Linux 1 系统安全常规优化1[精].pptVIP

文件系统级安全控制 合理规划系统分区 /boot、/home、/var、/opt 等建议单独分区 /etc/exports /tmp 1.1.1.1 (ro,root_squash) TCP_WRAPPERS 默认允许所有服务请求，在/etc/hosts.deny: ALL:ALL@ALL,PARANOID /etc/hosts.allow，加入允许访问的计算机: sshd:1.1.1.2 in.telnetd:1.1.1.2 /etc/host.conf文件 nospoof设成on，禁止IP欺骗。 安全使用应用程序和服务 关闭不需要的系统服务 使用ntsysv、chkconfig管理工具 chattr +i /etc/services 禁止普通用户执行init.d目录中的脚本 限制“other”组的权限chmod –R 700 /etc/rc.d/init.d/ 禁止普通用户执行控制台程序 consolehelper控制台助手 配置目录：/etc/security/console.apps/ 安全使用应用程序和服务 Syslog系统日志工具 /etc/syslog.conf 服务名.优先级 日志存放路径 查找程序文件中非必需的set位权限 set uid、set gid的用途？有何隐患？ 如何找出设置了set位权限的文件? 附加权限 SET位权限 主要用途： 为可执行（有 x 权限的）文件设置，权限字符为“s” 其他用户执行该文件时，将拥有属主或属组用户的权限 SET位权限类型： SUID：表示对属主用户增加SET位权限 SGID：表示对属组内的用户增加SET位权限 Find用法 -type 按类型；-name 按文件名字查找 -size 按大小查找 -exec： 对匹配的文件执行该参数所给出的shell命令。相应命令的形式为‘command’ {? } \;，注意{?? }和\；之间的空格。如：# find . -type f -exec ls -l {? } \; -perm 按文件权限模式来查找。如：$ find . -type f -perm 644 -exec ls -l {? } \; -nouser/nogroup：查找无有效所主/组的文件。 查找没有属主的文件 查找.rhosts文件 安全使用应用程序和服务 使系统对ping没有反应 添加到/etc/rc.d/rc.local 禁止源路由欺骗(ip source routing) 安全使用应用程序和服务 使TCP SYN Cookies保护生效 防SYN拒绝服务攻击(Dos) 资源限制 /etc/security/limits.conf /etc/pam.d/login 第5章 强化Linux安全 以root登陆时，自动压缩成匿名使用者 nospoof在执行了一个主机地址的查询之后, resolv+ 会对该地址执行一次主机名的查询. 如果两者不匹配, 查询即失败 [root@localhost ~]# cd /etc/security/console.apps/ [root@localhost ~]# rm –rf halt reboot [root@localhost ~]# find / -type f -perm +6000 -exec ls -lh {} \; [root@localhost ~]# ls -lh $(find / -type f -perm +6000) [root@localhost ~]# ls -l /usr/bin/passwd -rwsr-xr-x 1 root root 19876 2006-07-17 /usr/bin/passwd 普通用户以root用户的身份，间接更新了shadow文件中自己的密码 应用示例：/usr/bin/passwd 注意：不要轻易为可执行文件设置SET位权限，特别是对于那些属主、属组是root的执行程序，使用SET位权限时更应该慎重。 [root@localhost ~]# find / -nouser –o -nogroup [root@localhost ~]# find / -name .rhosts [root@localhost ~]# echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all [root@localhost ~]# echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all 恢复： for f in /proc/sys/net/ipv4/conf/*/accept_source_route: do echo