仓酷云

标题: 来一发几个小步聚打造宁静Linux体系 [打印本页]

作者: 飘灵儿    时间: 2015-1-14 20:29
标题: 来一发几个小步聚打造宁静Linux体系
如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!1、LILO宁静设置
vi/etc/lilo.conf.anaconda//修正LILO文件===============================================
……
restricted//到场这行
password=111111//到场这行并设置暗码为111111
……
================================================
chmod600/etc/lilo.conf.anaconda//设置为ROOT权限读取
/sbin/lilo-v//更新体系,使上述操纵失效
chattr+i/etc/lilo.conf.anaconda//设置LILO文件是不成写
2、设置默许口令和帐号长度与无效期
vi/etc/login.defs//修正login.defs文件================================================
……
PASS_MAX_DAYS99999
PASS_MIN_DAYS0
PASS_MIN_LEN8//修正体系默许暗码长度为8位
PASS_WARN_AGE7//口令无效期为7天
3、扫除不设口令的帐号
vi/etc/passwd//修正passwd文件=================================================
……
elain::500:501:elain:/home/elain:/bin/bash
……
//帐号elain没有设置口令。由于第二项为空,申明此帐号无暗码,这长短常伤害的,应当将此类帐号删除或给它设置口令。
4、出格的帐号处置
删除无用的用户和组用户
下令以下:
删除用户:userdelusername
删除组用户:groupdelgroupname
删除以下的用户:
adm
lp
sync
shutdown
halt
mail
--------------
news
uucp
operator
games//若没有MAIL办事器可删除
--------------
gopher//若没有XWindows办事器可删除
ftp//若不同意匿名会见FTP删除此帐号
5、权限与文件体系
lsattr//列出文件的属性
chattr//改动文件的属性
a//只可增加属性
i//不成改动属性
修正体系中关头文件以下:
passwd
passwd._
shadow
shadown._
xinetd.conf
services
lilo.conf等
例:chmod600/etc/xinetd.conf//修正文件属主为root
chattr+(-)i/etc/xinetd.conf//设置为不克不及(作废)修正
6、限定体系利用资本
vi/etc/security/limits.conf
=================================================
……
到场或修正上面这几行:
*hardcore0//克制创立core文件
*hardrss5000//除root外,别的用户内存利用为5M
*hardnproc20//限定最多历程为20
vi/etc/pam.d/login
=================================================
……
sessionrequired/lib/security/pam_limits.so
//在文件开端到场下面这一行
7、设置主动刊出帐号的登录
vi/etc/profile
===================================================
……
HOSTNAME=/bin/hostname
HISTSIZE=1000//这是汗青纪录数,越小越好
tmout=300//增加此行,暗示体系在五分钟内没有任何操纵,将主动这个帐号刊出
8、/etc/securetty文件宁静设置
vi/etc/securetty
====================================================
tty1
#tty2
……
#tty11//在默许的内容中正文失落除tty1外的一切tty,暗示root只能在tty1终端登录
9、克制外来PING哀求,避免补打击
vi/etc/rc.d/rc.local
====================================================
echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all
//增加下面一行,可制止体系呼应任何外来的PING哀求
10、限定显现出体系版本信息
当用户进进LINUX体系时体系将告知用户LINUX版本号,内核版本号和办事器主机名。
vi/etc/rc.d/rc.local
=====================================================
在内里增加以下:
……
#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou
#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.
#echo"">/etc/issue
#echo"$R">>/etc/issue
#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue
#
#cp-f/etc/issue/etc/issue.net
#echo>>/etc/issue
……
然后,实行上面几行下令
#rm-f/etc/issue
#rm-f/etc/issue.net
#touch/etc/issue
#touch/etc/issue.net
也能够独自编纂一个下令(telnet),如修正/etc/inetd.conf
telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h
如许,用户TELNET办事器时,就不会显现出体系版本信息等了,只显现“login:”。
11、设置文件/etc/host.conf,避免IP棍骗
vi/etc/host.conf
===================================================
……
#LookupnamesviaDNSfirstthenfallbackto/etc/hosts.
orderbind,hosts
#WedonthavemachineswithmultipeIPaddressesonthesamecard
(likevirtualserver,IPAliasing).
multioff
#CheskforIPaddressspoofing.
nospoofon
IPSpoofing:IP-Spoofingisasecurityexploitthatworksbytrichking
computersinatrustrelationshipthatyouaresomeonethatyoureallyaren.
//增加下面几行来避免IP棍骗打击
12、克制su作为root
vi/etc/pam.d/su
======================================================
……
authsufficient/lib/security/pam_rootok.sodebug
authrequired/lib/security/pam_wheel.sogroup=elain
在文件内增加如上两行,这暗示只要用户组elain里的成员能够用su作为root
若但愿用记admin能su作为root,可运转以下下令:
#usermod-G10admin
13、克制利用CTRL+ALT+DEL重启办事器
vi/etc/inittab
……
#ca::ctrlaltdel:/sbin/shutdown-t3-rnow//用“#”正文失落此行便可
然后运转:
#/sbin/init-q
14、刊出时删除下令纪录
vi/etc/skel/.bash_logout
============================================================
rm-f$HOME/.bash_history
15、确保开启的办事宁静
经常使用办事方面的下令:
grep-v"#"/etc/services//显现没有被正文失落的办事
ps-eaf|wc-l//统计以后体系翻开办事的总数
netstat-na(近程前面可加ip)//检察以后运转的办事
netstat-an|grepLISTEN//检察是不是有可疑端口翻开
固然,也能够实行以下下令:
shattr+i/etc/services//设置为不成感性属性
Linux启动时先检测剧本文件,在REDHAT下,在/etc/rc.d/rc3.d(rc5.d)下(图形化),剧本名字为启动按次。
K暗示杀逝世历程
S暗示启动的办事
如在启动时克制一个办事,只需把该办事的剧本文件的年夜写“S”变动为小写“s”
注重,以下3个办事毛病良多,激烈倡议封闭
yppasswdd(NIS办事器)
ypserv(NIS办事器)
nfs(NFS办事器)
16、LINUX防火墙宁静设置
system-config-securitylevel
17、LINUX体系宁静工具
Sxid:反省体系中的suid,sgid和没有仆人的文件
Skey:一次性口令工具
Logrotate:日记轮回工具
Logcheck:日记办理工具
Swatch:日记办理工具,比logcheck及时
Ssh(openssh):供应宁静的毗连认证
Portsentry:反扫描工具,监督本人的udp和tcp端口
Tripwire:供应体系完全性反省
Gnupg:对单个文件举行加密和创立数字署名
Hostsentry:基于主机的进侵检测,将毗连记进日记
ipchainsLinux:刊行版自带的包过滤形防火墙
Anti-sniff:反嗅探工具,反省收集中是不是有嗅探器
Freeswan:在LINUX中完成VPN的工具
Syslog-ng:替换syslog的日记文件体系
Scandns:举行DNS反省追踪工具
Whisker:CGI扫描器
Snoopy:经由过程跟踪execve体系挪用纪录文件的下令
Krnsniff:一个基于内核的监听模块
Iptable:用来替换ipchains包过滤防火墙
Imsafe:经由过程跟踪体系挪用来检测缓冲溢出等成绩
Iplog:对交往的包举行日记纪录
Solarisdesigner:内核补钉,避免缓冲溢出等
Stackguard:作为补钉修补GCC,避免缓冲溢出
DTK:Honeyport棍骗式进攻
Antiroute:制止和纪录基于路由的跟踪
============================================
搜集于收集,但愿能为宽大Linux喜好者供应必定的匡助,
若有更好的定见,敬请完美!

如果您觉得本篇CentOSLinux教程讲得好,请记得点击右边漂浮的分享程序,把好文章分享给你的小伙伴们!
作者: 灵魂腐蚀    时间: 2015-1-16 18:38
标题: 来一发几个小步聚打造宁静Linux体系
现在的linux操作系统如redhat,难点,红旗等,都是用这么一个内核,加上其它的用程序(包括X)构成的。
作者: 若相依    时间: 2015-2-2 22:33
工具书对于学习者而言是相当重要的。一本错误观念的工具书却会让新手整个误入歧途。目前国内关于Linux的书籍有很多不过精品的不多。
作者: 山那边是海    时间: 2015-2-8 19:49
不同于Windows?系统需要花钱购买,因为Linux的核心是免费的,自由使用的,核心源代码是开放的。
作者: 金色的骷髅    时间: 2015-2-26 02:52
任何人都可以根据自己的喜好来定制适合自己的操作系统,Linux?是抢占式多任务多用户操作系统.
作者: 透明    时间: 2015-3-8 11:58
Linux是参照Unix思想设计的,理解掌握Linux必须按照Unix思维来进行。思想性的转变比暂时性的技术提高更有用,因为他能帮助你加快学习速度。
作者: 只想知道    时间: 2015-3-16 05:37
和私有操作系统不同,各个Linux的发行版本的技术支持时间都较短,这对于Linux初学者是往往不够的。
作者: 变相怪杰    时间: 2015-3-22 21:16
随着Linux技术的更加成熟、完善,其应用领域和市场份额继续快速增大。目前,其主要应用领域是服务器系统和嵌入式系统。然而,它的足迹已遍布各个行业,几乎无处不在。




欢迎光临 仓酷云 (http://ckuyun.com/) Powered by Discuz! X3.2