Linux安全配置步驟簡述

一、磁盤分區(qū)

◆1、如果是新安裝系統(tǒng)，對磁盤分區(qū)應(yīng)考慮安全性：

（1）根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）和/var目錄應(yīng)分開到不同的磁盤分區(qū)；

（2）以上各目錄所在分區(qū)的磁盤空間大小應(yīng)充分考慮，避免因某些原因造成分區(qū)空間用完而導(dǎo)致系統(tǒng)崩潰；

◆2、對于/tmp和/var目錄所在分區(qū)，大多數(shù)情況下不需要有suid屬性的程序，所以應(yīng)為這些分區(qū)添加nosuid屬性；

方法一：修改/etc/fstab文件，添加nosuid屬性字。例如：

方法二：如果對/etc/fstab文件操作不熟，建議通過linuxconf程序來修改。

＊　運(yùn)行l(wèi)inuxconf程序；

＊　選擇"File systems"下的"Access local drive"；

＊　選擇需要修改屬性的磁盤分區(qū)；

＊　選擇"No setuid programs allowed"選項(xiàng)；

＊　根據(jù)需要選擇其它可選項(xiàng)；

＊　正常退出。（一般會提示重新mount該分區(qū)）

二、安裝

1、對于非測試主機(jī)，不應(yīng)安裝過多的軟件包。這樣可以降低因軟件包而導(dǎo)致出現(xiàn)安全漏洞的可能性。

2、對于非測試主機(jī)，在選擇主機(jī)啟動服務(wù)時不選擇非必需的服務(wù)。例如routed、ypbind等。

三、安全配置與增強(qiáng)

內(nèi)核升級。起碼要升級至2.2.16以上版本。

GNU libc共享庫升級。（警告：如果沒有經(jīng)驗(yàn)，不可輕易嘗試。可暫緩。）

關(guān)閉危險的網(wǎng)絡(luò)服務(wù)。echo、chargen、shell、login、finger、NFS、RPC等

關(guān)閉非必需的網(wǎng)絡(luò)服務(wù)。talk、ntalk、pop-2等

常見網(wǎng)絡(luò)服務(wù)安全配置與升級

確保網(wǎng)絡(luò)服務(wù)所使用版本為當(dāng)前最新和最安全的版本。

取消匿名FTP訪問

去除非必需的suid程序

使用tcpwrapper

使用ipchains防火墻

日志系統(tǒng)syslogd