UNIX 操作系统讲义.ppt

关于分区 安装系统时就应该注意，如果用root分区纪录数据，如log文件和email，就可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。所以建议为/var开辟单独的分区，用来存放日志和邮件，以避免root分区溢满。最好为特殊的应用程序单独开一个分区，特别是可以产生大量日志的程序，如为email开设/mail分区, 还有建议为/home单独分一个区，从而就避免了部分针对Linux分区溢满的恶意攻击。 　　 关于BIOS 记着要在BIOS设置中设定一个BIOS密码，不接受软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统，并避免别人更改BIOS设置，如更改软盘启动设置或不弹出密码框直接启动服务器等等。 关于口令 口令严整是系统中认证用户的主要手段，系统安装时默认的口令最小长度通常为5，但为保证口令不易被猜测攻击，可增加口令的最小长度，至少等于8。为此，需修改文件/etc/login.defs中参数PASS_MIN_LEN（口令最小长度）。同时应限制口令使用时间，保证定期更换口令，建议修改参数PASS_MIN_DAYS（口令使用时间）。 关于Ping 没有人能ping通你的机器，你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行，这样就可以阻止你的系统响应任何从外部/内部来的ping请求。 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 关于Telnet 　　 如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息（可以避免有针对性的漏洞攻击），你应该改写/etc/inetd.conf中的一行象下面这样： telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h  加-h标志在最后使得telnet后台不要显示系统信息，而仅仅显示login。 关于特权帐号 禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。 删除你系统上的用户，用下面的命令：userdel username 　 删除你系统上的组用户帐号，用下面的命令：groupdel username 或者把passwd和shadow文件里的相关记录用’#’注释掉。 关于su 如果你不想任何人能够su为root的话,你应该编辑/etc/pam.d/su文件，加下面几行：  auth sufficient /lib/security/pam_rootok.so debug  auth required /lib/security/pam_wheel.s o group=isd 这意味着仅仅isd组的用户可以su作为root。 如果你希望用户admin能su作为root.就运行下面的命令： usermod -gisd admin 　 关于suid suid程序也是非常危险的，这些程序被普通用户以euid=0（即root）的身份执行，只能有少量程序被设置为suid。用这个命令列出系统的suid二进制程序： find / -perm -4000 -print  你可以用chmod -s去掉一些不需要程序的suid 位。 　　 关于账户注销 如果系统管理员在离开系统时忘了从root注销，系统应该能够自动从shell中注销。那么，你就需要设置一个特殊的 Linux 变量“tmout”，用以设定时间。 你可以修改/etc/profile文件，保证账户在一段时间没有操作后，自动从系统注销。 编辑文件/etc/profile，在“histfilesize=”行的下一行增加如下一行: tmout=600  则所有用户将在10分钟无操作后自动注销。注意：修改了该参数后，必须退出并重新登录root，更改才能生效。 关于系统文件 对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadow._、inetd.conf、services和lilo.conf等可修改其属性，防止意外修改和被普通用户查看。 如将inetd文件属性改为600： chmod 600 /etc/inetd.conf 关于系统文件