打造LINUX系统安全
1、LILO安全设置
vi /etc/lilo.conf.anaconda //修改LILO文件
===============================================
……
restricted //加入这行
password=111111 //加入这行并设置密码为111111
……
================================================
chmod 600 /etc/lilo.conf.anaconda //设置为ROOT权限读取
/sbin/lilo -v //更新系统,使上述操作生效
chattr +i /etc/lilo.conf.anaconda //设置LILO文件是不可写
2、设置默认口令和帐号长度与有效期
vi /etc/login.defs //修改login.defs文件
================================================
……
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN 8 //修改系统默认密码长度为8位
PASS_WARN_AGE 7 //口令有效期为7天
3、清除不设口令的帐号
vi /etc/passwd //修改passwd文件
=================================================
……
elain::500:501:elain:/home/elain:/bin/bash
……
//帐号elain 没有设置口令。因为第二项为空,说明此帐号无密码,这是非常危险的,应该将此类帐号删除或给它设置口令。
4、特别的帐号处理
删除无用的用户和组用户
命令如下:
删除用户 :userdel username
删除组用户:groupdel groupname
删除下列的用户:
adm
lp
sync
shutdown
halt
————–
news
uucp
operator
games //若没有MAIL服务器可删除
————–
gopher //若没有X Windows服务器可删除
ftp //若不允许匿名访问FTP删除此帐号
5、权限与文件系统
lsattr //列出文件的属性
chattr //改变文件的属性
a //只可添加属性
i //不可改变属性
修改系统中关键文件如下:
passwd
passwd._
shadow
shadown._
xinetd.conf
services
lilo.conf等
例:chmod 600 /etc/xinetd.conf //修改文件属主为root
chattr +(-)i /etc/xinetd.conf //设置为不能(取消)修改
6、限制系统使用资源
vi /etc/security/limits.conf
=================================================
……
加入或修改下面这几行:
*hard core 0 //禁止创建core文件
*hard rss 5000 //除root外,其它用户内存使用为5M
*hard nproc 20 //限制最多进程为20
vi /etc/pam.d/login
=================================================
……
session required /lib/security/pam_limits.so
//在文件末尾加入上面这一行
7、设置自动注销帐号的登录
vi /etc/profile
===================================================
……
HOSTNAME=’/bin/hostname’
HISTSIZE=1000 //这是历史记录数,越小越好
tmout=300 //添加此行,表示系统在五分钟内没有任何操作,将自动这个帐号注销
8、/etc/securetty文件安全设置
vi /etc/securetty
====================================================
tty1
#tty2
……
#tty11 //在默认的内容中注释掉除tty1外的所有tty,表示root只能在tty1终端登录
9、禁止外来PING请求,防止补攻击
vi /etc/rc.d/rc.local
====================================================
echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all
//添加上面一行,可阻止系统响应任何外来的PING请求
10、限制显示出系统版本信息
当用户进入LINUX系统时系统将告诉用户LINUX版本号,内核版本号和服务器主机名。
vi /etc/rc.d/rc.local
=====================================================
在里面添加如下:
……
#This will overwrite /etc/issue at every boot.So,make any changesyou
#want to make to /etc/issue here oryou will lose them when you reboot.
#echo”"> /etc/issue
#echo”$R”>> /etc/issue
#echo”Kernel $(uname -r)on$a $(uname -m)”>>/etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >>/etc/issue
……
然后,执行下面几行命令
#rm -f /etc/issue
#rm -f /etc/issue.net
#touch /etc/issue
#touch /etc/issue.net
也可以单独编辑一个命令(telnet),如修改/etc/inetd.conf
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
这样,用户TELNET服务器时,就不会显示出系统版本信息等了,只显示“login:”。
11、设置文件/etc/host.conf,防止IP欺骗
vi /etc/host.conf
===================================================
……
#Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
#We don’t have machines with multipe IP addresses on the same card
(likevirtual server,IP Aliasing).
multi off
#Chesk for IP address spoofing.
nospoof on
IP Spoofing:IP-Spoofing is a security exploit that works by trichking
computers in a trust relationship that you are someone that you really aren.
//添加上面几行来防止IP欺骗攻击
12、禁止su作为root
vi /etc/pam.d/su
======================================================
……
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=elain
在文件内添加如上两行,这表示只有用户组elain里的成员可以用su作为root
若希望用记admin能su作为root,可运行以下命令:
#usermod -G10 admin
13、禁止使用CTRL+ALT+DEL重启服务器
vi /etc/inittab
……
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now //用“#”注释掉此行即可
然后运行:
#/sbin/init -q
14、注销时删除命令记录
vi /etc/skel/.bash_logout
============================================================
rm -f $HOME/.bash_history
15、确保开启的服务安全
常用服务方面的命令:
grep -v “#” /etc/services //显示没有被注释掉的服务
ps -eaf|wc -l //统计当前系统打开服务的总数
netstat -na (远程后面可加ip) //查看当前运行的服务
netstat -an |grep LISTEN //查看是否有可疑端口打开
当然,也可以执行如下命令:
shattr +i /etc/services //设置为不可理性属性
Linux启动时先检测脚本文件,在REDHAT下,在/etc/rc.d/rc3.d(rc5.d)下(图形化),脚本名字为启动顺序。
K 表示杀死进程
S 表示启动的服务
如在启动时禁止一个服务,只需把该服务的脚本文件的大写“S”更改为小写“s”
注意,以下3个服务漏洞很多,强烈建议关闭
yppasswdd(NIS服务器)
ypserv(NIS服务器)
nfs(NFS服务器)
16、LINUX防火墙安全配置
system-config-securitylevel
17、LINUX系统安全工具
Sxid:检查系统中的suid,sgid以及没有主人的文件
Skey:一次性口令工具
Logrotate:日志循环工具
Logcheck:日志管理工具
Swatch:日志管理工具,比logcheck实时
Ssh(openssh):提供安全的连接认证
Portsentry:反扫描工具,监视自己的udp和tcp端口
Tripwire:提供系统完整性检查
Gnupg:对单个文件进行加密以及创建数字签名
Hostsentry:基于主机的入侵检测,将连接记入日志
ipchains Linux:发行版自带的包过滤形防火墙
Anti-sniff:反嗅探工具,检查网络中是否有嗅探器
Freeswan:在LINUX中实现VPN的工具
Syslog-ng:替代syslog的日志文件系统
Scandns:进行DNS检查追踪工具
Whisker:CGI扫描器
Snoopy:通过跟踪execve系统调用记录文件的命令
Krnsniff:一个基于内核的监听模块
Iptable:用来替代ipchains包过滤防火墙
Imsafe:通过跟踪系统调用来检测缓冲溢出等问题
Iplog:对来往的包进行日志记录
Solaris designer:内核补丁,防止缓冲溢出等
Stackguard:作为补丁修补GCC,防止缓冲溢出
DTK:Honey port欺骗式防御
Antiroute:阻止和记录基于路由的跟踪
===========================================================
注:以上资料均收集于网络,版权归原作者所有,本人只是在学习时总结规纳了一下,希望对LINUX安全爱好者有所帮助!
转载请注明来自WebShell'S Blog,本文地址:https://www.webshell.cc/183.html