#FormatImgID_0# 一、磁盘分区
1、假如是新装置体系,对磁盘分区应考虑安全性:
1)根目录(/)、用户目录(/home)、暂时目录(/tmp)和 ar目录应分开到不同的磁盘分区;
2)以上各目录地点分区的磁盘空间巨细应充分考虑,防止因某些原因形成分区空间用完而导致体系溃散;
2、关于/tmp和 ar目录地点分区,大多数情况下不需求有suid特点的程序,所以应为这些分区增加nosuid特点;
办法一:修正/etc/fstab文件,增加nosuid特点字。例如:
/dev a2 /tmp ext2 exec,dev,nosuid,rw 0 0
办法二:假如对/etc/fstab文件操作不熟,主张经过linuxconf程序来修正。
运转linuxconf程序;
挑选File systems下的Access local drive;
挑选需求修正特点的磁盘分区;
挑选No setuid programs allowed选项;
根据需求挑选其它可选项;
正常退出。(一般会提示从头mount该分区)
二、装置
1、关于非测验主机,不该装置过多的软件包。这样能够下降因软件包而导致呈现安全漏洞的可能性。
2、关于非测验主机,在挑选主机发动服务时不该挑选非必需的服务。例如routed、ypbind等。
三、安全装备与增强
内核晋级。最少要晋级至2.2.16以上版别。
GNU libc同享库晋级。(正告:假如没有经验,不行简单测验。可暂缓。)
封闭风险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等
封闭非必需的网络服务。talk、ntalk、pop-2等
常见网络服务安全装备与晋级
保证网络服务所运用版别为当时最新和最安全的版别。
撤销匿名FTP拜访
去除非必需的suid程序
运用tcpwrapper
运用ipchains防火墙
日志体系syslogd
一些细节:
1.操作体系内部的log file是检测是否有网络侵略的重要头绪,当然这个假定你的logfile不被侵入者所损坏,假如你有台服务器用专线直接连到Internet上,这意味着你的IP地址是永久固定的地址,你会发现有很多人对你的体系做telnet/ftp登录测验,试着运转#more ar/log cure grep refused 去查看。
2. 约束具有SUID权限标志的程序数量,具有该权限标志的程序以root身份运转,是一个潜在的安全漏洞,当然,有些程序是必需要具有该标志的,象passwd程序。
3.BIOS安全。设置BIOS暗码且修正引导次第制止从软盘发动体系。
4. 用户口令。用户口令是Linux安全的一个最基本的起点,很多人运用的用户口令便是简略的‘password,这等于给侵入者敞开了大门,尽管从理论上说没有不能确解的用户口令,只需有满足的时刻和资源能够运用。比较好的用户口令是那些只要他自己能够简单记住并了解的一串字符,而且绝对不要在任何地方写出来。
5./etc/exports 文件。假如你运用NFS网络文件体系服务,那么保证你的/etc/exports具有最严厉的存取权限设置,不意味着不要运用任何通配符,不答应root写权限,mount成只读文件体系。修改文件/etc/exports而且加:例如:
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,
ro意味着mount成只读体系,root_squash制止root写入该目录。
为了让上面的改动收效,运转/usr/sbin/exportfs -a
6.坚信/etc/inetd.conf的一切者是root,且文件权限设置为600 。
[root@deep]# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
[root@deep]# stat /etc/inetd.conf
File: /etc/inetd.conf
Size: 2869 Filetype: Regular File
Mode: (0600/-rw——-) Uid: ( 0/ root) Gid: ( 0/ root)
Device: 8,6 Inode: 18219 Links: 1
Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)
Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)
修改/etc/inetd.conf制止以下服务:
ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,
auth, etc. 除非你真的想用它。
特别是制止那些r指令.假如你用ssh/scp,那么你也能够制止掉telnet/ftp。
为了使改动收效,运转#killall -HUP inetd
你也能够运转#chattr +i /etc/inetd.conf使该文件具有不行更改特点。
只要root才干解开,用指令
#chattr -i /etc/inetd.conf
7. TCP_WRAPPERS
默许地,Redhat Linux答应一切的恳求,用TCP_WRAPPERS增强你的站点的安全性是举手
之劳,你能够放入
“ALL: ALL”到/etc/hosts.deny中制止一切的恳求,然后放那些清晰答应的恳求到
/etc/hosts.allow中,如:
sshd: 192.168.1.10/255.255.255.0 gate.openarch.com
对IP地址192.168.1.10和主机名gate.openarch.com,答应经过ssh衔接。
装备完了之后,用tcpdchk查看
[root@deep]# tcpdchk
tcpchk是TCP_Wrapper装备查看东西,
它查看你的tcp wrapper装备并陈述一切发现的潜在/存在的问题。
8. 别号文件aliases
修改别号文件/etc/aliases(也可能是/etc/mail/aliases),移走/注释掉下面的行。
# Basic system aliases — these MUST be present.
MAILER-DAEMON: postmaster
postmaster: root
# General redirections for pseudo accounts.
bin: root
daemon: root
#games: root ?remove or comment out.
#ingres: root ?remove or comment out.
nobody: root
#system: root ?remove or comment out.
#toor: root ?remove or comment out.
#uucp: root ?remove or comment out.
# Well-known aliases.
