登录论坛 | 注册会员 设为首页 | 收藏本站
当前位置 : 首页>软件学院>操作系统>linux系统>正文
 
Linux系统网络安全配置基础详解

http://www.dbit.cn 2008-8-13 9:04:39  来源:ccident  编辑:叶子
 
  Linux安全配置步骤简述

  一、磁盘分区

  ◆1、如果是新安装系统,对磁盘分区应考虑安全性:

  (1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;

  (2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;

  ◆2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;

  方法一:修改/etc/fstab文件,添加nosuid属性字。例如:

  /dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0

  方法二:如果对/etc/fstab文件操作不熟,建议通过linuxconf程序来修改。

  * 运行linuxconf程序;

  * 选择"File systems"下的"Access local drive";

  * 选择需要修改属性的磁盘分区;

  * 选择"No setuid programs allowed"选项;

  * 根据需要选择其它可选项;

  * 正常退出。(一般会提示重新mount该分区)

  二、安装

  1、对于非测试主机,不应安装过多的软件包。这样可以降低因软件包而导致出现安全漏洞的可能性。

  2、对于非测试主机,在选择主机启动服务时不选择非必需的服务。例如routed、ypbind等。

  三、安全配置与增强

  内核升级。起码要升级至2.2.16以上版本。

  GNU libc共享库升级。(警告:如果没有经验,不可轻易尝试。可暂缓。)

  关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等

  关闭非必需的网络服务。talk、ntalk、pop-2等

  常见网络服务安全配置与升级

  确保网络服务所使用版本为当前最新和最安全的版本。

  取消匿名FTP访问

  去除非必需的suid程序

  使用tcpwrapper

  使用ipchains防火墙

  日志系统syslogd

  一些细节:

  ◆1、操作系统内部的log file是检测是否有网络入侵的重要线索,当然这个假定你的logfile不被侵入者所破坏,如果你有台服务器用专线直接连到Internet上,这意味着你的IP地址是永久固定的地址,你会发现有很多人对你的系统做telnet/ftp登录尝试,试着运行如下语句去检查。

  #more /var/log/secure   grep refused

  ◆2、限制具有SUID权限标志的程序数量,具有该权限标志的程序以root身份运行,是一个潜在的安全漏洞,当然,有些程序是必须要具有该标志的,象passwd程序。

  ◆3、BIOS安全。设置BIOS密码且修改引导次序禁止从软盘启动系统。

  ◆4、用户口令。用户口令是Linux安全的一个最基本的起点,很多人使用的用户口令就是简单的password,这等于给侵入者敞开了大门,虽然从理论上说没有不能确解的用户口令,只要有足够的时间和资源可以利用。比较好的用户口令是那些只有他自己能够容易记得并理解的一串字符,并且绝对不要在任何地方写出来。

  ◆5、/etc/exports 文件。如果你使用NFS网络文件系统服务,那么确保你的/etc/exports具有最严格的存取权限设置,不意味着不要使用任何通配符,不允许root写权限,mount成只读文件系统。编辑文件/etc/exports并且加入例如:

  /dir/to/export host1.mydomain.com(ro,root_squash)

  /dir/to/export host2.mydomain.com(ro,root_squash)

  其中/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,

  ro意味着mount成只读系统,root_squash禁止root写入该目录。

  为了让上面的改变生效,运行

  /usr/sbin/exportfs –a

  ◆6、确信/etc/inetd.conf的所有者是root,且文件权限设置为600 。

  [root@deep]# chmod 600 /etc/inetd.conf

  ENSURE that the owner is root.

  [root@deep]# stat /etc/inetd.conf

  File: "/etc/inetd.conf"

  Size: 2869 Filetype: Regular File

本新闻共7页,当前在第1页  1  2  3  4  5  6  7  

 
收藏】【打印】【进入论坛
  相关文章:

·Linux防火墙伪装机制抵抗黑客攻击
·简单介绍Linux内核安全入侵侦察系统 
·使用国外Linux主机做网站要注意2点 
·大企业后端使用Linux十大常见方式 
·化解四种入侵Linux服务器方法 
·盖茨新个人网站使用Linux服务器
·Linux系统安全知识 防范黑客攻击
·Linux服务器维护的四大法宝
·在关闭的Linux机器实现防火墙功能
·Linux系统清除Grub的几种方法
·Linux改善FTP服务器的安全性

 
 
 
 
最新文章

中关村艳照门女主角详记录高清组图 
大连护士门大尺度艳照高清组图
iPhone女孩微博爆红 最宝贵东西换iPhon
团购鼻祖Groupon中国揭秘:快与慢的商业
Spil Games发布新的品牌形象
1800配置一台主机 不要显示器
反恐精英之父内维尔:改变电脑游戏销售
团购网站黎明之前:中国市场惨烈厮杀不
联想V360笔记本模特写真
爱国者第四代移动硬盘将面市、低电压保

 
推荐文章
1
2
3
4
5
6
7
8
9
10
iPhone女孩微博爆红 最宝贵东西换
大连护士门大尺度艳照高清组图
中关村艳照门女主角详记录高清组
苹果员工中毒门
宫如敏不雅照疯传 看张馨予韩一菲
深耕市场 永续经营——专访百脑汇
优派专业电子书 让您回家旅途多姿
揭晓百万大奖三星bada魅力绽放中
大明龙权“江湖英雄会”全国PK大
永恒之塔校园达人挑战赛完美落幕
八卦图解 More>>
iPhone女孩微博爆红 最宝贵东西换 大连护士门大尺度艳照高清组图
中关村艳照门女主角详记录高清组 宫如敏不雅照疯传 看张馨予韩一菲