|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
功能实在太强了,在配合exec参数或者通过管道重定向到xargs命令和grep命令,可以完成非常复杂的操作,如果同样的操作用图形界面的工具来完成,恐怕要多花十几陪的时间。
1、体系平安纪录文件
操纵体系外部的纪录文件是检测是不是有收集进侵的主要线索。假如您的体系是间接连到Internet,您发明有良多人对您的体系做Telnet/FTP登录实验,能够运转“#more/var/log/securegreprefused”来反省体系所遭到的打击,以便接纳响应的对策,如利用SSH来交换Telnet/rlogin等。
2、启动和登录平安性
1.BIOS平安IXPUB
设置BIOS暗码且修正引诱序次克制从软盘启动体系。
2.用户口令
用户口令是Linux平安的一个基础出发点,良多人利用的用户口令过于复杂,这即是给侵进者关闭了年夜门,固然从实际上说,只需有充足的工夫和资本能够使用,就没有不克不及破解的用户口令,但拔取妥当的口令是难于破解的。较好的用户口令是那些只要他本人简单记得并了解的一串字符,而且相对不要在任何中央写出来。
3.默许账号
应当克制一切默许的被操纵体系自己启动的而且不用要的账号,当您第一次安装体系时就应当这么做,Linux供应了良多默许账号,而账号越多,体系就越简单遭到打击。
能够用上面的命令删除账号。
[root@server/]#userdel用户名
大概用以下的命令删除组用户账号。
[root@server/]#groupdelusername
4.口令文件
chattr命令给上面的文件加上不成变动属性,从而避免非受权用户取得权限。
[root@server/]#chattr+i/etc/passwd
[root@server/]#chattr+i/etc/shadow
[root@server/]#chattr+i/etc/group
[root@server/]#chattr+i/etc/gshadow
5.克制Ctrl+Alt+Delete从头启念头器命令
修正/etc/inittab文件,将“ca::ctrlaltdel:/sbin/shutdown-t3-rnow”一行正文失落。然后从头设置/etc/rc.d/init.d/目次下一切文件的允许权限,运转以下命令:
[root@server/]#chmod-R700/etc/rc.d/init.d/*
如许便唯一root能够读、写或实行上述一切剧本文件。
6.限定su命令
假如您不想任何人可以su作为root,能够编纂/etc/pam.d/su文件,增添以下两行:
authsufficient/lib/security/pam_rootok.sodebug
authrequired/lib/security/pam_wheel.sogroup=isd
这时候,仅isd组的用户能够su作为root。今后,假如您但愿用户admin可以su作为root,能够运转以下命令:
[root@server/]#usermod-G10admin
7.删减登录信息
默许情形下,登录提醒信息包含Linux刊行版、内核版本名和服务器主机名等。关于一台平安性请求较高的呆板来讲如许泄露了过量的信息。能够编纂/etc/rc.d/rc.local将输入体系信息的以下行正文失落。
#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou
#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.
#echo“”》/etc/issue
#echo“$R”》》/etc/issue
#echo“Kernel$(uname-r)on$a$(uname-m)”》》/etc/issue
#cp-f/etc/issue/etc/issue.net
#echo》》/etc/issue
然后,举行以下操纵:
[root@server/]#rm-f/etc/issue
[root@server/]#rm-f/etc/issue.net
[root@server/]#touch/etc/issue
[root@server/]#touch/etc/issue.net
8.设置Grub暗码
[root@servershare]#grub-md5-crypt
Password://输出暗码
Retypepassword://输出确认暗码
$1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0
vim/boot/grub/grub.conf
增加一行:password$1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0
3、限定收集会见
1.NFS会见假如您利用NFS收集文件体系服务,应当确保您的/etc/exports具有最严厉的会见权限设置,也就是意味着不要利用任何通配符、不同意root写权限而且只能安装为只读文件体系。编纂文件/etc/exports并到场以下两行。
/dir/to/exporthost1.mydomain.com(ro,root_squash)
/dir/to/exporthost2.mydomain.com(ro,root_squash)
/dir/to/export是您想输入的目次,host.mydomain.com是登录这个目次的呆板名,ro意味着mount成只读体系,root_squash克制root写进该目次。为了使修改失效,运转以下命令。
[root@server/]#/usr/sbin/exportfs-a
2.Inetd设置
起首要确认/etc/inetd.conf的一切者是root,且文件权限设置为600。设置完成后,可使用“stat”命令举行反省。
[root@server/]#chmod600/etc/inetd.conf
然后,编纂/etc/inetd.conf克制以下服务。
ftptelnetshellloginexectalkntalkimappop-2pop-3fingerauth
假如您安装了ssh/scp,也能够克制失落Telnet/FTP。为了使改动失效,运转以下命令:
[root@server/]#killall-HUPinetd
默许情形下,多半Linux体系同意一切的哀求,而用TCP_WRAPPERS加强体系平安性是举手之劳,您能够修正/etc/hosts.deny和/etc/hosts.allow来增添会见限定。比方,将/etc/hosts.deny设为“ALL:ALL”能够默许回绝一切会见。然后在/etc/hosts.allow文件中增加同意的会见。比方,“sshd:192.168.1.10/255.255.255.0gate.openarch.com”暗示同意IP地点192.168.1.10和主机名gate.openarch.com同意经由过程SSH毗连。
设置完成后,能够用tcpdchk反省:
[root@server/]#tcpdchk
tcpchk是TCP_Wrapper设置反省工具,它反省您的tcpwrapper设置并呈报一切发明的潜伏/存在的成绩。
3.登录终端设置
/etc/securetty文件指定了同意root登录的tty设备,由/bin/login程序读取,其格局是一个被同意的名字列表,您能够编纂/etc/securetty且正文失落以下的行。
#tty1
#tty2
#tty3
#tty4
#tty5
#tty6
这时候,root仅可在tty1终端登录。
4.制止显现体系和版本信息。
假如您但愿远程登任命户看不到体系和版本信息,能够经由过程一下操纵改动/etc/inetd.conf文件:
telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-
加-h暗示telnet不显现体系信息,而仅仅显现“login:”。
5.不同意root用户登录服务器
[root@server/]#vim/etc/ssh/sshd_config
修正:PermitRootLoginno
4、避免打击
1.制止ping假如没人能ping通您的体系,平安性天然增添了。
[root@server/]#vim/etc/sysctl.conf
增加:net.ipv4.icmp_echo_ignore_all=1
[root@server/]#sysctl-p
2.避免IP棍骗
编纂host.conf文件并增添以下几行来避免IP棍骗打击。
orderbind,hosts
multioff
nospoofon
3.避免DoS打击
对体系一切的用户设置资本限定能够避免DoS范例打击。如最猛进程数和内存利用数目等。比方,能够在
[root@server/]#vim/etc/security/limits.conf中增加以下几行:
*hardcore0
*hardrss5000
*hardnproc20
然后必需编纂/etc/pam.d/login文件反省上面一行是不是存在。
sessionrequired/lib/security/pam_limits.so
下面的命令克制调试文件,限定历程数为50而且限定内存利用为5MB。
经常看到有人问用什么版本的linux好,其实只要你认真学习无论什么版本都挺好的。 |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 11:47:03
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜