linux服務(wù)器歷險(xiǎn)之linux安全設(shè)置

1，刪除所有的特殊賬戶
你應(yīng)該刪除所有不用的缺省用戶和組賬戶（比如lp,　sync,　shutdown,　halt,　news,　uucp,　operator,　games,　gopher等）。
刪除用戶：
[root@kapil　/]#　userdel　LP　
刪除組：
[root@kapil　/]#　groupdel　LP　
刪除系統(tǒng)臃腫多余的賬號(hào)：
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp 如果你不允許匿名FTP，就刪掉這個(gè)用戶帳號(hào)
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
groupdel pppusers

第二步是刪除/etc/passwd文件中許多缺省的系統(tǒng)帳號(hào)。Linux提供這些帳號(hào)主要是用于許多其實(shí)極少需要的系統(tǒng)操作。如果不需要這些帳號(hào)，刪除它們。帳號(hào)越多，系統(tǒng)被入侵的可能性就越大。例如"news"帳號(hào)，如果不運(yùn)行nntp新聞組服務(wù)器，就不需要該帳號(hào)（注意要更新 /etc/cron.hourly文件，因?yàn)槟_本中涉及到了"news"用戶）。另外，一定要?jiǎng)h除"ftp"帳號(hào)，因?yàn)樵搸ぬ?hào)僅用于匿名FTP訪問(wèn)。

我們還要修改/etc/ftpusers文件。任何被列入該文件的帳號(hào)將不能ftp到本系統(tǒng)。通常用于限制系統(tǒng)帳號(hào)，例如root和bin等，禁止這些帳號(hào)的FTP會(huì)話。缺省時(shí)Linux已創(chuàng)建了該文件。一定要確保root根用戶被包含在該文件中，以禁止root與系統(tǒng)的ftp會(huì)話。檢查并確認(rèn)需要FTP到該防火墻的所有帳號(hào)**不**在/etc/ftpusers文件中。

另外，確保根用戶root不能telnet到系統(tǒng)。這強(qiáng)迫用戶用其普通帳號(hào)登錄到系統(tǒng)，然后再su成為root。/etc/securetty文件列出了root所能連接的tty終端。將tty1、tty2等列入該文件中，使root用戶只能從本地登錄到系統(tǒng)中。ttyp1、ttyp2等是pseudo（虛擬）終端，它們?cè)试Sroot遠(yuǎn)程telnet到系統(tǒng)中。

最后，創(chuàng)建/etc/issue文件。該ASCII文本文件用于在所有telnet登錄時(shí)顯示的信息。當(dāng)試圖登錄到系統(tǒng)中時(shí)，該文件中的警告信息將被顯示。在Linux系統(tǒng)中要修改/etc/rc.d/init.d/S99local腳本文件，以生成固定的/etc/issue文件。

因?yàn)槿笔�時(shí)Linux在每次啟動(dòng)時(shí)都生成新的/etc/issue文件。

2，選擇正確的密碼
在選擇正確密碼之前還應(yīng)作以下修改：
修改密碼長(zhǎng)度：在你安裝linux時(shí)默認(rèn)的密碼長(zhǎng)度是5個(gè)字節(jié)。但這并不夠，要把它設(shè)為8。修改最短密碼長(zhǎng)度需要編輯login.defs文件（vi　/etc/login.defs），把下面這行
PASS_MIN_LEN　　　　5　
改為
PASS_MIN_LEN　　　　8
login.defs文件是login程序的配置文件。

3、root賬戶自動(dòng)注銷
在unix 系統(tǒng)中root賬戶是具有最高特權(quán)的。如果系統(tǒng)管理員在離開(kāi)系統(tǒng)之前忘記注銷root賬戶，系統(tǒng)會(huì)自動(dòng)注銷。通過(guò)修改賬戶中"TMOUT"參數(shù)，可以實(shí)現(xiàn)此功能。TMOUT按秒計(jì)算。編輯你的profile文件（vi　/etc/profile）,在"HISTFILESIZE="后面加入下面這行：
TMOUT=3600
3600，表示60*60=3600秒，也就是1小時(shí)。這樣，如果系統(tǒng)中登陸的用戶在一個(gè)小時(shí)內(nèi)都沒(méi)有動(dòng)作，那么系統(tǒng)會(huì)自動(dòng)注銷這個(gè)賬戶。你可以在個(gè)別用戶的".bashrc"文件中添加該值，以便系統(tǒng)對(duì)該用戶實(shí)行特殊的自動(dòng)注銷時(shí)間。
改變這項(xiàng)設(shè)置后，必須先注銷用戶，再用該用戶登陸才能激活這個(gè)功能。

4、取消普通用戶的控制臺(tái)訪問(wèn)權(quán)限
你應(yīng)該取消普通用戶的控制臺(tái)訪問(wèn)權(quán)限，比如shutdown、reboot、halt等命令。
[root@kapil　/]#　rm　-f　/etc/security/console.apps/　
是你要注銷的程序名。

5、禁止系統(tǒng)信息暴露
當(dāng)有人遠(yuǎn)程登陸時(shí)，禁止顯示系統(tǒng)歡迎信息。你可以通過(guò)修改"/etc/inetd.conf"文件來(lái)達(dá)到這個(gè)目的。
把/etc/inetd.conf文件下面這行：
telnet　　stream　　tcp　　　　　nowait　root　　　　/usr/sbin/tcpd　　in.telnetd
修改為:
telnet　　stream　　tcp　　　　　nowait　　root　　　　/usr/sbin/tcpd　　in.telnetd　-h
在最后加"-h"可以使當(dāng)有人登陸時(shí)只顯示一個(gè)login:提示，而不顯示系統(tǒng)歡迎信息。

6、修改"/etc/host.conf"文件
"/etc/host.conf"說(shuō)明了如何解析地址。編輯"/etc/host.conf"文件（vi　/etc/host.conf），加入下面這行：
#　Lookup　names　via　DNS　first　then　fall　back　to　/etc/hosts.　
order　bind,hosts　
#　We　have　machines　with　multiple　IP　addresses.　
multi　on　
#　Check　for　IP　address　spoofing.　
nospoof　on　
第一項(xiàng)設(shè)置首先通過(guò)DNS解析IP地址，然后通過(guò)hosts文件解析。第二項(xiàng)設(shè)置檢測(cè)是否"/etc/hosts"文件中的主機(jī)是否擁有多個(gè)IP地址（比如有多個(gè)以太口網(wǎng)卡）。第三項(xiàng)設(shè)置說(shuō)明要注意對(duì)本機(jī)未經(jīng)許可的電子欺騙。

7、使"/etc/services"文件免疫
使"/etc/services"文件免疫，防止未經(jīng)許可的刪除或添加服務(wù)：
[root@kapil　/]#　chattr　+i　/etc/services

8、不允許從不同的控制臺(tái)進(jìn)行root登陸
"/etc/securetty"文件允許你定義root用戶可以從那個(gè)TTY設(shè)備登陸。你可以編輯"/etc/securetty"文件，再不需要登陸的TTY設(shè)備前添加"#"標(biāo)志，來(lái)禁止從該TTY設(shè)備進(jìn)行root登陸。

9、禁止任何人通過(guò)su命令改變?yōu)閞oot用戶
su(Substitute　User替代用戶)命令允許你成為系統(tǒng)中其他已存在的用戶。如果你不希望任何人通過(guò)su命令改變?yōu)閞oot用戶或?qū)δ承┯脩粝拗剖褂胹u命令，你可以在su配置文件（在"/etc/pam.d/"目錄下）的開(kāi)頭添加下面兩行：
編輯su文件(vi　/etc/pam.d/su)，在開(kāi)頭添加下面兩行：
auth　sufficient　/lib/security/pam_rootok.so　debug　
auth　required　/lib/security/Pam_wheel.so　group=wheel　
這表明只有"wheel"組的成員可以使用su命令成為root用戶。你可以把用戶添加到"wheel"組，以使它可以使用su命令成為root用戶。

10、Shell　logging
Bash 　shell在"~/.bash_history"（"~/"表示用戶目錄）文件中保存了500條使用過(guò)的命令，這樣可以使你輸入使用過(guò)的長(zhǎng)命令變得容易。每個(gè)在系統(tǒng)中擁有賬號(hào)的用戶在他的目錄下都有一個(gè)".bash_history"文件。bash　shell應(yīng)該保存少量的命令，并且在每次用戶注銷時(shí)都把這些歷史命令刪除。
第一步：
"/etc/profile"文件中的"HISTFILESIZE"和"HISTSIZE"行確定所有用戶的".bash_history"文件中可以保存的舊命令條數(shù)。強(qiáng)烈建議把把"/etc/profile"文件中的 "HISTFILESIZE"和"HISTSIZE"行的值設(shè)為一個(gè)較小的數(shù)，比如 30。編輯profile文件（vi　/etc/profile），把下面這行改為：
HISTFILESIZE=30　
HISTSIZE=30　
這表示每個(gè)用戶的".bash_history"文件只可以保存30條舊命令。
第二步：
網(wǎng)管還應(yīng)該在"/etc/skel/.bash_logout"　文件中添加下面這行"rm　-f　　$HOME/.bash_history"　。這樣，當(dāng)用戶每次注銷時(shí)，".bash_history"文件都會(huì)被刪除。
編輯.bash_logout文件(vi　/etc/skel/.bash_logout)　，添加下面這行：
rm　-f　$HOME/.bash_history

11、禁止Control-Alt-Delete　鍵盤關(guān)閉命令
在"/etc/inittab"　文件中注釋掉下面這行（使用#）：
ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
改為：
#ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
為了使這項(xiàng)改動(dòng)起作用，輸入下面這個(gè)命令：
[root@kapil　/]#　/sbin/init　q

12、給"/etc/rc.d/init.d"　下script文件設(shè)置權(quán)限
給執(zhí)行或關(guān)閉啟動(dòng)時(shí)執(zhí)行的程序的script文件設(shè)置權(quán)限。
[root@kapil/]#　chmod　-R　700　/etc/rc.d/init.d/*　
這表示只有root才允許讀、寫(xiě)、執(zhí)行該目錄下的script文件。

13、隱藏系統(tǒng)信息
在缺省情況下，當(dāng)你登陸到linux系統(tǒng)，它會(huì)告訴你該linux發(fā)行版的名稱、版本、內(nèi)核版本、服務(wù)器的名稱。對(duì)于黑客來(lái)說(shuō)這些信息足夠它入侵你的系統(tǒng)了。你應(yīng)該只給它顯示一個(gè)"login:"提示符。
第一步：
編輯"/etc/rc.d/rc.local"　文件，在下面顯示的這些行前加一個(gè)"#"，把輸出信息的命令注釋掉。
#　This　will　overwrite　/etc/issue　at　every　boot.　　So,　make　any　changes　you　
#　want　to　make　to　/etc/issue　here　or　you　will　lose　them　when　you　reboot.　
#echo　""　>　/etc/issue　
#echo　"$R"　>>　/etc/issue　
#echo　"Kernel　$(uname　-r)　on　$a　$(uname　-m)"　>>　/etc/issue　
#　
#cp　-f　/etc/issue　/etc/issue.net　
#echo　>>　/etc/issue
第二步：
刪除"/etc"目錄下的"isue.net"和"issue"文件：
[root@kapil　/]#　rm　-f　/etc/issue　
[root@kapil　/]#　rm　-f　/etc/issue.net

14、更改下列文件權(quán)限，使任何人沒(méi)有更改賬戶權(quán)限：
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]