Linux系統憑借其穩定且源代碼公開的特性,在Internet上被用來做Web服務器與數據庫服務器已經越來越多了,隨之,Linux系統的安全性也被愈發重視,加固Linux系統對于很多人來說,也是迫在眉睫的事情了。那么,要較好的加固Linux系統,足以應付各種突發事件與黑客的攻擊,我們需要從哪些方面入手呢?
1.安裝和升級
盡量選用最新的Linux發行版本,安裝前拔掉網線,斷開物理連接,安裝時建議用custom自定義方式安裝軟件包,數量以少為好。一般來說服務器沒有必要安裝X-windows,在lilo/grub引導器中加人口令限制,防止能夠物理接觸的惡意用戶。
因為Linux安裝光盤的rescue模式可以跳過這個限制,所以還要給BIOS加上密碼或服務器機箱上鎖。/var、/home、/usr和/root等目錄使用獨立的物理分區,防止垃圾數據和日志填滿硬盤而導致D.o.S攻擊。對root賬號要給予強壯的口令。
安裝完畢立即用up2date或apt升級系統軟件,有時升級內核也是必要的,因為內核出現問題同樣會給攻擊者提供機會。apt是Debian GNU Linux下的一個強大的包管理工具,也可用于其他版本的Linux.
2.賬號
如果系統中的用戶比較多,可以編輯/etc/login.defs,更改密碼策略,刪除系統中不必要的賬戶和組,如果不開匿名ftp,可以把ftp賬號也刪了。刪除賬號的命令如下:
[root@ayazero/]#userdel-r username |
編輯/etc/securetty,注釋掉所有允許root遠程登錄的控制臺,然后禁止使用所有的控制臺程序,其命令如下:
登錄采用加密的ssn,如果管理員只從固定的終端登陸,還應限制合法ssn客戶端的范圍,
防止嗅探及中間人攻擊。同時,將命令歷史紀錄歸為零,盡可能的隱藏你做過的事情,其命令為:
3.服務
采用最少服務原則,凡是不需要的服務一律注釋掉。在/etc/inetd.conf中不需要的服務前加"#",較高版本中已經沒有inetd,而換成了Xinetd;取消開機自動運行服務,把/etc/rc.d/rc3.d下不需要運行的肥務的第一個字母"S"改成"K",其他不變.
如果你希望簡單一點,可以使用/etc/host.allow和/etc/host.deny這兩個文件,但是推薦使用iptables防火墻,所以不在此詳述.
| 共2頁: 1 [2] 下一頁 | ||
|
