|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
看不懂man文档的人.在linux中,命令可分为系统基本命令和应用程序命令.系统基本命令是所有的unix类系统都支持的命令,走到哪都不变,只要是unix类系统上就肯定有.
1、磁盘分区
1、假如是新安装体系,对磁盘分区招考虑平安性:
1)根目次(/)、用户目次(/home)、一时目次(/tmp)和/var目次应分隔到分歧的磁盘分区;
2)以上各目次地点分区的磁盘空间巨细应充实思索,制止因某些缘故原由形成分区空间用完而招致体系溃散;
2、关于/tmp和/var目次地点分区,年夜多半情形下不必要有suid属性的程序,以是应为这些分区增加nosuid属性;
办法一:修正/etc/fstab文件,增加nosuid属性字。比方:
/dev/hda2/tmpext2exec,dev,nosuid,rw00
办法二:假如对/etc/fstab文件操纵不熟,倡议经由过程linuxconf程序来修正。
运转linuxconf程序;
选择"Filesystems"下的"Accesslocaldrive";
选择必要修正属性的磁盘分区;
选择"Nosetuidprogramsallowed"选项;
依据必要选择别的可选项;
一般加入。(一样平常会提醒从头mount该分区)
2、安装
1、关于非测试主机,不该安装过量的软件包。如许能够下降因软件包而招致呈现平安毛病的大概性。
2、关于非测试主机,在选择主机启动服务时不该选择非必须的服务。比方routed、ypbind等。
3、平安设置与加强
内核晋级。最少要晋级至2.2.16以上版本。
GNUlibc共享库晋级。(告诫:假如没有履历,不成容易实验。可暂缓。)
封闭伤害的收集服务。echo、chargen、shell、login、finger、NFS、RPC等
封闭非必须的收集服务。talk、ntalk、pop-2等
罕见收集服务平安设置与晋级
确保收集服务所利用版本为以后最新和最平安的版本。
作废匿名FTP会见
往除非必须的suid程序
利用tcpwrapper
利用ipchains防火墙
日记体系syslogd
一些细节:
1.操纵体系外部的logfile是检测是不是有收集进侵的主要线索,固然这个假定你的logfile不被侵进者所损坏,假如你有台服务器用专线间接连到Internet上,这意味着你的IP地点是永世流动的地点,你会发明有良多人对你的体系做telnet/ftp登录实验,试着运转#more/var/log/secure greprefused往反省。
2.限定具有SUID权限标记的程序数目,具有该权限标记的程序以root身份运转,是一个潜伏的平安毛病,固然,有些程序是必需要具有该标记的,象passwd程序。
3.BIOS平安。设置BIOS暗码且修正引诱序次克制从软盘启动体系。
4.用户口令。用户口令是Linux平安的一个最基础的出发点,良多人利用的用户口令就是复杂的‘password,这即是给侵进者关闭了年夜门,固然从实际上说没有不克不及确解的用户口令,只需有充足的工夫和资本能够使用。对照好的用户口令是那些只要他本人可以简单记得并了解的一串字符,而且相对不要在任何中央写出来。
5./etc/exports文件。假如你利用NFS收集文件体系服务,那末确保你的/etc/exports具有最严厉的存取权限设置,不料味着不要利用任何通配符,不同意root写权限,mount成只读文件体系。编纂文件/etc/exports而且加:比方:
/dir/to/exporthost1.mydomain.com(ro,root_squash)
/dir/to/exporthost2.mydomain.com(ro,root_squash)
/dir/to/export是你想输入的目次,host.mydomain.com是登录这个目次的呆板名,
ro意味着mount成只读体系,root_squash克制root写进该目次。
为了让下面的改动失效,运转/usr/sbin/exportfs-a
6.确信/etc/inetd.conf的一切者是root,且文件权限设置为600。
[root@deep]#chmod600/etc/inetd.conf
ENSUREthattheownerisroot.
[root@deep]#stat/etc/inetd.conf
File:"/etc/inetd.conf"
Size:2869Filetype:RegularFile
Mode:(0600/-rw-------)Uid:(0/root)Gid:(0/root)
Device:8,6Inode:18219Links:1
Access:WedSep2216:24:161999(00000.00:10:44)
Modify:MonSep2010:22:441999(00002.06:12:16)
Change:MonSep2010:22:441999(00002.06:12:16)
编纂/etc/inetd.conf克制以下服务:
ftp,telnet,shell,login,exec,talk,ntalk,imap,pop-2,pop-3,finger,
auth,etc.除非你真的想用它。
出格是克制那些r命令.假如你用ssh/scp,那末你也能够克制失落telnet/ftp。
为了使改动失效,运转#killall-HUPinetd
你也能够运转#chattr+i/etc/inetd.conf使该文件具有不成变动属性。
只要root才干解开,用命令
#chattr-i/etc/inetd.conf
7.TCP_WRAPPERS
默许地,RedhatLinux同意一切的哀求,用TCP_WRAPPERS加强你的站点的平安性是举手
之劳,你能够放进
“ALL:ALL”到/etc/hosts.deny中克制一切的哀求,然后放那些明白同意的哀求到
/etc/hosts.allow中,如:
sshd:192.168.1.10/255.255.255.0gate.openarch.com
对IP地点192.168.1.10和主机名gate.openarch.com,同意经由过程ssh毗连。
设置完了以后,用tcpdchk反省
[root@deep]#tcpdchk
tcpchk是TCP_Wrapper设置反省工具,
它反省你的tcpwrapper设置并呈报一切发明的潜伏/存在的成绩。
8.别号文件aliases
编纂别号文件/etc/aliases(也多是/etc/mail/aliases),移走/正文失落上面的行。
#Basicsystemaliases--theseMUSTbepresent.
MAILER-DAEMON:postmaster
postmaster:root
#Generalredirectionsforpseudoaccounts.
bin:root
daemon:root
#games:root?removeorcommentout.
#ingres:root?removeorcommentout.
nobody:root
#system:root?removeorcommentout.
#toor:root?removeorcommentout.
#uucp:root?removeorcommentout.
#Well-knownaliases.
#manager:root?removeorcommentout.
#dumper:root?removeorcommentout.
#operator:root?removeorcommentout.
#trapdecodetocatchsecurityattacks
#decode:root
#Personwhoshouldgetrootsmail
#root:marc
最初更新后不要健忘运转/usr/bin/newaliases,使改动失效。
9.制止你的体系呼应任何从内部/外部来的ping哀求。
既然没有人能ping通你的呆板并收到呼应,你能够年夜年夜加强你的站点的平安性。你能够加上面的一行命令到/etc/rc.d/rc.local,以使每次启动后主动运转。
echo1>;/proc/sys/net/ipv4/icmp_echo_ignore_all
10.不要显现出操纵体系和版本信息。
假如你但愿某团体远程登录到你的服务器时不要显现操纵体系和版本信息,你能改动
/etc/inetd.conf中的一行象上面如许:
telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h
加-h标记在最初使得telnet背景不要显现体系信息,而仅仅显现login:
11.The/etc/host.conffile
编纂host.conf文件(vi/etc/host.conf)且加上面的行:
#LookupnamesviaDNSfirstthenfallbackto/etc/hosts.
orderbind,hosts
#WedonthavemachineswithmultipleIPaddressesonthesamecard
(likevirtualserver,IPAliasing).
multioff
#CheckforIPaddressspoofing.
nospoofon
IPSpoofing:IP-Spoofingisasecurityexploitthatworksbytricking
computersinatrustrelationshipthatyouaresomeonethatyoureallyarent
</p>
只要了解了Linux的基础之后,应该就可以很轻易的解决掉这方面的问题。而有些朋友们常常一接触Linux就是希望构架网站,根本没有想到要先了解一下Linux的基础。这是相当困难的。 |
|