Lesson10LINUX安全与优化概要-Read.ppt

BIOS 安全，设定引导口令 限定禁止从光盘、软盘启动，引导介质只保留硬盘，并且给BIOS加上密码，防止有人改变BIOS的参数，从而使用侵入系统。 口令 建议用下面的规则选择有效的口令：1. 口令至少要有6个字符，修改默认配置文件/etc/login.defs，最好包含一个以上的数字或特殊字符。2. 口令不能太简单，所谓的简单就是很容易猜出来，也就是用登陆名、电话号码、生日、职业或者其它个人信息作为口令。3. 口令必须是有有效期的，在一段时间之后就要更换口令。4. 口令在这种情况下必须作废或者重新设定：如果发现有人试图猜测口令，而且已经试过很多次了。 5. 不要将用户的口令写下来，以书面形式存在。 6. 不要将用户口令告诉任何人，不要让别人看到自己输入的用户口令。 7. 不要在局域网或拨号网络上传送口令，必须使用安全的口令分配协议实现口令的传输和分配。 约束口令选择的工具 npasswd（通过配置文件checkpasswd.cf控制限制规则） 强制/etc/passwd文件中的口令满足一定的规则 最少字符数 非法字符 混合字体 个人信息 字典 passwd+ 配置规则更加灵活 用户管理 1. 使用下面指令搜索在/etc/passwd文件重ID为0的用户帐号： # find $ [^:] * [^*] * :0 * $ /etc/passwd 2. 检查/etc/passwd和/etc/shadow文件，保证每个用户的口令域不为空。 3. 建立新用户时，只给他们最小的权限。 4. 确定并标记那些在一段时间内不需要访问系统的用户帐户。 5. 确定并删除那些不再需要访问系统的伪用户和组。 特殊的帐号 假定已经在系统中使用shadow口令。如果不是这样，最好在系统中加上shadow口令的支持，因为这样系统会更安全。安装服务器时应该选上“Enable Shadow Passwords”这个选项。 第一步 用下面的命令删除一些不必要的用户：[root@Aid]# userdel adm[root@Aid]# userdel lp[root@Aid]# userdel sync[root@Aid]# userdel shutdown[root@Aid]# userdel halt[root@Aid]# userdel news[root@Aid]# userdel uucp[root@Aid]# userdel operator[root@Aid]# userdel games （如果不用X Window服务器,可以删除这个用户）[root@Aid]# userdel gopher[root@Aid]# userdel ftp （如果没安装匿名ftp服务器，可以删除这个用户） 特殊的帐号 第二步 输入下面的命令删除一些不必要的组：[root@Aid]# groupdel adm[root@Aid]# groupdel lp[root@Aid]# groupdel news[root@Aid]# groupdel uucp[root@Aid]# groupdel games [root@Aid]# groupdel dip[root@Aid]# groupdel pppusers[root@Aid]# groupdel popusers [root@Aid]# groupdel slipusers 特殊的帐号 第四步 “不允许改变”位可以用来保护文件使其不被意外地删除或重写，也可以防止有些人创建这个文件的符号连接。删除“/etc/passwd”、“/etc/shadow”、“/etc/group”或“/etc/gshadow”都是黑客的攻击方法。 给口令文件和组文件设置不可改变位，可以用下面的命令：[root@Aid]# chattr +i /etc/passwd[root@Aid]# chattr +i /etc/shadow[root@Aid]# chattr +i /etc/group[root@Aid]# chattr +i /etc/gshadow 注意：如果将来要在口令或组文件中增加或删除用户，就必须先清除这些文件的不可改变位，否则就不能做任何改变。如果没有清除这些文件的不可改变位，安装那些会自动在口令文件和组文件中加入新用户的rpm软件包的时候，在安装过程中就会出现出错的提示。 特殊的帐号 chattr支持的常用参数： 1. A Atime，不可修改文件最后访问时间