|
12. The /etc/securetty file
該文件指定了允許root登錄的tty設備,/etc/securetty被/bin/login程序讀取,它的
格式是一行一個被允許的名字列表���,如你可以編輯/etc/securetty且注釋出下面的行���。
tty1 #tty2 #tty3 #tty4 #tty5 #tty6 #tty7 #tty8
意味著root僅僅被允許在tty1終端登錄。
13. 特別的帳號
禁止所有默認的被操作系統(tǒng)本身啟動的且不需要的帳號���,當你第一次裝上系統(tǒng)時就應該做此檢查�,Linux提供了各種帳號,你可能不需要�����,如果你不需要這 個帳號���,就移走它���,你有的帳號越多,就越容易受到攻擊���。
為刪除你系統(tǒng)上的用戶���,用下面的命令:
[root@deep]# userdel username 為刪除你系統(tǒng)上的組用戶帳號,用下面的命令: [root@deep]# groupdel username 在終端上打入下面的命令刪掉下面的用戶����。 [root@deep]# userdel adm [root@deep]# userdel lp [root@deep]# userdel sync [root@deep]# userdel shutdown [root@deep]# userdel halt [root@deep]# userdel mail 如果你不用sendmail服務器,procmail.mailx,就刪除這個帳號���。 [root@deep]# userdel news [root@deep]# userdel uucp [root@deep]# userdel operator [root@deep]# userdel games 如果你不用X windows 服務器,就刪掉這個帳號��。 [root@deep]# userdel gopher [root@deep]# userdel ftp 如果你不允許匿名FTP,就刪掉這個用戶帳號���。打入下面的命令刪除組帳號 [root@deep]# groupdel adm [root@deep]# groupdel lp [root@deep]# groupdel mail 如不用Sendmail服務器��,刪除這個組帳號 [root@deep]# groupdel news [root@deep]# groupdel uucp [root@deep]# groupdel games 如你不用X Windows����,刪除這個組帳號 [root@deep]# groupdel dip [root@deep]# groupdel pppusers [root@deep]# groupdel popusers 如果你不用POP服務器���,刪除這個組帳號 [root@deep]# groupdel slipusers 用下面的命令加需要的用戶帳號 [root@deep]# useradd username 用下面的命令改變用戶口令 [root@deep]# passwd username 用chattr命令給下面的文件加上不可更改屬性����。 [root@deep]# chattr +i /etc/passwd [root@deep]# chattr +i /etc/shadow [root@deep]# chattr +i /etc/group [root@deep]# chattr +i /etc/gshadow
14. 阻止任何人su作為root.
如果你不想任何人能夠su作為root,你能編輯/etc/pam.d/su加下面的行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
意味著僅僅isd組的用戶可以su作為root.
然后�,如果你希望用戶admin能su作為root.就運行下面的命令。
[root@deep]# usermod -G10 admin
16. 資源限制
對你的系統(tǒng)上所有的用戶設置資源限制可以防止DoS類型攻擊(denial of service attacks)
如最大進程數(shù)��,內存數(shù)量等���。例如���,對所有用戶的限制象下面這樣:
編輯/etc/security/limits.con加: * hard core 0 * hard rss 5000 * hard nproc 20
你也必須編輯/etc/pam.d/login文件加/檢查這一行的存在。
session required /lib/security/pam_limits.so
上面的命令禁止core files“core 0”�,限制進程數(shù)為“nproc 50“��,且限制內存使用 為5M“rss 5000”���。
17. The /etc/lilo.conf file
a) Add: restricted
加這一行到每一個引導映像下面,就這表明如果你引導時用(linux single),則需要一個password.
b) Add: password=some_password
當與restricted聯(lián)合用��,且正常引導時�����,需要用戶輸入密碼��,你也要確保lilo.conf 文件不能被不屬于root的用戶可讀���,也免看到 密碼明文�����。下面是例子:
編輯/etc/lilo.conf加: boot=/dev/sda map=/boot/map install=/boot/boot.b prompt timeout=50 Default=linux restricted ?add this line. password=some_password ?add this line. image=/boot/vmlinuz-2.2.12-20 label=linux initrd=/boot/initrd-2.2.12-10.img root=/dev/sda6 read-only [root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用戶可讀). [root@deep]# /sbin/lilo -v (更新lilo配置). [root@deep]# chattr +i /etc/lilo.conf(阻止該文件被修改)
18. 禁止 Control-Alt-Delete 重啟動機器命令
[root@deep]# vi /etc/inittab
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
To
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
[root@deep]# /sbin/init q
19. 重新設置/etc/rc.d/init.d/目錄下所有文件的許可權限
[root@deep]# chmod -R 700 /etc/rc.d/init.d/*
僅僅root可以讀��,寫���,執(zhí)行上述所有script file.
20. The /etc/rc.d/rc.local file
默認地,當你login到linux server時���,它告訴你linux版本名��,內核版本名和服務器
主機名�。它給了你太多的信息�,如果你就希望得到提示login: ,編輯/etc/rc.d/rc.local放#在下面的行前面
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" >; /etc/issue
#echo "$R" >;>; /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >;>; /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >;>; /etc/issue
然后,做下面的事情:
[root@deep]# rm -f /etc/issue
[root@deep]# rm -f /etc/issue.net
[root@deep]# touch /etc/issue
[root@deep]# touch /etc/issue.net
億恩科技地址(ADD):鄭州市黃河路129號天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【mszdt.com】
服務器租用/服務器托管中國五強!虛擬主機域名注冊頂級提供商���!15年品質保障�!--億恩科技[ENKJ.COM]
|
香港服務器租用
美國服務器租用
電信骨干機房
聯(lián)通骨干機房
0371-60135900
