|
12. The /etc/securetty file
該文件指定了允許root登錄的tty設(shè)備,/etc/securetty被/bin/login程序讀取,它的
格式是一行一個(gè)被允許的名字列表����,如你可以編輯/etc/securetty且注釋出下面的行。
tty1 #tty2 #tty3 #tty4 #tty5 #tty6 #tty7 #tty8
意味著root僅僅被允許在tty1終端登錄���。
13. 特別的帳號(hào)
禁止所有默認(rèn)的被操作系統(tǒng)本身啟動(dòng)的且不需要的帳號(hào)���,當(dāng)你第一次裝上系統(tǒng)時(shí)就應(yīng)該做此檢查,Linux提供了各種帳號(hào)��,你可能不需要�����,如果你不需要這 個(gè)帳號(hào)����,就移走它�����,你有的帳號(hào)越多�����,就越容易受到攻擊���。
為刪除你系統(tǒng)上的用戶,用下面的命令:
[root@deep]# userdel username 為刪除你系統(tǒng)上的組用戶帳號(hào)��,用下面的命令: [root@deep]# groupdel username 在終端上打入下面的命令刪掉下面的用戶�。 [root@deep]# userdel adm [root@deep]# userdel lp [root@deep]# userdel sync [root@deep]# userdel shutdown [root@deep]# userdel halt [root@deep]# userdel mail 如果你不用sendmail服務(wù)器,procmail.mailx,就刪除這個(gè)帳號(hào)�����。 [root@deep]# userdel news [root@deep]# userdel uucp [root@deep]# userdel operator [root@deep]# userdel games 如果你不用X windows 服務(wù)器��,就刪掉這個(gè)帳號(hào)��。 [root@deep]# userdel gopher [root@deep]# userdel ftp 如果你不允許匿名FTP���,就刪掉這個(gè)用戶帳號(hào)�。打入下面的命令刪除組帳號(hào) [root@deep]# groupdel adm [root@deep]# groupdel lp [root@deep]# groupdel mail 如不用Sendmail服務(wù)器����,刪除這個(gè)組帳號(hào) [root@deep]# groupdel news [root@deep]# groupdel uucp [root@deep]# groupdel games 如你不用X Windows,刪除這個(gè)組帳號(hào) [root@deep]# groupdel dip [root@deep]# groupdel pppusers [root@deep]# groupdel popusers 如果你不用POP服務(wù)器��,刪除這個(gè)組帳號(hào) [root@deep]# groupdel slipusers 用下面的命令加需要的用戶帳號(hào) [root@deep]# useradd username 用下面的命令改變用戶口令 [root@deep]# passwd username 用chattr命令給下面的文件加上不可更改屬性��。 [root@deep]# chattr +i /etc/passwd [root@deep]# chattr +i /etc/shadow [root@deep]# chattr +i /etc/group [root@deep]# chattr +i /etc/gshadow
14. 阻止任何人su作為root.
如果你不想任何人能夠su作為root,你能編輯/etc/pam.d/su加下面的行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
意味著僅僅isd組的用戶可以su作為root.
然后����,如果你希望用戶admin能su作為root.就運(yùn)行下面的命令。
[root@deep]# usermod -G10 admin
16. 資源限制
對(duì)你的系統(tǒng)上所有的用戶設(shè)置資源限制可以防止DoS類型攻擊(denial of service attacks)
如最大進(jìn)程數(shù)�,內(nèi)存數(shù)量等。例如�����,對(duì)所有用戶的限制象下面這樣:
編輯/etc/security/limits.con加: * hard core 0 * hard rss 5000 * hard nproc 20
你也必須編輯/etc/pam.d/login文件加/檢查這一行的存在��。
session required /lib/security/pam_limits.so
上面的命令禁止core files“core 0”��,限制進(jìn)程數(shù)為“nproc 50“���,且限制內(nèi)存使用 為5M“rss 5000”�。
17. The /etc/lilo.conf file
a) Add: restricted
加這一行到每一個(gè)引導(dǎo)映像下面,就這表明如果你引導(dǎo)時(shí)用(linux single),則需要一個(gè)password.
b) Add: password=some_password
當(dāng)與restricted聯(lián)合用�,且正常引導(dǎo)時(shí),需要用戶輸入密碼����,你也要確保lilo.conf 文件不能被不屬于root的用戶可讀,也免看到 密碼明文�����。下面是例子:
編輯/etc/lilo.conf加: boot=/dev/sda map=/boot/map install=/boot/boot.b prompt timeout=50 Default=linux restricted ?add this line. password=some_password ?add this line. image=/boot/vmlinuz-2.2.12-20 label=linux initrd=/boot/initrd-2.2.12-10.img root=/dev/sda6 read-only [root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用戶可讀). [root@deep]# /sbin/lilo -v (更新lilo配置). [root@deep]# chattr +i /etc/lilo.conf(阻止該文件被修改)
18. 禁止 Control-Alt-Delete 重啟動(dòng)機(jī)器命令
[root@deep]# vi /etc/inittab
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
To
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
[root@deep]# /sbin/init q
19. 重新設(shè)置/etc/rc.d/init.d/目錄下所有文件的許可權(quán)限
[root@deep]# chmod -R 700 /etc/rc.d/init.d/*
僅僅root可以讀�,寫,執(zhí)行上述所有script file.
20. The /etc/rc.d/rc.local file
默認(rèn)地����,當(dāng)你login到linux server時(shí),它告訴你linux版本名�����,內(nèi)核版本名和服務(wù)器
主機(jī)名���。它給了你太多的信息��,如果你就希望得到提示login: ,編輯/etc/rc.d/rc.local放#在下面的行前面
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" >; /etc/issue
#echo "$R" >;>; /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >;>; /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >;>; /etc/issue
然后��,做下面的事情:
[root@deep]# rm -f /etc/issue
[root@deep]# rm -f /etc/issue.net
[root@deep]# touch /etc/issue
[root@deep]# touch /etc/issue.net
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務(wù)器租用/服務(wù)器托管中國(guó)五強(qiáng)!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商�!15年品質(zhì)保障!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國(guó)服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
