收藏
下载资源

red hat linux服务器安全策略

上传人:第*** 文档编号:31326334 上传时间:2018-02-06 格式:DOC 页数:5 大小:32KB
返回 下载 相关 举报
red hat linux服务器安全策略_第1页
第1页 / 共5页
red hat linux服务器安全策略_第2页
第2页 / 共5页
red hat linux服务器安全策略_第3页
第3页 / 共5页
red hat linux服务器安全策略_第4页
第4页 / 共5页
red hat linux服务器安全策略_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《red hat linux服务器安全策略》由会员分享,可在线阅读,更多相关《red hat linux服务器安全策略(5页珍藏版)》请在金锄头文库上搜索。

1、Red Hat Linux 服务器安全策略一:启动信息安全1、为单用户引导加上密码在“/etc/lilo.conf”文件中加入三个参数:time-out,restricted,password。这三个参数可以使你的系统在启动 lilo 时就要求密码验证。 a): 编辑 lilo.conf 文件(vi /etc/lilo.conf),假如或改变这三个参数:boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #把这行该为 00 prompt Default=linux #加入这行 restricted #加入这行并设置自己的密码

2、 password= image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only b):因为/etc/lilo.conf文件中包含明文密码,所以要把它设置为 root 权限读取。 root# chmod 600 /etc/lilo.conf c):更新系统,以便对“/etc/lilo.conf”文件做的修改起作用。 root# /sbin/lilo -v d):使用“chattr”命令使/etc/lilo.conf文件变为不可改变。 root# chat

3、tr +i /etc/lilo.conf 2、禁止 Control-Alt-Delete 键盘关闭命令 在/etc/inittab 文件中注释掉下面这行: #ca:ctrlaltdel:/sbin/shutdown -t3 -r now 为了使这项改动起作用,输入下面这个命令: root# /sbin/init q二、隐藏系统的信息1、历史命令 Bash shell 在“/.bash_history”(“/” 表示用户目录)文件中保存了 500 条使用过的命令,这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个“.bash_history”文件。bash s

4、hell 应该保存少量的命令,并且在每次用户注销时都把这些历史命令删除。 (1) “/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE” 行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。把“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE” 行的值设为一个较小的数。编辑 profile 文件(vi /etc/profile) ,把下面这行改为:HISTFILESIZE=30 /设为 30 HISTSIZE=30 /不要把 HISTSIZE 置零,那样就不能使用上下健来调用历史命令了 这表示每个用户的“.

5、bash_history”文件只可以保存 30 条旧命令。 (2)在/etc/skel/.bash_logout 文件中添加下面这行rm -f $HOME/.bash_history 。这样,当用户每次注销时, “.bash_history”文件都会被删除。三、口令和用户帐号管理 1、 密码 (1)修改密码长度: boot#vi /etc/login.defs/-把 PASS_MIN_LEN 5 改为 PASS_MIN_LEN 8 (2)使用“/usr/sbin/authconfig”工具打开 shadow 功能,对 password 加密。如果你想把已有的密码和组转变为 shadow 格式,

6、可以分别使用 “pwcov,grpconv”命令。 (3)系统会自动注销 root,#vi /etc/profile/-在HISTFILESIZE=后面加入:TMOUT=3600 3600,表示 60*60=3600 秒,也就是 1 小时。这样,如果系统中登陆的用户在一个小时内都没有动作,那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值,以便系统对该用户实行特殊的自动注销时间。 改变这项设置后,必须先注销用户,再用该用户登陆才能激活这个功能。 2、 关闭或删除所有不用的缺省用户和组账户 禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做

7、此检查,Linux 提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。 为删除你系统上的用户,用下面的命令: rootdeep# userdel username 为删除你系统上的组用户帐号,用下面的命令: rootdeep# groupdel username 在终端上打入下面的命令删掉下面的用户。 rootdeep# userdel adm rootdeep# userdel lp rootdeep# userdel sync rootdeep# userdel shutdown rootdeep# userdel halt rootdeep#

8、 userdel mail 如果你不用 sendmail 服务器,procmail.mailx,就删除这个帐号。 rootdeep# userdel news rootdeep# userdel uucp rootdeep# userdel operator rootdeep# userdel games 如果你不用 X windows 服务器,就删掉这个帐号。 rootdeep# userdel gopher rootdeep# userdel ftp 如果你不允许匿名 FTP,就删掉这个用户帐号。 = 打入下面的命令删除组帐号 rootdeep# groupdel adm rootdeep

9、# groupdel lp rootdeep# groupdel mail /如不用 Sendmail 服务器,删除这个组帐号 rootdeep# groupdel news rootdeep# groupdel uucp rootdeep# groupdel games /如你不用 X Windows,删除这个组帐号 rootdeep# groupdel dip rootdeep# groupdel pppusers rootdeep# groupdel popusers /如果你不用 POP 服务器,删除这个组帐号 rootdeep# groupdel slipusers = 用下面的命令

10、加需要的用户帐号 rootdeep# useradd username 用下面的命令改变用户口令 rootdeep# passwd username 用 chattr 命令给下面的文件加上不可更改属性。 rootdeep# chattr +i /etc/passwd rootdeep# chattr +i /etc/shadow rootdeep# chattr +i /etc/group rootdeep# chattr +i /etc/gshadow 3、 限制用户权限 (1)取消普通用户的控制台访问权限,比如 shutdown、reboot、halt 等命令。 root# rm -f /

11、etc/security/console.apps/ /-是你要注销的程序名。 (2)不允许从不同的控制台进行 root 登陆 编辑/etc/securetty文件,在不需要登陆的 TTY 设备前添加“#” 标志,来禁止从该 TTY 设备进行 root 登陆。 (3)禁止任何人通过 su 命令改变为 root 用户 su(Substitute User 替代用户)命令允许你成为系统中其他已存在的用户。 boot#vi /etc/pam.d/su #在开头添加下面两行: auth sufficient /lib/security/pam_rootok.so debug auth required

12、 /lib/security/Pam_wheel.so group=wheel 这表明只有wheel 组的成员可以使用 su 命令成为 root 用户。你可以把用户添加到“wheel”组,以使它可以使用 su 命令成为 root 用户。然后,如果你希望用户 admin 能 su 作为 root.就运行下面的命令。 rootdeep# usermod -G10 admin 4、禁止不使用的 SUID/SGID 程序 如果一个程序被设置成了 SUID root,那么普通用户就可以以 root 身份来运行这个程序。网管应尽可能的少使用 SUID/SGID 程序,禁止所有不必要的 SUID/SGID

13、程序。 查找 root-owned 程序中使用s位的程序: root# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg ; 用下面命令禁止选中的带有s位的程序: root# chmod a-s program四、关闭不必要的服务或端口1、阻止你的系统响应任何从外部/内部来的 ping 请求。 既然没有人能 ping 通你的机器并收到响应,你可以大大增强你的站点的安全性。 你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行。 echo 1 /proc/sys/net/ipv4/icmp_e

14、cho_ignore_all五、关键文件或目录权限1、对于系统中的某些关键性文件如passwd、passwd.old、passwd._ 、shadow 、shadown._,inetd.conf、services 和 lilo.conf 等可修改其属性,防止意外修改和被普通用户查看。如将 inetd 文件属性改为 600 : # chmod 600 /etc/inetd.conf 这样就保证文件的属主为 root,然后还可以将其设置为不能改变: # chattr +i /etc/inetd.conf 这样,对该文件的任何改变都将被禁止 # chattr -i /etc/inetd.conf 取

15、消禁止更修属性 2、给/etc/rc.d/init.d 下的文件设置权限 给执行或关闭启动时执行的程序的所有目录设置许可权限 root# chmod -R 700 /etc/rc.d/init.d/* 这样便仅有 root 可以读、写或执行上述所有脚本文件。六、安全设置 1、TCP_WRAPPERS (1)#vi /etc/hosts.deny ,加入 # Deny access to everyone. ALL: ALLALL, PARANOID 这表明除非该地址在允许访问的主机列表中,否则阻塞所有的服务和地址。 (2)#vi /etc/hosts.allow,加入允许访问的主机列表,如: ftp: 202.54.15.99 (3)# tcpdchk /- 检查你的 tcp wrapper 设置 2、防止 ping echo 1/proc/sys/net/ipv4/icmp_echo_ignore_all 然后把此命令放到/etc/rc.local 中,每次启动自动执行.3、禁止提供 finger 服务 使用 finger 命令可以显示本地或远程系统中目前已登录用户的详细信息,黑客可以利用这些信息,增大侵入系统的机会。为了系统的安全,最好禁止提供 finger 服务。如下: 从/usr/bin 下删除 finger 命令; 如果要保留 finge

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 工程造价

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号