Linux系統(tǒng)憑借其穩(wěn)定且源代碼公開(kāi)的特性,在Internet上被用來(lái)做Web服務(wù)器與數(shù)據(jù)庫(kù)服務(wù)器已經(jīng)越來(lái)越多了,隨之,Linux系統(tǒng)的安全性也被愈發(fā)重視,加固Linux系統(tǒng)對(duì)于很多人來(lái)說(shuō),也是迫在眉睫的事情了。那么,要較好的加固Linux系統(tǒng),足以應(yīng)付各種突發(fā)事件與黑客的攻擊,我們需要從哪些方面入手呢?
1.安裝和升級(jí)
盡量選用最新的Linux發(fā)行版本,安裝前拔掉網(wǎng)線,斷開(kāi)物理連接,安裝時(shí)建議用custom自定義方式安裝軟件包,數(shù)量以少為好。一般來(lái)說(shuō)服務(wù)器沒(méi)有必要安裝X-windows,在lilo/grub引導(dǎo)器中加人口令限制,防止能夠物理接觸的惡意用戶。
因?yàn)長(zhǎng)inux安裝光盤(pán)的rescue模式可以跳過(guò)這個(gè)限制,所以還要給BIOS加上密碼或服務(wù)器機(jī)箱上鎖。/var、/home、/usr和/root等目錄使用獨(dú)立的物理分區(qū),防止垃圾數(shù)據(jù)和日志填滿硬盤(pán)而導(dǎo)致D.o.S攻擊。對(duì)root賬號(hào)要給予強(qiáng)壯的口令。
安裝完畢立即用up2date或apt升級(jí)系統(tǒng)軟件,有時(shí)升級(jí)內(nèi)核也是必要的,因?yàn)閮?nèi)核出現(xiàn)問(wèn)題同樣會(huì)給攻擊者提供機(jī)會(huì)。apt是Debian GNU Linux下的一個(gè)強(qiáng)大的包管理工具,也可用于其他版本的Linux.
2.賬號(hào)
如果系統(tǒng)中的用戶比較多,可以編輯/etc/login.defs,更改密碼策略,刪除系統(tǒng)中不必要的賬戶和組,如果不開(kāi)匿名ftp,可以把ftp賬號(hào)也刪了。刪除賬號(hào)的命令如下:
[root@ayazero/]#userdel-r username |
編輯/etc/securetty,注釋掉所有允許root遠(yuǎn)程登錄的控制臺(tái),然后禁止使用所有的控制臺(tái)程序,其命令如下:
登錄采用加密的ssn,如果管理員只從固定的終端登陸,還應(yīng)限制合法ssn客戶端的范圍,
防止嗅探及中間人攻擊。同時(shí),將命令歷史紀(jì)錄歸為零,盡可能的隱藏你做過(guò)的事情,其命令為:
3.服務(wù)
采用最少服務(wù)原則,凡是不需要的服務(wù)一律注釋掉。在/etc/inetd.conf中不需要的服務(wù)前加"#",較高版本中已經(jīng)沒(méi)有inetd,而換成了Xinetd;取消開(kāi)機(jī)自動(dòng)運(yùn)行服務(wù),把/etc/rc.d/rc3.d下不需要運(yùn)行的肥務(wù)的第一個(gè)字母"S"改成"K",其他不變.
如果你希望簡(jiǎn)單一點(diǎn),可以使用/etc/host.allow和/etc/host.deny這兩個(gè)文件,但是推薦使用iptables防火墻,所以不在此詳述.
| 共2頁(yè): 1 [2] 下一頁(yè) | ||
|
