linux基本安全设定.pdfVIP

RedHat Linux 基本安全設定 try Oct 29,2002 NCCU Computer Center 前言 Linux 是一個 OpenSource 的作業系統，這代表著一旦安裝好Linux ，全世 界的Hacker 都會知道你Server 的一切細節，包含所有系統的bug 及漏洞。稱職 的Linux 管理員應該在Linux 安裝完成後，馬上做一些基本的安全設定。這些設 定雖然簡單，卻可以避免掉大部份的一般入侵行為。以下就我們在ICRA 2003 及在電算中心管理Ap Server 的經驗，整理出一些非常基本的安全設定，Linux 灌好後請務必將以下步驟當做例行程序。 去除不必要的服務 執行/usr/sbin/ntsysv ，出現如下畫面。 1 只要把不必要服務的「* 」拿掉，再按「Ok 」確認即可。 建議啟動服務參考列表 服務名稱 備註 anacron 排程。 apmd 進階電源管理。 atd 排程。 crond 排程。 gpm console 上的剪貼簿。 httpd 沒用就關起來。 identd TCP/IP IDENT Protocol Server ipchains 防火牆管理。 keytable kudzu 自動偵測新硬體。 netfs network 網器卡服務。 portmap DARPA port to RPC program number mapper. random 亂數產生器。 smb 網路芳鄰，沒用就關起來。 sshd Secure Socket Shell syslog kernel logs telnet 沒用就關起來。 wu-ftpd 沒用就關起來。 xinetd Internet 服務 鎖IP 以下這個方式可以鎖所有經過xinetd 的服務的IP(如telnet,ssh…) 。 編輯/etc/hosts.deny ，加上ALL:ALL 。 編輯/etc/hosts.allow ，加上你要開放的特定對象，左邊是port ，右邊是 IP 。如，ALL:140.119. 代表政大校內可使用該主機所有port ，最後一個「. 」不要忘了加。 80:ALL ，所有人可入port 80 執行/etc/init.d/xinetd restart 。 2 使用ssh 登入系統 如果你從宿舍「成員眾多的LAN 環境」上要telnet 到你的機器上，有