浅谈Linux的安全设置(转载).docVIP

資料來源：/ShowArt.php3?ID=3403 資料說明：這是一篇由大陸網站LinuxByte.Net所刊登出來的東東，原本是簡體，我將之轉為繁體，並將兩岸不同的用語給本地化了，這篇文章比較適合Redhat6.x版的用戶使用，當然也適合7.x版，但因6.x與7.x版原來在結構上就有很大的差異，並不保證一定能夠使用！ 淺談Linux的安全設置 2002-02-19 22:00 發佈者：netbull 閱讀次數：1676 陳康鵬 　　如今系統的安全變的越來越重要了，這裏我想把我平時比較常使用的一些linux下的基本的安全措施寫出來和大家探討一下，讓我們的Linux系統變得可靠。 1、BIOS的安全設置 　　這是最基本的了，也是最簡單的了。一定要給你的BIOS設置密碼，以防止通過在BIOS中改變啓動順序，而可以從軟碟啓動。這樣可以阻止別有用心的試圖用特殊的開機片啓動你的系統，還可以阻止別人進入BIOS改動其中的設置，使機器的硬體設置不能被別人隨意改動。 2、LILO的安全設置 　　LILO是LInux 　　LOader的縮寫，它是LINUX的啓動模組。可以通過修改“/etc/lilo.conf”文件中的內容來進行配置。在/etc/lilo.conf文件中加如下面兩個參數：restricted,password。這三個參數可以使你的系統在啓動lilo時就要求密碼驗證。 　　第一步：編輯lilo.conf文件（vi /etc/f）,假如或改變這三個參數： 　　boot=/dev/hda 　　map=/boot/map 　　install=/boot/boot.b 　　prompt 　　timeout=00 #把這行該爲00，這樣系統啓動時將不在等待，而直接啓動LINUX 　　message=/boot/message 　　linear 　　default=linux 　　restricted #加入這行 　　password= #加入這行並設置自己的密碼 　　image=/boot/vmlinuz-2.4.2-2 　　label=linux 　　root=/dev/hda6 　　read-only 　　第二步：因爲/etc/lilo.conf文件中包含明文密碼，所以要把它設置爲root許可權讀取。 　　# chmod 0600 /etc/lilo.conf 　　第三步：更新系統，以便對“/etc/lilo.conf”文件做的修改起作用。 　　# /sbin/lilo -v 　　第四步：使用“chattr”命令使/etc/lilo.conf文件變爲不可改變。 　　# chattr +i /etc/lilo.conf 　　這樣可以在一定程度上防止對“/etc/lilo.conf”任何改變（意外或其他原因） 3、讓密碼更加安全 　　密碼可以說是系統的第一道防線，目前網上的大部分對系統的攻擊都是從截獲密碼或者猜測密碼開始的，所以我們應該選擇更加安全的密碼。 　　首先要杜絕不設密碼的帳號存在。這可以通過查看/etc/passwd文件發現。例如，存在的用戶名爲test的帳號，沒有設置密碼，則在/etc/passwd文件中就有如下一行： 　　test::100:9::/home/test:/bin/bash 　　其第二項爲空，說明test這個帳號沒有設置密碼，這是非常危險的！應將該類帳號刪除或者設置密碼。 　　其次，在舊版本的linux中，在/etc/passwd文件中是包含有加密的密碼的，這就給系統的安全性帶來了很大的隱憂，最簡單的方法就是可以用暴力破解的方法來獲得密碼。可以使用命令/usr/sbin/pwconv或者/usr/sbin/grpconv來建立/etc/shadow或者/etc/gshadow文件，這樣在/etc/passwd文件中不再包含加密的密碼，而是放在/etc/shadow文件中，該文件只有超級用戶root可讀！ 　　第三點是修改一些系統帳號的Shell變數，例如uucp,ftp和news等，還有一些僅僅需要FTP功能的帳號，一定不要給他們設置/bin/bash或者/bin/sh等Shell變數。可以在/etc/passwd中將它們的Shell變數置空，例如設爲/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令來更改username的Shell爲/dev/null。這樣使用這些帳號將無法Telnet遠端登錄到系統中來！ 　　第四點是修改預設的密碼長度：在你安裝linux時默認的密碼長度是5個位元組。但這並不夠，要把它設爲8。修改最短密碼長度需要編輯login.d