|
一、磁盤分區(qū)
1�、如果是新安裝系統(tǒng),對(duì)磁盤分區(qū)應(yīng)考慮安全性:
1)根目錄(/)�、用戶目錄(/home)、臨時(shí)目錄(/tmp)和/var目錄應(yīng)分開到不同的磁盤分區(qū)���;
2)以上各目錄所在分區(qū)的磁盤空間大小應(yīng)充分考慮��,避免因某些原因造成分區(qū)空間用完而導(dǎo)致系統(tǒng)崩潰����;
2���、對(duì)于/tmp和/var目錄所在分區(qū)����,大多數(shù)情況下不需要有suid屬性的程序,所以應(yīng)為這些分區(qū)添加nosuid屬性�;
方法一:修改/etc/fstab文件,添加nosuid屬性字���。例如:
/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0
方法二:如果對(duì)/etc/fstab文件操作不熟,建議通過linuxconf程序來修改�����。
運(yùn)行l(wèi)inuxconf程序���;
選擇"File systems"下的"Access local drive"��;
選擇需要修改屬性的磁盤分區(qū)���;
選擇"No setuid programs allowed"選項(xiàng);
根據(jù)需要選擇其它可選項(xiàng)��;
正常退出����。(一般會(huì)提示重新mount該分區(qū))
二、安裝
1��、對(duì)于非測(cè)試主機(jī),不應(yīng)安裝過多的軟件包����。這樣可以降低因軟件包而導(dǎo)致出現(xiàn)安全漏洞的可能性。
2���、對(duì)于非測(cè)試主機(jī)����,在選擇主機(jī)啟動(dòng)服務(wù)時(shí)不應(yīng)選擇非必需的服務(wù)�。例如routed、ypbind等���。
三����、安全配置與增強(qiáng)
內(nèi)核升級(jí)�。起碼要升級(jí)至2.2.16以上版本。
GNU libc共享庫(kù)升級(jí)����。(警告:如果沒有經(jīng)驗(yàn),不可輕易嘗試��。可暫緩����。)
關(guān)閉危險(xiǎn)的網(wǎng)絡(luò)服務(wù)。echo����、chargen�、shell、login����、finger、NFS���、RPC等
關(guān)閉非必需的網(wǎng)絡(luò)服務(wù)���。talk、ntalk����、pop-2等
常見網(wǎng)絡(luò)服務(wù)安全配置與升級(jí)
確保網(wǎng)絡(luò)服務(wù)所使用版本為當(dāng)前最新和最安全的版本。
取消匿名FTP訪問
去除非必需的suid程序
使用tcpwrapper
使用ipchains防火墻
日志系統(tǒng)syslogd
一些細(xì)節(jié):
1.操作系統(tǒng)內(nèi)部的log file是檢測(cè)是否有網(wǎng)絡(luò)入侵的重要線索��,當(dāng)然這個(gè)假定你的logfile不被侵入者所破壞,如果你有臺(tái)服務(wù)器用專線直接連到Internet上�����,這意味著你的IP地址是永久固定的地址���,你會(huì)發(fā)現(xiàn)有很多人對(duì)你的系統(tǒng)做telnet/ftp登錄嘗試�����,試著運(yùn)行#more /var/log/secure grep refused 去檢查����。
2. 限制具有SUID權(quán)限標(biāo)志的程序數(shù)量��,具有該權(quán)限標(biāo)志的程序以root身份運(yùn)行����,是一個(gè)潛在的安全漏洞,當(dāng)然����,有些程序是必須要具有該標(biāo)志的,象passwd程序。
3.BIOS安全��。設(shè)置BIOS密碼且修改引導(dǎo)次序禁止從軟盤啟動(dòng)系統(tǒng)��。
4. 用戶口令���。用戶口令是Linux安全的一個(gè)最基本的起點(diǎn)����,很多人使用的用戶口令就是簡(jiǎn)單的‘password�����,這等于給侵入者敞開了大門��,雖然從理論上說沒有不能確解的用戶口令�,只要有足夠的時(shí)間和資源可以利用�����。比較好的用戶口令是那些只有他自己能夠容易記得并理解的一串字符���,并且絕對(duì)不要在任何地方寫出來����。
5./etc/exports 文件。如果你使用NFS網(wǎng)絡(luò)文件系統(tǒng)服務(wù)����,那么確保你的/etc/exports具有最嚴(yán)格的存取權(quán)限設(shè)置,不意味著不要使用任何通配符��,不允許root寫權(quán)限���,mount成只讀文件系統(tǒng)�����。編輯文件/etc/exports并且加:例如:
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
/dir/to/export 是你想輸出的目錄�����,host.mydomain.com是登錄這個(gè)目錄的機(jī)器名�,
ro意味著mount成只讀系統(tǒng)���,root_squash禁止root寫入該目錄��。
為了讓上面的改變生效����,運(yùn)行/usr/sbin/exportfs -a
6.確信/etc/inetd.conf的所有者是root,且文件權(quán)限設(shè)置為600 ��。
[root@deep]# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
[root@deep]# stat /etc/inetd.conf
File: "/etc/inetd.conf"
Size: 2869 Filetype: Regular File
Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Device: 8,6 Inode: 18219 Links: 1
Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)
Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)
編輯/etc/inetd.conf禁止以下服務(wù):
ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,
auth, etc. 除非你真的想用它��。
特別是禁止那些r命令.如果你用ssh/scp�,那么你也可以禁止掉telnet/ftp。
為了使改變生效���,運(yùn)行#killall -HUP inetd
你也可以運(yùn)行#chattr +i /etc/inetd.conf使該文件具有不可更改屬性���。
只有root才能解開,用命令
#chattr -i /etc/inetd.conf
7. TCP_WRAPPERS
默認(rèn)地����,Redhat Linux允許所有的請(qǐng)求,用TCP_WRAPPERS增強(qiáng)你的站點(diǎn)的安全性是舉手
之勞�,你可
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)�!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障�!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
