仓酷云

 找回密码
 立即注册
搜索
热搜: 活动 交友 discuz
查看: 347|回复: 7
打印 上一主题 下一主题

[其他Linux] 来看看:CentOS 4.4及Linux下最经常使用最无效的平安设置

[复制链接]
灵魂腐蚀 该用户已被删除
跳转到指定楼层
楼主
发表于 2015-1-16 14:02:24 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
有些人号称用过十几种甚至几十种linux,向人谈论起来头头是到,好像懂的很多。
CentOS或RedHadEnterpriseLinux4的用户要起首要翻开SElinux,办法是修正/etc/selinux/config文件中的SELINUX=""为enforcing。它能够包管你的体系不会非一般的溃散。有些人以为应当封闭,我激烈不保举,固然只是将centos用来玩玩,不是用于实践服务器则无所谓了。
2、启用iptables防火墙,对增添体系平安有很多优点。设置好防火墙的划定规矩。
3、实行setup封闭那些不必要的服务,记着少开一个服务,就少一个伤害。
4、克制Control-Alt-Delete 键盘封闭命令
在"/etc/inittab" 文件中正文失落上面这行(利用#):
ca::ctrlaltdel:/sbin/shutdown -t3 -r now 
改成:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now 
为了使这项修改起感化,输出上面这个命令:
# /sbin/init q
5、给"/etc/rc.d/init.d" 下script文件设置权限
给实行或封闭启动时实行的程序的script文件设置权限。
# chmod -R 700 /etc/rc.d/init.d/* 
这暗示只要root才同意读、写、实行该目次下的script文件。
6、修正"/etc/host.conf"文件
"/etc/host.conf"申明了怎样剖析地点。编纂"/etc/host.conf"文件(vi /etc/host.conf),到场上面这行:
# Lookup names via DNS first then fall back to /etc/hosts. 
order bind,hosts 
# We have machines with multiple IP addresses. 
multi on 
# Check for IP address spoofing. 
nospoof on 
第一项设置起首经由过程DNS剖析IP地点,然后经由过程hosts文件剖析。第二项设置检测是不是"/etc/hosts"文件中的主机是不是具有多个IP地点(好比有多个以太口网卡)。第三项设置申明要注重对本机未经允许的电子棍骗。
7、使"/etc/services"文件免疫
使"/etc/services"文件免疫,避免未经允许的删除或增加服务:
# chattr +i /etc/services
8.制止你的体系呼应任何从内部/外部来的ping哀求。
既然没有人能ping通你的呆板并收到呼应,你能够年夜年夜加强你的站点的平安性。你能够加上面的一行命令到/etc/rc.d/rc.local,以使每次启动后主动运转。
echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all
9、对你的体系上一切的用户设置资本限定能够避免DoS范例打击(denialofserviceattacks)
如最猛进程数,内存数目等。比方,对一切用户的限定象上面如许:
vi/etc/security/limits.conf
上面的代码示例中,一切用户每一个会话都限定在10MB,并同意同时有四个登录。第三行禁用了每一个人的内核转储。第四行撤除了用户bin的一切限定。ftp同意有10个并发会话(对匿名ftp帐号特别有用);managers组的成员的历程数量限定为40个。developers有64MB的memlock限定,wwwusers的成员不克不及创立年夜于50MB的文件。
清单3.设置配额和限定
*hardrss10000
*hardmaxlogins4
*hardcore0
bin-
ftphardmaxlogins10
@managershardnproc40
@developershardmemlock64000
@wwwusershardfsize50000
要激活这些限定,您必要在/etc/pam.d/login底部增加上面一行:sessionrequired/lib/security/pam_limits.so
10、正文失落不必要的用户和用户组。
vipw
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/halt
mail:x:8:12:mail:/var/spool/mail:/sbin/nologin
news:x:9:13:news:/etc/news:
uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
operator:x:11:0:operator:/root:/sbin/nologin
games:x:12:100:games:/usr/games:/sbin/nologin
gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
ftp:x:14:50:FTPUser:/var/ftp:/sbin/nologin
nobody:x:99:99:Nobody:/:/sbin/nologin
dbus:x:81:81:Systemmessagebus:/:/sbin/nologin
vcsa:x:69:69:virtualconsolememoryowner:/dev:/sbin/nologin
rpm:x:37:37::/var/lib/rpm:/sbin/nologin
haldaemon:x:68:68:HALdaemon:/:/sbin/nologin
netdump:x:34:34:NetworkCrashDumpuser:/var/crash:/bin/bash
nscd:x:28:28:NSCDDaemon:/:/sbin/nologin
sshd:x:74:74:Privilerpc:x:32:32:PortmapperRPCuser:/:/sbin/nologin
rpcuser:x:29:29:RPCServiceUser:/var/lib/nfs:/sbin/nologin
nfsnobody:x:65534:65534:AnonymousNFSUser:/var/lib/nfs:/sbin/nologin
mailnull:x:47:47::/var/spool/mqueue:/sbin/nologin
smmsp:x:51:51::/var/spool/mqueue:/sbin/nologin
pcap:x:77:77::/var/arpwatch:/sbin/nologin
xfs:x:43:43:XFontServer:/etc/X11/fs:/sbin/nologin
ntp:x:38:38::/etc/ntp:/sbin/nologin
gdm:x:42:42::/var/gdm:/sbin/nologin
pegasus:x:66:65:tog-pegasusOpenPegasusWBEM/CIMservices:/var/lib/Pegasus:/sbin/nologin
htt:x:100:101:IIIMFHtt:/usr/lib/im:/sbin/nologin
wangjing:x:500:500::/home/wangjing:/bin/bash
mysql:x:101:102:MySQLserver:/var/lib/mysql:/bin/bash
apache:x:48:48:Apache:/var/www:/sbin/nologin
ge-separatedSSH:/var/empty/sshd:/sbin/nologin
关于不必要的用户全体加#正文失落。注重,我不倡议间接删除,当你某种缘故原由必要某个用户时,本人从头会很贫苦。
vi/etc/group
root:x:0:root
bin:x:1:root,bin,daemon
daemon:x:2:root,bin,daemon
sys:x:3:root,bin,adm
adm:x:4:root,adm,daemon
tty:x:5:
disk:x:6:root
lp:x:7:daemon,lp
mem:x:8:
kmem:x:9:
wheel:x:10:root
mail:x:12:mail
news:x:13:news
uucp:x:14:uucp
man:x:15:
games:x:20:
gopher:x:30:
dip:x:40:
ftp:x:50:
lock:x:54:
nobody:x:99:
users:x:100:
dbus:x:81:
floppy:x:19:
vcsa:x:69:
rpm:x:37:
haldaemon:x:68:
utmp:x:22:
netdump:x:34:
nscd:x:28:
slocate:x:21:
sshd:x:74:
rpc:x:32:
rpcuser:x:29:
nfsnobody:x:65534:
mailnull:x:47:
smmsp:x:51:
pcap:x:77:
xfs:x:43:
ntp:x:38:
gdm:x:42:
pegasus:x:65:
htt:x:101:
wangjing:x:500:
mysql:x:102:
apache:x:48:
关于不必要的用户组全体加#正文失落。注重,我不倡议间接删除,当你某种缘故原由必要某个用户组时,本人从头会很贫苦。
11、用chattr命令给上面的文件加上不成变动属性。
[root@deep]#chattr+i/etc/passwd
[root@deep]#chattr+i/etc/shadow
[root@deep]#chattr+i/etc/group
[root@deep]#chattr+i/etc/gshadow
注重实行这个操纵后,以root身份都不克不及向体系增添用户大概修正暗码了。假如我们要增添用户大概修正暗码的。应当先用chattr-i/etc/passwd等命令排除不成写设置,再举行操纵。
12、改动sshd缺省端口
SSHD的默许端口就是22,地球人都晓得,一般黑客在没有正确方针的情形下要寻觅Linux呆板的最好办法就是扫描一切开放了22端口的呆板,然后放在一个列内外,一个个往寻找它的毛病。
好比nmap4的新功效nmap-v-iR10000-P0-p22可随机在10000个IP里往寻觅开放了22端口的呆板。固然也能够有方针的把日本大概其他国度的ip段添上再扫描。
一般是依照服务对应的惯例端口往扫描,除非用全端口1-65535,但除非是针对性的对一台呆板扫描,不然如许效力不高。www.britepic.org
把默许端口改动成60022的步骤以下:
vi/etc/ssh/sshd_config
找到#Port22,标识默许利用22端口,假如必要变动为8888则往失落后面的#正文标记,修正为:Port60022
然后重启服务历程
#/etc/init.d/sshdrestart
sshd_config其他平安选项
把#PermitRootLoginyes改成PermitRootLoginno可避免root远程上岸
把#Protocol1,2改Protocol2,不必SSHprotocol1协定,只用2
固然另有一些选项,视必要而定,好比:Banner的假造、上岸失利后的的锁准时间、是不是同意空口令帐号上岸、服务器密钥的位数等、同意上岸的用户和IP等。
13、内核参数调剂
sysctl-wnet.ipv4.conf.default.accept_source_route=0
sysctl-wnet.ipv4.icmp_echo_ignore_broadcasts=1
#sysctl-wnet.ipv4.icmp_echo_ignore_all=1
sysctl-wnet.ipv4.icmp_ignore_bogus_error_responses=1
sysctl-wnet.ipv4.ip_conntrack_max=65535
sysctl-wnet.ipv4.tcp_syncookies=1
sysctl-wnet.ipv4.tcp_syn_retries=1
sysctl-wnet.ipv4.tcp_fin_timeout=5
sysctl-wnet.ipv4.tcp_synack_retries=1
sysctl-wnet.ipv4.tcp_syncookies=1
sysctl-wnet.ipv4.route.gc_timeout=100
sysctl-wnet.ipv4.tcp_keepalive_time=500
sysctl-wnet.ipv4.tcp_max_syn_backlog=10000
14、常常反省体系日记。体系日记次要位于/var/log/目次下。防患于已然。
经由过程以上设置你的体系一样平常来讲就对照平安了。固然平安与不平安是道与魔的奋斗

</p>
无论图形界面发展到什么水平这个原理是不会变的,Linux命令有许多强大的功能:从简单的磁盘操作、文件存取、到进行复杂的多媒体图象和流媒体文件的制作。
海妖 该用户已被删除
沙发
发表于 2015-1-25 16:47:12 | 只看该作者
放手去搞。尽量不要提问,运用搜索找答案,或者看wiki,从原理上理解操作系统的本质,而不是满足于使用几个技巧。尽量看英文资料。
透明 该用户已被删除
板凳
发表于 2015-2-3 11:54:41 | 只看该作者
永中office 2004增强版安装只需要默认安装即可使用并操作大多与win系统雷同,打印机的配置和管理,记录光盘等。
老尸 该用户已被删除
地板
发表于 2015-2-8 22:17:11 | 只看该作者
Linux的成功就在于用最少的资源最短的时间实现了所有功能,这也是符合人类进化的,相信以后节能问题会日益突出。
若天明 该用户已被删除
5#
发表于 2015-2-26 12:26:24 | 只看该作者
如果你有庞大而复杂的测试条件,尽量把它剪裁得越小越好。可能你会遇到这种情况,对于一个问题会出现不同内容回答,这时你需要通过实践来验证。
小女巫 该用户已被删除
6#
发表于 2015-3-8 15:17:24 | 只看该作者
其中不乏很多IT精英的心血。我们学透以后更可以做成自己的OS!?
金色的骷髅 该用户已被删除
7#
发表于 2015-3-16 03:47:38 | 只看该作者
众所周知,目前windows操作系统是主流,在以后相当长的时间内不会有太大的改变,其方便友好的图形界面吸引了众多的用户。
乐观 该用户已被删除
8#
发表于 2015-3-22 20:06:45 | 只看该作者
就这样,我们一边上OS理论课,一边上这个实验,这样挺互补的,老师讲课,一步一步地布置任务
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|仓酷云 鄂ICP备14007578号-2

GMT+8, 2024-12-23 22:16

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表