LINUX安全设置步骤
2016-01-11 23:06
447 查看
删除所有那些不能在你系统上使用的默认用户和组账户: lp,sync,shutdown,halt, news, uucp, operator, games, gopher ROOT自动从shell注销 编辑你的配置文件”vi /etc/profile”,在某个地方加入如下行, “HISTFILESIZE=” TMOUT=3600 我们为变量”TMOUT=”输入的这个值使用秒表示的、代表一个小时(60*60=3600秒)。如果你将此行加入你的“/etc/profile” 文件,那么在一小时的 非活动状态之后将要系统里的所有用户自动注销。你可以在用户私人的”。bashrc”文件里面 设置这个变量,可以在一个确定的时间以后自动注销他们。 禁止并且卸载所有没有用的服务 你必须禁止别切卸载所有你不用的的服务,那样的话,你就能少担心一些。看看你的”/etc/inetd.conf”文件, 用注释的方法禁用(在一行的开始加个# ),然后给inetd进程发送一个SIGHUP命令去更新到当前的”inetd.conf”文件。这样做: 第一步把”/etc/inetd.conf”更改许可权限成600,那样的话,就只有root可以读和写。 [Root@kapil /]# chmod 600 /etc/inetd.conf 第二步确保”/etc/inetd.conf”的所有者是root。 第三步编辑inetd.conf文件(vi /etc/inetd.conf),并且禁止一些服务,就像:ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop -3, finger, auth等等,除非你打算用它。关闭这些服务就降低一些风险。 第四步给你的inetd进程发送一个HUP信号[root@kapil /]# killall -HUP inetd 第五步设置”/etc/inetd.conf”文件为不可更改,使用 chattr 命令,这样的话,没人能修改那个文件。*简单的设置文件为不可更改,执行如下命令: [root@kapil /]# chattr +i /etc/inetd.conf 这将防止对”inetd.conf”文件的任何更改(意外的更改或者其他更改)。只有超级用户root能设置或者清除这个文件属性。修改inetd.conf *简单的取 消不可更改的设置,执行如下命令: [root@kapil /]# chattr -i /etc/inetd.conf 免疫”/etc/services”文件 你必须免疫 “/etc/services” 文件,防止未经授权的删除、增加服务。 免疫 “/etc/services” 文件,使用命令: [root@kapil /]# chattr +i /etc/services 禁止Control-Alt-Deletc键盘关机命令 在你的”/etc/inittab”文件里面注释掉如下的行(用一个”#”)。 这样做,编辑inittab文件(vi /etc/inittab),更换: ca::ctrlaltdel:/sbin/shutdown -t3 -r now 读入: #ca::ctrlaltdel:/sbin/shutdown -t3 -r now 现在,按照如下提示输入,让更改生效: [root@kapil /]# /sbin/init q 为脚本文件整理”/etc/rc.d/init.d”下的权限 整理脚本文件的许可权限,可靠的开始和结束所有你需要在引导时运行的常态进程,这样做: [root@kapil/]# chmod -R 700 /etc/rc.d/init.d/* 这意味着只有root可以被允许读,写,和执行目录里面的脚本文件。 隐藏你的系统信息 默认状态下,当你登录到linux机器时,他告诉你Linux分布商的名字,版本,核心版本和服务器名字。这对一个骇客来说从你的服务器得到这些信息足够 了以必须立刻用一个”Login:”提示符提示用户。 第一步 这样做,编辑”/etc/rc.d/rc.local”文件,放置”#”在如下行的前面。 # This will overwrite /etc/issue at every boot. So, make any changes you # want to make to /etc/issue here or you will lose them when you reboot. #echo “” >; /etc/issue #echo “$R” >;>; /etc/issue #echo “Kernel $(uname -r) on $a $(uname -m)” >;>; /etc/issue # #cp -f /etc/issue /etc/issue.net #echo >;>; /etc/issue 第二步 然后,删除如下文件:在”/etc/”目录下的”issue.net” 和 “issue”: [root@kapil /]# rm -f /etc/issue [root@kapil /]# rm -f /etc/issue.net 禁止未用的 SUID/SGID 程序 一个常规用户如果设置为SUID root,将能够作为root运行程序。一个系统管理员必须最小化使用这些 SUID/GUID程序, 而且禁止那些不需要的程序。 第1步 从root拥有的程序里发现所有有`s’ 位的程序,用此命令: [root@kapil]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \; * 在被选中的程序上禁止suid 位,键入如下命令: [root@kapil /]# chmod a-s [program] 关闭ipv6 vi /etc/modprobe.conf,在文件中添加以下两行 alias net-pf-10 off alias ipv6 off
相关文章推荐
- Linux socket 初步
- Linux Kernel 4.0 RC5 发布!
- linux lsof详解
- linux 文件权限
- Linux 执行数学运算
- 10 篇对初学者和专家都有用的 Linux 命令教程
- Linux 与 Windows 对UNICODE 的处理方式
- Ubuntu12.04下QQ完美走起啊!走起啊!有木有啊!
- 解決Linux下Android开发真机调试设备不被识别问题
- 运维入门
- 运维提升
- Linux 自检和 SystemTap
- Ubuntu Linux使用体验
- c语言实现hashmap(转载)
- Linux 信号signal处理机制
- linux下mysql添加用户
- Scientific Linux 5.5 图形安装教程
- Linux 下无损图片压缩小工具介绍