1．為LILO增加開機口令
在/etc/lilo.conf文件中增加選項，從而使LILO啟動時要求輸入口令，以加強系統的安全性。具體設置如下:

boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=60 #等待1分鐘 prompt default=linux password= #口令設置 image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only

此時需注意，由于在LILO中口令是以明碼方式存放的，所以還需要將
lilo.conf的文件屬性設置為只有root可以讀寫。

# chmod 600 /etc/lilo.conf

當然，還需要進行如下設置，使
lilo.conf的修改生效。

# /sbin/lilo -v

2．設置口令最小長度和最短使用時間
口令是系統中認證用戶的主要手段，系統安裝時默認的口令最小長度通常為5，但為保證口令不易被猜測攻擊，可增加口令的最小長度，至少等于8。為此，需修改文件/etc/login.defs中參數PASS_MIN_LEN。同時應限制口令使用時間，保證定期更換口令，建議修改參數 PASS_MIN_DAYS。
3．用戶超時注銷
如果用戶離開時忘記注銷賬戶，則可能給系統安全帶來隱患。可修改/etc/profile文件，保證賬戶在一段時間沒有操作后，自動從系統注銷。
編輯文件/etc/profile，在“HISTFILESIZE=”行的下一行增加如下一行:

TMOUT=600

則所有用戶將在10分鐘無操作后自動注銷。
4．禁止訪問重要文件
對于系統中的某些關鍵性文件如inetd.conf、services和lilo.conf等可修改其屬性，防止意外修改和被普通用戶查看。
首先改變文件屬性為600:

# chmod 600 /etc/inetd.conf

保證文件的屬主為root，然后還可以將其設置為不能改變:

# chattr +i /etc/inetd.conf

這樣，對該文件的任何改變都將被禁止。
只有root重新設置復位標志后才能進行修改:

# chattr -i /etc/inetd.conf

5．允許和禁止遠程訪問
在Linux中可通過/etc/hosts.allow 和/etc/hosts.deny 這2個文件允許和禁止遠程主機對本地服務的訪問。通常的做法是:
(1)編輯hosts.deny文件，加入下列行:

# Deny access to everyone. ALL: ALL@ALL

則所有服務對所有外部主機禁止，除非由hosts.allow文件指明允許。
(2)編輯hosts.allow 文件，可加入下列行:

#Just an example: ftp: 202.84.17.11 xinhuanet.com

則將允許IP地址為202.84.17.11和主機名為xinhuanet.com的機器作為Client訪問FTP服務。
(3)設置完成后，可用tcpdchk檢查設置是否正確

共2頁: 1 [2] 下一頁