|
的系統(tǒng)文件
使用 +i 屬性鎖定service �����、passwd����、grub.conf 文件(將不能正常添加系統(tǒng)用戶)
# chattr +i /etc/service /etc/passd /boot/grub.conf
解除/etc/passwd文件的 +i 鎖定屬性
# lsattr /etc/passwd //查看文件的屬性狀態(tài)
# chattr -i /etc/passwd
? 應用程序和服務
1. 關閉不必要的系統(tǒng)服務
2. 禁止普通用戶執(zhí)行init.d目錄中的腳本
# chmod -R o-rwx /etc/init.d
或
# chmod -R 750 /etc/init.d
3. 禁止普通用戶執(zhí)行控制臺程序
/etc/security/console.apps/目錄下每一文件對應一個系統(tǒng)程序,如果不希望普通用戶調用這些控制臺程序��,可以將對應的配置文件移除
# cd /etc/security/console.apps/
# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot - - remove
4. 去除程序文件中非必需的set-uid 或 set-gid 附加權限
查找系統(tǒng)中設置了set-uid或set-gid權限的文件�����,并結合 –exec 選項顯示這些文件的詳細權限屬性
# find / -type f perm +6000 -exec ls -lh { } \ ;
去掉程序文件的suid/sgid位權限
# chmod a-s /tmp/back.vim
編寫shell腳本���,檢查系統(tǒng)中新增加的帶有suid或者sgid位權限的程序文件
(1) 在系統(tǒng)處于干凈狀態(tài)時��,建立合法suid/sgid文件的列表�����,作為是否有新增可疑suid文件的比較依據(jù)
# find / -type f -prem +6000 > /etc/sfilelist
# chmod 600 /etc/sfilelist
(2) 建立chksfile腳本文件��,與sfilelist比較,輸出新增的帶suid/sgid屬性的文件
# vi /usr/sbin/chksfile
#!/bin/bash
OLD_LIST=/etc/sfilelist
for i in ` find / -type -prem +6000 `
do
grep -F “$i” $OLD_LIST > /dev/null
[ $? -ne 0 ] && ls -lh $i
done
# chmod 700 /usr/bin/chkfile
(3) 執(zhí)行chkfile腳本����,檢查是否有新增suid/sgid文件
# cp /bin/touch /bin/mytouch //建立測試用程序文件
# chmod 4755 /bin/mytouch
# chksfile //執(zhí)行程序腳本��,輸出檢查結果
系統(tǒng)引導和登錄安全優(yōu)化開關機安全控制
1. 調整BIOS引導設置
將第一優(yōu)先引導設備設為當前系統(tǒng)所在硬盤�����,其他引導設置為Disabled.為BIOS設置管理員密碼���,安全級別調整為setup
2. 防止用戶通過Ctrl+Alt_Del熱鍵重啟系統(tǒng)
# vi /etc/inittab
# ca : :ctrlaltdel :/sbin/shutdown -t3 -r now //注掉該行
# init -q //使配置文件立即生效
? GRUB引導菜單加密
在grub.conf文件中設置明文密碼
# vi /boot/grub/grub.conf
password 123456 //僅在需要變更grub引導參數(shù)時才需要提供密碼
tiltle Red Enterprise Linux Server (2.6.18-8.el5)
root ( hd0,0 )
password 1234 //進入系統(tǒng)時輸入的密碼
在grub.conf文件中設置md5加密的密碼字符串
# vi mima
wang
wang
# grub-md5-crypt < mima >> /boot/grub/grub.conf
? 終端登錄控制
1. 即時禁止普通用戶登錄
# touch /etc/nologin //通過/etc/nologin文件即時禁止普通用戶登錄系統(tǒng)
2. 控制服務器開放的tty終端
# vi /etc/inittab
1. 控制允許root用戶登錄的tty終端
# vi /etc/securetty
1. 更改系統(tǒng)登錄提示,隱藏內核版本信息
通過修改/etc/issue��、/etc/issue.net文件(分別對應本地登錄�����、網(wǎng)絡登錄)
# vi /etc/issue
Welcome to server
# cp -f /etc/issue /etc/issue.net
2. 使用pam_access認證控制用戶登錄地點
Pam_access認證讀取/etc/security/access.conf配置文件��,該文件由權限�����、用戶�、來源,組成�����,用冒號進行分隔
權限 :加號 + 或 減號 - ,分別表示允許��、拒絕
用戶 : 用戶名部分���,多個用戶名用空格分開�����,組使用@組名的形式表示�����。ALL表示所有用戶
來源 :表示用戶從哪個終端或遠程主機登錄����,多個來源地點用空格分開
例:禁止除了root以外的用戶從tty1終端登錄系統(tǒng)
# vi /etc/pam.d/login //在PAM配置文件login中添加認證支持
account required pam_access.so
# vi /etc/security/access.conf
- : ALL EXCEPT root : tty1
例:禁止root用戶從192.168.1.0/24 ����、 172.16.0.0/8 網(wǎng)絡中遠程登錄
# vi /etc/pam.d/sshd //在PAM配置文件sshd中添加認證支持
account required pam_access.so
# vi /etc/security/access.conf
- : root : 192.168.1.0/24 172.16.0.0/8
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強���!虛擬主機域名注冊頂級提供商!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
