Linux系统平安加固.docVIP

一、安装和升级使用custom自定义安装，不必要的软件包尽量不装，如有必要给lilo/grub引导器加入口令限制，安装完成后使用up2date或是apt（Debian）升级 HYPERLINK /system/ 系统软件，有时升级内核也是必要的。编辑 /etc/sudoers 添加下面内容jinshuai ALL=NOPASSWD:ALL二、帐号安全1、一般服务器都是放在IDC机房，需要通过远程访问进行管理，要限制root的远程访问，管理员通过普通帐号远程登录，然后su到root，开发人员只使用普通帐号权限。1) 在/etc/default/login 文件，增加一行设置命令： 　　CONSOLE = /dev/tty01 2）可以通过下面的脚本禁止对控制台的访问：# !/bin/shcd /etc/pam.dfor i in * ; dosed /[^#].*pam_console.so/s/^/#/ foo mv foo $Idone3) 通过下面的措施可以防止任何人都可以su为root，在/etc/pam.d/su中添加如下两行。auth sufficient /lib/security/$ISA/pam_rootok.so debug 网管网ofAdmin.Com auth required /lib/security/$ISA/pam_wheel.so group=wheel然后把您想要执行su成为root的用户放入wheel组：usermod -G10 admin2、编辑/etc/securetty，注释掉所有允许root远程登录的控制台，然后禁止使用所有的控制台程序，其命令如下:rm -f /etc/security/console.apps/servicename三、采用最少服务原则，凡是不需要的服务一律注释掉。在/etc/inetd.conf中不需要的服务前加#，较高版本中已经没有inetd，而换成了Xinetd;取消开机自动运行服务，把/etc/rc.d/rc3.d下不需要运行的肥务的第一个字母S改成K,其他不变.四.文件 HYPERLINK /system/ 系统权限1) 找出 HYPERLINK /system/ 系统中所有含s位的程序,把不必要的s位去掉,或者把根本不用的直接删除,这样可以防止用户滥用及提升权限的可能性,其命令如下:find / -type f -perm -4000 -o -perm -2000 -print | xargs ls -lg 2) 把重要文件加上不可改变属性(一般情况不用这么做):chattr +i /etc/passwdImmutable， HYPERLINK /system/ 系统不允许对这个文件进行任何的修改。如果目录具有这个属性，那么任何的进程只能修改目录之下的文件，不允许建立和删除文件。3) 找出 HYPERLINK /system/ 系统中没有属主的文件:find / -nouser -o -nogroup4) 找出任何都有写权限的文件和目录:find / -type f -perm -2 -o -perm -20 |xagrs ls -lgfind / -type d -perm -2 -o -perm -20 |xagrs ls -ldg5) ftp的上传目录不能给与执行权限,如提供可运行CGI的虚拟主机服务,应该做额外安全配置.编/etc/security/limits.conf,加入或改变如下行:hard core 0hard rss 5000hard nproc 20五.Banner伪装1) 入侵者通常通过操作 HYPERLINK /system/ 系统、服务及应用程序版本来攻击，漏油列表和攻击程也是按此来分类，所以我们有必要作点手脚来加大入侵的难度。 所以编辑/etc/rc.d/rc.local如下：echo Kernel $(uname -r) on $a $(uname -m) /etc/issueecho Kernel \r on an \m /etc/issuecp -f /etc/issue /etc/echo /etc/issue2) 对于Apache的配置文件，找到ServerTokens和ServerSignature两个directive，修改其默认属性如下，使用不回显版本号：ServerTokens prodServerSignature Off六、IPTABLES防火墙规则：iptables -A INPUT -p --dport 22 -j ACCEPTiptables -A INPUT -i eth0 -p