網(wǎng)絡(luò)安全是最重要的課題����,Internet服務(wù)器中Linux是比較安全的,對于系統(tǒng)本身的漏洞其實更多的問題在于我們對安全問題的配置���,不當?shù)呐渲贸霈F(xiàn)安全問題的可能性就更大�,下面本文將介紹增強Linux服務(wù)器安全的配置��。
一���、系統(tǒng)安全記錄文件
----
操作系統(tǒng)內(nèi)部的記錄文件是檢測是否有網(wǎng)絡(luò)入侵的重要線索���。如果您的系統(tǒng)是直接連到Internet,您發(fā)現(xiàn)有很多人對您的系統(tǒng)做Telnet/FTP登錄嘗試�,可以運行"#more
/var/log/secure | grep
refused"來檢查系統(tǒng)所受到的攻擊,以便采取相應的對策��,如使用SSH來替換Telnet/rlogin等�。
二、啟動和登錄安全性
---- 1.BIOS安全
---- 設(shè)置BIOS密碼且修改引導次序禁止從軟盤啟動系統(tǒng)���。
---- 2.用戶口令
----
用戶口令是Linux安全的一個基本起點���,很多人使用的用戶口令過于簡單���,這等于給侵入者敞開了大門,雖然從理論上說����,只要有足夠的時間和資源可以利用,就沒有不能破解的用戶口令�,但選取得當?shù)目诹钍请y于破解的。較好的用戶口令是那些只有他自己容易記得并理解的一串字符��,并且絕對不要在任何地方寫出來��。
---- 3.默認賬號
----
應該禁止所有默認的被操作系統(tǒng)本身啟動的并且不必要的賬號�,當您第一次安裝系統(tǒng)時就應該這么做,Linux提供了很多默認賬號�����,而賬號越多�,系統(tǒng)就越容易受到攻擊�����。
---- 可以用下面的命令刪除賬號。
---- # userdel用戶名
---- 或者用以下的命令刪除組用戶賬號����。
---- # groupdel username
---- 4.口令文件
---- chattr命令給下面的文件加上不可更改屬性,從而防止非授權(quán)用戶獲得權(quán)限��。
---- # chattr +i /etc/passwd
---- # chattr +i /etc/shadow
---- # chattr +i /etc/group
---- # chattr +i /etc/gshadow
---- 5.禁止Ctrl+Alt+Delete重新啟動機器命令
---- 修改/etc/inittab文件���,將"ca::ctrlaltdel:/sbin/shutdown -t3 -r
now"一行注釋掉���。然后重新設(shè)置/etc/rc.d/init.d/目錄下所有文件的許可權(quán)限,運行如下命令:
---- # chmod -R 700 /etc/rc.d/init.d/*
---- 這樣便僅有root可以讀����、寫或執(zhí)行上述所有腳本文件。
---- 6.限制su命令
---- 如果您不想任何人能夠su作為root����,可以編輯/etc/pam.d/su文件,增加如下兩行:
---- auth sufficient /lib/security/pam_rootok.so debug
---- auth required /lib/security/pam_wheel.so group=isd
---- 這時�,僅isd組的用戶可以su作為root。此后�,如果您希望用戶admin能夠su作為root,可以運行如下命令:
---- # usermod -G10 admin---- 7.刪減登錄信息
----
默認情況下�����,登錄提示信息包括Linux發(fā)行版、內(nèi)核版本名和服務(wù)器主機名等���。對于一臺安全性要求較高的機器來說這樣泄漏了過多的信息������?梢跃庉/etc/rc.d/rc.local將輸出系統(tǒng)信息的如下行注釋掉�。
---- # This will overwrite /etc/issue at every boot. So, make any changes
you
---- # want to make to /etc/issue here or you will lose them when you
reboot.
---- # echo "" > /etc/issue
---- # echo "$R" >> /etc/issue
---- # echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
---- # cp -f /etc/issue /etc/issue.net
---- # echo >> /etc/issue
---- 然后���,進行如下操作:
---- # rm -f /etc/issue
---- # rm -f /etc/issue.net
---- # touch /etc/issue
---- # touch /etc/issue.net
三�����、限制網(wǎng)絡(luò)訪問
---- 1.NFS訪問
----
如果您使用NFS網(wǎng)絡(luò)文件系統(tǒng)服務(wù)�,應該確保您的/etc/exports具有最嚴格的訪問權(quán)限設(shè)置�,也就是意味著不要使用任何通配符、不允許root寫權(quán)限并且只能安裝為只讀文件系統(tǒng)���。編輯文件/etc/exports并加入如下兩行��。
三三在線http://www.33ol.com/專注高防服務(wù)器���,服務(wù)不同類型客戶,有多種DDOS�����、CC攻擊應對策略��,7x24小時售后服務(wù)���,幫助您保護服務(wù)器安全�����,讓您更專注業(yè)務(wù)�����。企點Q:2852361322電話:13924367540
E5-2660*2/32G/50M/150G防御
BGP-E5-2450L/8h/16G/20M/20G防御
BGP-E5-2450L/8h/16G/20M/100G防御
BGP-E5-2450L/16h/32G/50M/100G防御
在線咨詢 
