某牛的linux服务器安全设置.docVIP

某牛的linux服务器安全设置 1.禁止ping /etc/rc.d/rc.local echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 2.对用户和口令文件进行权限控制 chmod 600 /etc/passwd chmod 600 /etc/shadow chmod 600 /etc/group chmod 600 /etc/gshadow 3.给下面文件加上不可更改属性 chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow 4.对vsftp进行访问控制 vi hosts.deny vsftpd: all --先禁止所有vsftp的请求 vi hosts.allow vsftpd: --再允许内网的vsftd请求 5.关闭无用端口,只开启常规端口(21、22、80、443) service portmap stop chkconfig --level 35 portmap off --关闭111端口 netstat -nap |grep 32768 killall rpc.statd --关闭32768端口 netstat -nap |grep 631 killall cupsd --关闭631端口 service sendmail stop chkconfig --level 12345 sendmail off --关闭25端口 6.apache安全设置(先备份httpd.conf配置文件) vi /etc/httpd/httpd.conf ServerSignature Off ServerTokens Prod ---隐藏Apache的版本号及其它敏感信息 Directory Options -ExecCGI -FollowSymLinks -Indexes --关闭CGI执行程序、includes、目录浏览 /Directory 将UserDir public_html改为UserDir disabled #ScriptAlias /cgi-bin /usr/local/apache/cgi-bin/ 注释掉manual 7.vi /etc/profile HISTFILESIZE=30 HISTSIZE=30 --这表示每个用户的“.bash_history”文件只可以保存30条旧命令 tmout=600 --用户将在10分钟无操作后自动注销 vi /etc/skel/.bash_logout rm -f $HOME/.bash_history --当用户每次注销时，“.bash_history”文件都会被删除。 vi /etc/inittab ca::ctrlaltdel:/sbin/shutdown -t3 -r now 改为： #ca::ctrlaltdel:/sbin/shutdown -t3 -r now /sbin/init q --让改动起作用 8.删除无法帐户和组 userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel mail userdel news userdel uucp userdel operator userdel games userdel ftp groupdel adm groupdel lp groupdel mail groupdel news groupdel uucp groupdel games ================================================================================================== 你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。 支持该方式的服务器存在跨站脚本漏洞，通常在描述各种浏览器缺陷的时候，把Cross-Site-Tracing简称为XST。 攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。 解决方案: 禁用这些方式。 如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句: RewriteEngine on RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK) RewriteRule