914020-红帽-RHCE课程-Linux系统深度安全加固 .pdfVIP

Linux 系统凭借其稳定且源代码公开的特性，在 Internet 上被用来做 Web 服务器与数据库服务器已经越来 越多了，随之，Linux 系统的安全性也被愈发重视，加固 Linux 系统对于很多人来说，也是迫在眉睫的事 情了。那么，要较好的加固 Linux 系统，足以应付各种突发事件与黑客的攻击，我们需要从哪些方面入手 呢? 1.安装和升级 尽量选用最新的 Linux 发行版本，安装前拔掉网线，断开物理连接，安装时建议用 custom 自定义方式 安装软件包，数量以少为好。一般来说服务器没有必要安装 X-windows，在 lilo/grub 引导器中加人口令 限制，防止能够物理接触的恶意用户。 因为 Linux 安装光盘的rescue 模式可以跳过这个限制，所以还要给 BIOS 加上密码或服务器机箱上锁。 /var、/home、/usr 和/root 等目录使用独立的物理分区，防止垃圾数据和日志填满硬盘而导致 D.o.S 攻击。 对 root 账号要给予强壮的口令。 安装完毕立即用 up2date 或 apt 升级系统软件，有时升级内核也是必要的，因为内核出现问题同样会 给攻击者提供机会。apt 是 Debian GNU Linux 下的一个强大的包管理工具，也可用于其他版本的 Linux. 2.账号 如果系统中的用户比较多，可以编辑/etc/login.defs，更改密码策略，删除系统中不必要的账户和组， 如果不开匿名 ftp，可以把 ftp 账号也删了。删除账号的命令如下: [root@ayazero/]#userdel-r username 最安全的方式是本地维护，可惜不太现实，但还是需要限制 root 的远程访问，管理员可以用普通账户 远程登录，然后 su 到 root，我们可以把使用 su 的用户加到 wheel 组来提高安全性。在/etc/pam.d/su 文 件的头部加入下面两行代码 : 编辑/etc/securetty，注释掉所有允许 root 远程登录的控制台，然后禁止使用所有的控制台程序，其 命令如下: 登录采用加密的 ssn，如果管理员只从固定的终端登陆，还应限制合法ssn 客户端的范围， 防止嗅探及中间人攻击。同时，将命令历史纪录归为零，尽可能的隐藏你做过的事情，其命令为 : 3.服务 采用最少服务原则，凡是不需要的服务一律注释掉。在/etc/inetd.conf 中不需要的服务前加#，较 高版本中已经没有 inetd ，而换成了 Xinetd;取消开机自动运行服务，把/etc/rc.d/rc3.d 下不需要运行的 肥务的第一个字母S改成K,其他不变. 如果你希望简单一点,可以使用/etc/host.allow和/etc/host.deny这两个文件,但是推荐使用 iptables防火墙,所 以不在此详述. 4.文件系统权限 找出系统 中所有含 s位的程序,把不必要的s位去掉,或者把根本不用的直接删除,这样可以防止用户 滥用及提升权限的可能性,其命令如下: 把重要文件加上不可改变属性: 具体视需要而定,有些 exploit溢出后会向 inetd.conf写一条语句绑定 shell在一个端口监听,此时这 条命令就起作用,浅薄的入侵者会以为溢出不成功. 找出系统中没有属主的文件: 找出任何都有写权限的文件和目录: 防止入侵者向其中写入木马语句(诸如一个 shell 的拷贝)或继承属主权限而非法访问;找出并加固那 些历来被入侵者利用的文件.比如.rhosts.