知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 安全资讯

Linux操作系统服务器上进行安全配置

发布时间:2011-02-21 23:40:15作者:知识屋

  众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。然而,系统管理员往往不能及时地得到信息并进行更正,这就给黑客以可乘之机。相对于这些系统本身的安全漏洞,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。服务器上运行的服务越多,不当的配置出现的机会也就越多,出现安全问题的可能性就越大。对此,下面将介绍一些增强Linux/Unix服务器系统安全性的知识。
  一、系统安全记录文件
  操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行"#more/var/log/secure greprefused"来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。
  二、启动和登录安全性
  1.BIOS安全
  设置BIOS密码且修改引导次序禁止从软盘启动系统。
  2.用户口令
  用户口令是Linux安全的一个基本起点,很多人使用的用户口令过于简单,这等于给侵入者敞开了大门,虽然从理论上说,只要有足够的时间和资源可以利用,就没有不能破解的用户口令,但选取得当的口令是难于破解的。较好的用户口令是那些只有他自己容易记得并理解的一串字符,并且绝对不要在任何地方写出来。
  3.默认账号
  应该禁止所有默认的被操作系统本身启动的并且不必要的账号,当您第一次安装系统时就应该这么做,Linux提供了很多默认账号,而账号越多,系统就越容易受到攻击。
  可以用下面的命令删除账号。
  #userdel用户名
  或者用以下的命令删除组用户账号。
  #groupdelusername
  4.口令文件
  chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。
  #chattr+i/etc/passwd
  #chattr+i/etc/shadow
  #chattr+i/etc/group
  #chattr+i/etc/gshadow
  5.禁止Ctrl+Alt+Delete重新启动机器命令
  修改/etc/inittab文件,将"ca::ctrlaltdel:/sbin/shutdown-t3-rnow"一行注释掉。然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限,运行如下命令:
  #chmod-R700/etc/rc.d/init.d/*
  这样便仅有root可以读、写或执行上述所有脚本文件。
  6.限制su命令
  如果您不想任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:
  authsufficient/lib/security/pam_rootok.sodebug
  authrequired/lib/security/pam_wheel.sogroup=isd
  这时,仅isd组的用户可以su作为root。此后,如果您希望用户admin能够su作为root,可以运行如下命令:
  #usermod-G10admin
  7.删减登录信息
  默认情况下,登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。
  #Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou
  #wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.
  #echo"">/etc/issue
  #echo"$R"》/etc/issue
  #echo"Kernel$(uname-r)on$a$(uname-m)"》/etc/issue
  #cp-f/etc/issue/etc/issue.net
  #echo》/etc/issue
  然后,进行如下操作:
  #rm-f/etc/issue
  #rm-f/etc/issue.net
  #touch/etc/issue
  #touch/etc/issue.net
  三、限制网络访问
  1.NFS访问
  如果你使用NFS网络文件系统服务,应该确保您的/etc/exports具有最严格的访问权限设置,也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。
  /dir/to/exporthost1.mydomain.com(ro,root_squash)
  /dir/to/exporthost2.mydomain.com(ro,root_squash)
  /dir/to/export是您想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了使改动生效,运行如下命令。
  #/usr/sbin/exportfs-a
  2.Inetd设置
  首先要确认/etc/inetd.conf的所有者是root,且文件权限设置为600。设置完成后,可以使用"stat"命令进行检查。
  #chmod600/etc/inetd.conf
  然后,编辑/etc/inetd.conf禁止以下服务。
  ftptelnetshellloginexectalkntalkimappop-2pop-3fingerauth
  如果您安装了ssh/scp,也可以禁止掉Telnet/FTP。为了使改变生效,运行如下命令:
  #killall-HUPinetd
  默认情况下,多数Linux系统允许所有的请求,而用TCP_WRAPPERS增强系统安全性是举手之劳,您可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。例如,将/etc/hosts.deny设为"ALL:ALL"可以默认拒绝所有访问。然后在/etc/hosts.allow文件中添加允许的访问。例如,"sshd:192.168.1.10/255.255.255.0gate.openarch.com"表示允许IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH连接。
  配置完成后,可以用tcpdchk检查:
  #tcpdchk
  tcpchk是TCP_Wrapper配置检查工具,它检查您的tcpwrapper配置并报告所有发现的潜在/存在的问题。
  3.登录终端设置
  /etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,您可以编辑/etc/securetty且注释掉如下的行。
  #tty1
  #tty2
  #tty3
  #tty4
  #tty5
  #tty6
  这时,root仅可在tty1终端登录。
  4.避免显示系统和版本信息。[!--empirenews.page--]分页标题[/!--empirenews.page--]
  如果您希望远程登录用户看不到系统和版本信息,可以通过一下操作改变/etc/inetd.conf文件:
  telnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd-h
  加-h表示telnet不显示系统信息,而仅仅显示"login:"
  四、防止攻击
  1.阻止ping如果没人能ping通您的系统,安全性自然增加了。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
  echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all
  2.防止IP欺骗
  编辑host.conf文件并增加如下几行来防止IP欺骗攻击。
  orderbind,hosts
  multioff
  nospoofon
  3.防止DoS攻击
  对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如,可以在/etc/security/limits.conf中添加如下几行:
  *hardcore0
  *hardrss5000
  *hardnproc20
  然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
  sessionrequired/lib/security/pam_limits.so
  上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。
  经过以上的设置,你的Linux服务器已经可以对绝大多数已知的安全问题和网络攻击具有免疫能力,但一名优秀的系统管理员仍然要时刻注意网络安全动态,随时对已经暴露出的和潜在安全漏洞进行修补。
   免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
 
责任编辑:pangpang       


本文引用网址:    与您的QQ/MSN好友分享!
上一篇:三个细节体现Unix操作系统安全性
下一篇:Linux新手应该知道的12个基本命令


 
发表评论 加入收藏 告诉好友 打印本页 关闭窗口 返回顶部
Linux操作系统服务器上进行安全配置的相关文章最 新Linux操作系统服务器上进行 三个细节体现Unix操作系统安 通过伪装Linux系统,给黑客 Linux内核总结之进程和进程 Linux内核总结之进程和进程 利用Linux系统下破解window Linux 任务控制的几个技巧 如何 在linux下配置 DNS Linux下绕过多网卡实现双网 Linux 各种后缀文件压缩解压 linux FTP服务器访问权限珍 Linux VNC服务器配置 Linux踢出已登录用户的方法 linux FTP服务器访问权限珍 Linux和Windows下查看环境变 如何修改Linux命令提示符 linux 修改密码 passwd 命令 linux shell小技巧 分析Linux系统计算机死机的 黑基IT培训
热 点分析Linux系统计算机死机的 如何修改Linux命令提示符 利用Linux系统下破解window Linux 各种后缀文件压缩解压 Linux 任务控制的几个技巧 Linux下绕过多网卡实现双网 Linux踢出已登录用户的方法 linux 修改密码 passwd 命令 linux shell小技巧 linux FTP服务器访问权限珍 linux FTP服务器访问权限珍 Linux和Windows下查看环境变 Linux内核总结之进程和进程 Linux VNC服务器配置 如何 在linux下配置 DNS Linux内核总结之进程和进程 通过伪装Linux系统,给黑客 三个细节体现Unix操作系统安 图 片 变种机器狗木马病毒防
 “反黑军团”总教头
 黑客训练营一瞥
 Linux下如何知道某个
 Windows 系统无线局域
推 荐恶意网页病毒十三大症状分析及修 揭露Q币/Q号被盗的真相 “伪装网站”的欺诈方法介绍及案 手工查杀病毒常见文件型分析总结 如何知道自己是不是中木马 QQ宝典 六法则保护你安全聊天 小技巧解决QQ占用CPU资源过高问 机器狗病毒入侵源代码以及入侵原
--------------------------------------------------------------------------------

(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜
211