Linux系统安全的配置与管理.doc

Linux系统安全的配置与管理 1.BIOS的安全设置 一定要给Bios设置密码，以防通过在Bios中改变启动顺序，而可以从软盘启动。 这样可以阻止别人试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios 改动其中的设置（比如? 允许通过软盘启动等）。 然后选择Security项，设置Bios的密码。 最后将虚拟机的启动顺序改变，保存退出即可 2．LILO的安全设置 在“/etc/lilo.conf”文件中加入下面三个参数：time- out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。 第一步： 编辑lilo.cof文件（vi /etc/lilo.cof）,假如或改变这三个参数：timeout=50 #把这行该为00，这样系统启动时将不在等待，而直接启动LINUX prompt Default=linux boot=/dev/sda map=/boot/map install=/boot/boot.brestricted #加入这行 password= #加入这行并设置自己的密码 image=/boot/vmlinuz-2.  label=linux  initrd=/boot/initrd-2.4.20-8.img  read-only  append=”root=LABEL=/” 第二步： 因为/etc/lilo.cof 文件中包含明文密码，所以要把它设置为root权限读取。 chmod 600 /etc/lilo.cof第三步： 更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。 //lilo.conf.anaconda -v  第四步： 使用“chattr”命令使/etc/lilo.conf 文件变为不可改变。 [root@kapil /]# chattr +i /etc/lilo.conf 这样可以防止对“/etc/lilo.conf”任何改变（以外或其他原因） 让口令更加安全口令可以说是系统的第一道防线，目前网上的大部分对系统的攻击都是从截获口令或者猜测口令开始的，所以我们应该选择更加安全的口令。 首先要杜绝不设口令的帐号存在。这可以通过查看/etc/passwd文件发现。例如，存在的用户名为test的帐号，没有设置口令，则在/etc/passwd文件中就有如下一行： test::100:9::/home/test:/bin/bash 其第二项为空，说明test这个帐号没有设置口令，这是非常危险的！应将该类帐号删除或者设置口令。 其次，在旧版本的linux中，在/etc/passwd文件中是包含有加密的密码的，这就给系统的安全性带来了很大的隐患，最简单的方法就是可以用暴力绿色的方法来获得口令。可以使用命令/usr/sbin/pwconv或者/usr/sbin/grpconv来建立/etc/shadow或者/etc/gshadow文件，这样在/etc/passwd文件中不再包含加密的密码，而是放在/etc/shadow文件中，该文件只有超级用户root可读！ 第三点是修改一些系统帐号的Shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的Shell变量置空，例如设为/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令来更改username的Shell为/dev/null。这样使用这些帐号将无法Telnet远程登录到系统中来！ 第四点是修改缺省的密码长度：在你安装linux时默认的密码长度是5个字节。但这并不够，要把它设为8。修改最短密码长度需要编辑login.defs文件（vi/etc/login.defs），把下面这行 PASS_MIN_LEN 5 改为 PASS_MIN_LEN 8 login.defs文件是login程序的配置文件。4．自动注销帐号的登录在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编辑你的profile文件（vi /etc/profile）,在HISTFILESIZE=后面加入下面这行： TMOUT=300 300，表示300秒，也就是表示5分钟。这样，如果系统中登陆的用户在5分钟内都没有动作，那么系统会自动注销这个账户。你