CentOS_release_5.3系統安全配置手册.docxVIP

CentOS release 5.3系统安全配置手册CentOS release 5.3目 录服务安全配置41.1 Apache服务器安全配置41.1.1勤打补丁41.1.2建立一个安全的目录结构51.1.3为Apache使用专门的用户和用户组51.1.4Web目录的访问策略61.1.5配置Apache服务器访问日志71.1.6 Apache服务器的密码保护81.1.7减少CGI和SSI风险101.1.8使用SSL加固Apache111.1.9 Apache服务器防范DoS攻击122.1 Iptables的安全配置123.1 MYSQL的安全配置134.1 vsftpd的安全配置154.1.1创建guest用户154.1.2生成虚拟用户154.1.3修改vsftpd.conf文件164.1.4用户权限配置165.1 Squid Server的安全配置175.1.1限制内网某些IP使用代理服务器.175.1.2限制内网某些MAC地址使用代理服务器.185.1.3限制内网用户访问某些网站185.1.4限制内网用户访问某些格式的文件195.1.5限制内网用户使用代理服务器的时间195.1.6控制内网用户使用代理服务器的并发连接数.206.1 SSH的安全配置206.1.1限制ssh远程登录的时候直接以root帐号登录：206.1.2更改SSH的默认端口，206.1.3只允许通过指定的网络接口来访问SSH服务216.1.4限制空密码登录216.1.5只允许某些用户通过 ssh 访问主机.216.1.6仅允许某个组的成员通过 ssh 访问主机.216.1.7禁用版本1协议,216.1.8为用户连接到 ssh 服务器增加一个标题(它将从文件读取),227.1 DNS的安全配置22系统安全配置301.删除系统特殊的的用户帐号：302.删除系统特殊的组帐号313.用户密码设置314.修改自动注销帐号时间315.限制Shell命令记录大小326.注销时删除命令记录327.用下面的命令加需要的用户组和用户帐号328.阻止任何人su作为root339.修改ssh服务的root登录权限3310.关闭系统不使用的服务：3411.阻止系统响应任何从外部/内部来的ping请求3912.修改“/etc/host.conf”文件3913.不允许从不同的控制台进行root登陆3914.禁止Control-Alt-Delete键盘关闭命令4015.用chattr命令给下面的文件加上不可更改属性。4016.给系统服务端口列表文件加锁4217.系统文件权限修改4218.增加dns4319.hostname 修改4320.selinux 修改4321.关闭ipv64422.linux调整系统时区/时间的方法4423.设置语言4524.tmpwatch 定时清除45服务安全配置1.1 Apache服务器安全配置1.1.1勤打补丁在上的 changelog中都写着bug fix 、security bug的字样。所以，Linux管理员要经常关注相关网站的缺陷，及时升级系统或者打补丁。使用最高的和最新的安全版本对于加强Apache服务器的安全是至关重要的。将你的openssl升级打牌0.9.6e或更高的版本，伪造的密钥将起不了任何作用，也不能渗透到系统中。一些反病毒程序能够发现并杀死ssl病毒，但是蠕虫病毒可能产生变体，从而逃脱反病毒软件的追捕。重启Apache可以杀死这样的病毒，但是对于防止将来的感染没有什么积极的作用。隐藏和伪装Apache的版本通常，软件的漏洞和特定的版本是相关的，因此，版本号对黑客来说是最有价值的东西。默认情况下，系统会把Apache版本模块都显示出来（在HTTP返回头中）。如果列举目录的话，会显示域名信息（文件列表正文），去除Apache的版本号的方法是修改配置文件http.conf。找打一下关键字：serversignature并将其设定为：Serversignature offServertokens prod然后重启服务器。通过分析web服务器的类型，可以大致推测出操作系统的类型，比如，windows使用IIS，而Linux下最常见的是Apache。默认的Apache配置里没有任何信息保护机制，并且允许目录浏览。通过目录浏览，通常可以获得类似“Apache/1.3.27 server at port 80”或者“apache/2.0.49(unix)PHP/4.38”这类的信息。通过修改配置文件的servertokens参数，可以将Apache的相关信息隐藏起来。但是，Red Hat Linux运行的Apache是编译好的程序，提示信息被编译在程序里，要隐藏这些信息需要改动Apache的源代码，然后，重新编译安装程序，以替换里面的提示内