資源描述:
《教你如何配置安全的Linux服務(wù)器》由會員上傳分享��,免費在線閱讀��,更多相關(guān)內(nèi)容在教育資源-天天文庫�。
1�����、配置安全的Linux服務(wù)器眾所周知��,網(wǎng)絡(luò)安全是一個非常重要的課題�����,而服務(wù)器是網(wǎng)絡(luò)安全中最關(guān)鍵的環(huán)節(jié)�。Linux被認(rèn)為是一個比較安全的Internet服務(wù)器���,作為一種開放源代碼操作系統(tǒng)�����,一旦Linux系統(tǒng)中發(fā)現(xiàn)有安全漏洞�,Internet上來自世界各地的志愿者會踴躍修補它�。然而,系統(tǒng)管理員往往不能及時地得到信息并進(jìn)行更正�����,這就給黑客以可乘之機�����。然而,相對于這些系統(tǒng)本身的安全漏洞����,更多的安全問題是由不當(dāng)?shù)呐渲迷斐傻模梢酝ㄟ^適當(dāng)?shù)呐渲脕矸乐?�。服?wù)器上運行的服務(wù)越多��,不當(dāng)?shù)呐渲贸霈F(xiàn)的機會也就越多�,出現(xiàn)安全問題的可能性就越大���。對此�,本文將介紹一些
2、增強Linux/Unix服務(wù)器系統(tǒng)安全性的知識�����。一��、系統(tǒng)安全記錄文件----操作系統(tǒng)內(nèi)部的記錄文件是檢測是否有網(wǎng)絡(luò)入侵的重要線索���。如果您的系統(tǒng)是直接連到Internet,您發(fā)現(xiàn)有很多人對您的系統(tǒng)做Telnet/FTP登錄嘗試����,可以運行"#more/var/log/secure
3、greprefused"來檢查系統(tǒng)所受到的攻擊�,以便采取相應(yīng)的對策��,如使用SSH來替換Telnet/rlogin等�����。二��、啟動和登錄安全性----1.BIOS安全----設(shè)置BIOS密碼且修改引導(dǎo)次序禁止從軟盤啟動系統(tǒng)��。----2.用戶口令----用戶口令是Linux
4、安全的一個基本起點����,很多人使用的用戶口令過于簡單,這等于給侵入者敞開了大門�,雖然從理論上說,只要有足夠的時間和資源可以利用����,就沒有不能破解的用戶口令�,但選取得當(dāng)?shù)目诹钍请y于破解的。較好的用戶口令是那些只有他自己容易記得并理解的一串字符���,并且絕對不要在任何地方寫出來。----3.默認(rèn)賬號----應(yīng)該禁止所有默認(rèn)的被操作系統(tǒng)本身啟動的并且不必要的賬號����,當(dāng)您第一次安裝系統(tǒng)時就應(yīng)該這么做�,Linux提供了很多默認(rèn)賬號,而賬號越多����,系統(tǒng)就越容易受到攻擊�����。----可以用下面的命令刪除賬號�����。----#userdel用戶名----或者用以下的命令刪除組用
5�、戶賬號���。----#groupdelusername----4.口令文件----chattr命令給下面的文件加上不可更改屬性��,從而防止非授權(quán)用戶獲得權(quán)限。----#chattr+i/etc/passwd----#chattr+i/etc/shadow----#chattr+i/etc/group----#chattr+i/etc/gshadow----5.禁止Ctrl+Alt+Delete重新啟動機器命令----修改/etc/inittab文件���,將"ca::ctrlaltdel:/sbin/shutdown-t3-rnow"一行注釋掉�。然后
6��、重新設(shè)置/etc/rc.d/init.d/目錄下所有文件的許可權(quán)限����,運行如下命令:----#chmod-R700/etc/rc.d/init.d/*----這樣便僅有root可以讀�����、寫或執(zhí)行上述所有腳本文件�����。----6.限制su命令----如果您不想任何人能夠su作為root��,可以編輯/etc/pam.d/su文件�����,增加如下兩行:----authsufficient/lib/security/pam_rootok.sodebug----authrequired/lib/security/pam_wheel.sogroup=isd----這
7��、時�,僅isd組的用戶可以su作為root��。此后���,如果您希望用戶admin能夠su作為root��,可以運行如下命令:----#usermod-G10admin----7.刪減登錄信息----默認(rèn)情況下��,登錄提示信息包括Linux發(fā)行版��、內(nèi)核版本名和服務(wù)器主機名等���。對于一臺安全性要求較高的機器來說這樣泄漏了過多的信息��??梢跃庉?etc/rc.d/rc.local將輸出系統(tǒng)信息的如下行注釋掉。----#Thiswilloverwrite/etc/issueateveryboot.So����,makeanychangesyou----#wanttomak
8����、eto/etc/issuehereoryouwilllosethemwhenyoureboot.----#echo"">/etc/issue----#echo"$R">>/etc/issue----#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue----#cp-f/etc/issue/etc/issue.net----#echo>>/etc/issue----然后,進(jìn)行如下操作:----#rm-f/etc/issue----#rm-f/etc/issue.net----#touch/etc
9����、/issue----#touch/etc/issue.net三�����、限制網(wǎng)絡(luò)訪問----1.NFS訪問----如果您使用NFS網(wǎng)絡(luò)文件系統(tǒng)服務(wù)��,應(yīng)該確保您的/etc/exports具有最嚴(yán)格的訪問
