从十个方面讲解如何保证自己的linux服务器安全.pdfVIP

从十个方面讲解如何保证自己的Linux服务器安全 Linux 主要用于架设网络服务器。如今关于服务器和网站被黑客攻击的报告几乎每天都可以 见到，而且随着网络应用的丰富多样，攻击的形式和方法也千变万化。如何增强Linux 服务 器的安全性是Linux 系统管理员最关心的问题之一。 ①首先要保证自己的服务器的绝对安全，root密码我一般设置为28位以上，而且某些 重要的服务器必须只有几个人知道root密码，这个根据公司权限来设置，如果有公司的系 统管理员离职，root密码一定要更改；玩linux久了的人都应该知道，更改root密码不会 影响linux的crontab计划任务，而windows2003就不一样了，如果随意更改administrator 密码，会直接影响其计划任务运行。 ②我的Nagios外网监控服务器，刚开始测试时取的密码是redhat，放进公网一天就被 人改了，郁闷死了；后来环境部署成熟以后发现仍然有不少外网ip在扫描和试探，看来不 用点工具不行啊；呵呵，DenyHosts是用Python2.3写的一个程序，它会分析/var/log/secure 等日志文件，当发现同一IP在进行多次SSH密码尝试时就会记录IP到/etc/hosts.deny文 件，从而达到自动屏蔽该IP 的目的。 一、检查安装条件 1、首先判断系统安装的sshd是否支持tcp_wrappers （默认都支持） # ldd /usr/sbin/sshd libwrap.so.0 /usr/lib/libwrap.so.0 (0x0046e000) 2、判断默认安装的Python版本 # python -V Python 2.3.4 二、已安装Python2.3 以上版本的情况 1、安装DenyHosts # cd /usr/local/src # wget / sourceforge/denyhosts/DenyHosts-2.6.tar.gz # tar zxf DenyHosts-2.6.tar.gz # cd DenyHosts-2.6 # python setup.py install 程序脚本自动安装到/usr/share/denyhosts 库文件自动安装到/usr/lib/python2.3/site-packages/DenyHosts denyhosts.py 自动安装到/usr/bin 2、设置启动脚本 # cd /usr/share/denyhosts/ # cp daemon-control-dist daemon-control # chown root daemon-control # chmod 700 daemon-control # grep -v ^# denyhosts.cfg-dist denyhosts.cfg # vi denyhosts.cfg 根据自己需要进行相应的修改 denyhosts.cfg SECURE_LOG /var/log/secure #RedHat/Fedora Core分析该日志文件 #其它版本linux根据denyhosts.cfg-dist 内提示选择。 PURGE_DENY 30m #过多久后清除 DENY_THRESHOLD_INVALID 1 #允许无效用户 （/etc/passwd未列出）登录失败的次数 DENY_THRESHOLD_VALID 5 #允许有效 （普通）用户登录失败的次数 DENY_THRESHOLD_ROOT 3 #允许root登录失败的次数 HOSTNAME_LOOKUP NO #是否做域名反解 denyhosts.cfg 如果需要D