用来指定如何解析名称的方法。编辑 host.conf 文件(/etc/host.conf),添加如下各行:

  # Lookup names via DNS first then fall back to /etc/hosts.

  order bind,hosts

  # We have machines with multiple IP addresses.

  multi on

  # Check for IP address spoofing.

  nospoof on

  第一个选项首先通过DNS解析主机名称,然后解析主机文件。multi 选项用于确定"/etc/hosts"文件中的主机是否有多个IP地址(多接口以太网)。

  nospoof 选项指明该机器不允许假信息。

  为"/etc/services"文件免疫

  必须为"/etc/services"文件进行磁盘免疫,以避免对文件未经授权的删除或添加。使用如下命令:

  [root@kapil /]# chattr i /etc/services

  不接受从不同控制台的根用户登录

  "/etc/securetty"文件可以指定"root"用户允许从哪个TTY设备登录。编辑"/etc/securetty"文件,在不需要的tty前面加"#",禁用这些设备。

  禁止任何人使用su命令

  su命令(Substitute User,替代用户)可以使你成为系统的现有用户。如果不希望别人使用su进入根帐户,或者对某些用户限制使用"su"命令,则在"/etc/pam.d/"目录的"su"配置文件顶部加上下文中给出的两行代码。

  编辑su文件(/etc/pam.d/su),在文件顶部添加如下两行:

  auth sufficient /lib/security/pam_rootok.so debug

  auth required /lib/security/Pam_wheel.so group=wheel

  意思是,只有"wheel"组的成员可以用su命令;其中还包括了日志。你可以在wheel组中添加允许使用该命令的用户。

  shell日志

  shell可存储500个旧命令在"~/.bash_history"文件中(其中"~/"代表主目录),这样可以便于重复前面的长命令。系统中的每个帐号用户在各自的主目录中都有这个".bash_history"文件。为安全起见,应使shell存储较少的命令,并在注销用户时将其删除。

关键词标签:linux,操作系统

LOT物联网

iot产品 iot技术 iot应用 iot工程

Powered By LOT物联网  闽ICP备2024036174号-1

联系邮箱:support1012@126.com