本文講述了如何通過(guò)基本的安全措施，使你的Linux系統(tǒng)變得可靠。
Bios Security
一定要給Bios設(shè)置密碼，以防通過(guò)在Bios中改變啟動(dòng)順序，而可以從軟盤啟動(dòng)。
這樣可以阻止別人試圖用特殊的啟動(dòng)盤啟動(dòng)你的系統(tǒng)，還可以阻止別人進(jìn)入Bios改動(dòng)其中的設(shè)置（比如允許通過(guò)軟盤啟動(dòng)等）。
LILO Security
在“/etc/lilo.conf”文件中加入下面三個(gè)參數(shù)：time-
out,restricted,password。這三個(gè)參數(shù)可以使你的系統(tǒng)在啟動(dòng)lilo時(shí)就要求密
碼驗(yàn)證。
第一步:

編輯lilo.conf文件（vi /etc/lilo.comf）,假如或改變這三個(gè)參數(shù)： boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #把這行該為00 prompt Default=linux restricted #加入這行 password= #加入這行并設(shè)置自己的密碼 image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only

第二步：

因?yàn)?/etc/lilo.conf"文件中包含明文密碼，所以要把它設(shè)置為root權(quán)限讀取。 [root@kapil /]# chmod 600 /etc/lilo.conf

第三步：

更新系統(tǒng)，以便對(duì)“/etc/lilo.conf”文件做的修改起作用。 [Root@kapil /]# /sbin/lilo -v

第四步：

使用“chattr”命令使"/etc/lilo.conf"文件變?yōu)椴豢筛淖儭? [root@kapil /]# chattr +i /etc/lilo.conf

這樣可以防止對(duì)“/etc/lilo.conf”任何改變（以外或其他原因）
刪除所有的特殊賬戶
你應(yīng)該刪除所有不用的缺省用戶和組賬戶（比如lp, sync, shutdown, halt, news, uucp, operator, games, gopher等）。

刪除用戶： [root@kapil /]# userdel LP 刪除組： [root@kapil /]# groupdel LP

在選擇正確密碼之前還應(yīng)作以下修改：
修改密碼長(zhǎng)度：在你安裝linux時(shí)默認(rèn)的密碼長(zhǎng)度是5個(gè)字節(jié)。但這并不夠，要把它設(shè)為8。修改最短密碼長(zhǎng)度需要編輯login.defs文件

（vi /etc/login.defs），把下面這行 PASS_MIN_LEN 5 改為 PASS_MIN_LEN 8

login.defs文件是login程序的配置文件。
打開密碼的shadow支持功能
你應(yīng)該打開密碼的shadow功能，來(lái)對(duì)password加密。使用
“/usr/sbin/authconfig”工具打開shadow功能。如果你想把已有的密碼和組轉(zhuǎn)
變?yōu)閟hadow格式，可以分別使用“pwcov,grpconv”命令。
root賬戶
在unix系統(tǒng)中root賬戶是具有最高特權(quán)的。如果系統(tǒng)管理員在離開系統(tǒng)之前忘記
注銷root賬戶，系統(tǒng)會(huì)自動(dòng)注銷。通過(guò)修改賬戶中“TMOUT”參數(shù)，可以實(shí)現(xiàn)此
功能。TMOUT按秒計(jì)算。編輯你的profile文件（vi /etc/profile）,
在"HISTFILESIZE="后面加入下面這行：

TMOUT=3600

3600，表示60*60=3600秒，也就是1小時(shí)。這樣，如果系統(tǒng)中登陸的用戶在一個(gè)
小時(shí)內(nèi)都沒(méi)有動(dòng)作，那么系統(tǒng)會(huì)自動(dòng)注銷這個(gè)賬戶。你可以在個(gè)別用戶的
“.bashrc”文件中添加該值，以便系統(tǒng)對(duì)該用戶實(shí)行特殊的自動(dòng)注銷時(shí)間。
改變這項(xiàng)設(shè)置后，必須先注銷用戶，再用該用戶登陸才能激活這個(gè)功能。
取消普通用戶的控制臺(tái)訪問(wèn)權(quán)限
你應(yīng)該取消普通用戶的控制臺(tái)訪問(wèn)權(quán)限，比如shutdown、reboot、halt等命令。

[root@kapil /]# rm -f /etc/security/console.apps/

是你要注銷的程序名。
取消并反安裝所有不用的服務(wù)
取消并反安裝所有不用的服務(wù)，這樣你的擔(dān)心就會(huì)少很多。察看
“/etc/inetd.conf”文件，通過(guò)注釋取消所有你不需要的服務(wù)（在該服務(wù)項(xiàng)目
之前加一個(gè)“#”）。然后用“sighup”命令升級(jí)“inetd.conf”文件。

第一步： 更改“/etc/inetd.conf”權(quán)限為600，只允許root來(lái)讀寫該文件。 [Root@kapil /]# chmod 600 /etc/inetd.conf 第二步： 確定“/etc/inetd.conf”文件所有者為root。 第三步： 編輯 /etc/inetd.conf文件（vi /etc/inetd.conf），取消下列服務(wù)（你不需要 的）：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop- 3, finger, auth等等。把不需要的服務(wù)關(guān)閉可以使系統(tǒng)的危險(xiǎn)性降低很多。 第四步： 給inetd進(jìn)程發(fā)送一個(gè)HUP信號(hào)： [root@kapil /]# killall -HUP inetd 第五步： 用chattr命令把/ec/inetd.conf文件設(shè)為不可修改，這樣就沒(méi)人可以修改它： [root@kapil /]# chattr +i /etc/inetd.conf

這樣可以防止對(duì)inetd.conf的任何修改（以外或其他原因）。唯一可以取消這個(gè)
屬性的人只有root。如果要修改inetd.conf文件，首先要是取消不可修改性質(zhì)：

[root@kapil /]# chattr -i /etc/inetd.conf

別忘了該后再把它的性質(zhì)改為不可修改的。

共2頁(yè): 1 [2] 下一頁(yè)