落岸天使论坛

 找回密码
 注册
搜索
论坛,不要冷落了陌生人新人注册后在此报道,奖励20羽毛:)严肃处理违规灌水行为及处罚办法
参与论坛宣传活动,获得积分勋章奖励知羽艺匠及其他模板资源下载珍惜你的ID 珍惜你的名誉
查看: 1245|回复: 0

[转贴] 安全使用RedHatLinux系统

[复制链接]

25

主题

8

回帖

61

积分

雾天使

Rank: 2

积分
61
发表于 2007-5-2 12:44:17 | 显示全部楼层 |阅读模式
本文将讲述一些基本的安全措施,使你能更安全地使用Linux,并且主要是关于Red Hat Linux的安全使用。
   BIOS安全

   记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘 启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等。

   LILO安全

   在“/etc/lilo.conf”文件中添加3个参数:time-out、restricted 和 password。这些选项会在启动时间(如“linux single”)转到启动转载程序过程中,要求提供密码。

   步骤1
   编辑lilo.conf文件(/etc/lilo.conf),添加和更改这三个选项:

boot=/dev/hda
map=/boot/map
install=/boot/boot.b
time-out=00 #change this line to 00
prompt
Default=linux
restricted #add this line
password= #add this line and put your password
image=/boot/vmlinuz-2.2.14-12
label=linux
initrd=/boot/initrd-2.2.14-12.img
root=/dev/hda6
read-only

   步骤2
   由于其中的密码未加密,“/etc/lilo.conf”文件只对根用户为可读。
   [root@kapil /]# chmod 600 /etc/lilo.conf (不再为全局可读)

   步骤3
   作了上述修改后,更新配置文件“/etc/lilo.conf”。
   [Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)
步骤4
   还有一个方法使“/etc/lilo.conf”更安全,那就是用chattr命令将其设为不可改:
   [root@kapil /]# chattr i /etc/lilo.conf
   它将阻止任何对“lilo.conf”文件的更改,无论是否故意。

   关于lilo安全的更多信息,请参考LILO。

   禁用所有专门帐号

   在lp, sync, shutdown, halt, news, uucp, operator, games, gopher等系统中,将你不使用的所有默认用户帐号和群组帐号删除。
   要删除用户帐号:
   [root@kapil /]# userdel LP

   要删除群组帐号:
   [root@kapil /]# groupdel LP

   选择恰当的密码

   选择密码时要遵循如下原则:

   密码长度:安装Linux系统时默认的最短密码长度为5个字符。这个长度还不够,应该增为8个。要改为8个字符,必须编辑 login.defs 文件(/etc/login.defs):

   PASS_MIN_LEN 5
   改为:
   PASS_MIN_LEN 8

   “login.defs”是登录程序的配置文件。

   启用盲区密码支持

   请启用盲区密码功能。要实现这一点,使用“/usr/sbin/authconfig”实用程序。如果想把系统中现有的密码和群组改为盲区密码和群组,则分别用 pwconv 和 grpconv 命令。

   根帐户

   在UNIX系统中,根帐户具有最高权限。如果系统管理员在离开系统时忘了从根系统注销,系统应该能够自动从shell中注销。那么,你就需要设置一个特殊的 Linux 变量“TMOUT”,用以设定时间。

   编辑“/etc/profile”文件在

   "HISTFILESIZE="
   之后添加:
   TMOUT=3600

   为“TMOUT=”输入的值代表1小时的妙数(60 * 60 = 3600妙)。

   在“/etc/profile”文件中加了这一行后,任何用户使用该系统时有1小时的休止状态,将自动执行注销操作。而如果用户要对该变量进行分别设定,可以在“.bashrc”文件中定义自动注销的时间。

   修改了该参数后,必须退出并重新登录(为根帐户),更改才能生效。
  禁止普通用户对控制台的所有访问

   应该禁止服务器上的普通用户对关闭、重启、挂起等控制台级别程序的访问。运行如下命令:

   [root@kapil /]# rm -f /etc/security/console.apps/

   其中 为禁止访问的程序名称。

   禁用 & 卸载所有不使用的服务

   对所有不使用的服务,应该禁用并卸载,这样可以少些麻烦。查看“/etc/inetd.conf”文件,在不需要的项目行前加“#”号,即改为注释语句,就可以禁用它们了。然后给 inetd 过程发送一个 SIGHUP 命令,对“inetd.conf”文件进行更新。步骤如下:

   步骤1
   将“/etc/inetd.conf”文件许可改为600,使其只对根用户为可读写。

   [Root@kapil /]# chmod 600 /etc/inetd.conf

   步骤2
   确保“/etc/inetd.conf”文件的所有者为根用户。

   步骤3
   编辑 inetd.conf 文件(/etc/inetd.conf),禁用如下服务:

   ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等。

   如果不打算用,禁用了这些服务可以减少风险。

   步骤4
   给 inetd 过程发送HUP信号:

   [root@kapil /]# killall -HUP inetd

   步骤5
   将“/etc/inetd.conf”文件设为不可更改,chattr 命令可以使任何人都无法对其进行修改:

   [root@kapil /]# chattr i /etc/inetd.conf

   唯一可以设置或清除该属性的用户只有根用户。要修改inetd.conf文件,必须去掉不可更改标记:

   [root@kapil /]# chattr -i /etc/inetd.conf

   TCP_WRAPPERS

   通过 TCP_WRAPPERS,可以使服务器更好地抵制外部侵入。最好的办法是拒绝所有主机:在“/etc/hosts.deny”文件中加入“ALL: ALL@ALL, PARANOID”,然后在“/etc/hosts.allow”列出允许访问的主机。TCP_WRAPPERS 受控于两个文件,搜索时停在第一个匹配的地方。

   /etc/hosts.allow
   /etc/hosts.deny
您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|小黑屋|手机版|Archiver|落岸天使论坛

GMT+8, 2024-11-26 19:33 , Processed in 0.103157 second(s), 22 queries .

Powered by Discuz! X3.4

© 2001-2023 Discuz! Team.

快速回复 返回顶部 返回列表