當(dāng)前位置 : 首頁>軟件學(xué)院>操作系統(tǒng)>linux系統(tǒng)>正文

Linux系統(tǒng)網(wǎng)絡(luò)安全配置基礎(chǔ)詳解

http://www.yibo1263.com　2008-8-13 9:04:39 　來源:ccident 　編輯:葉子

　　Linux安全配置步驟簡述

　　一、磁盤分區(qū)

　　◆1、如果是新安裝系統(tǒng)，對磁盤分區(qū)應(yīng)考慮安全性：

　�。�1）根目錄（/）、用戶目錄（/home）、臨時目錄（/tmp）和/var目錄應(yīng)分開到不同的磁盤分區(qū)；

　�。�2）以上各目錄所在分區(qū)的磁盤空間大小應(yīng)充分考慮，避免因某些原因造成分區(qū)空間用完而導(dǎo)致系統(tǒng)崩潰；

　　◆2、對于/tmp和/var目錄所在分區(qū)，大多數(shù)情況下不需要有suid屬性的程序，所以應(yīng)為這些分區(qū)添加nosuid屬性；

　　方法一：修改/etc/fstab文件，添加nosuid屬性字。例如：

　　/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0

　　方法二：如果對/etc/fstab文件操作不熟，建議通過linuxconf程序來修改。

　�。∵\(yùn)行l(wèi)inuxconf程序；

　�。∵x擇"File systems"下的"Access local drive"；

　�。∵x擇需要修改屬性的磁盤分區(qū)；

　　＊　選擇"No setuid programs allowed"選項；

　　＊　根據(jù)需要選擇其它可選項；

　　＊　正常退出。（一般會提示重新mount該分區(qū)）

　　二、安裝

　　1、對于非測試主機(jī)，不應(yīng)安裝過多的軟件包。這樣可以降低因軟件包而導(dǎo)致出現(xiàn)安全漏洞的可能性。

　　2、對于非測試主機(jī)，在選擇主機(jī)啟動服務(wù)時不選擇非必需的服務(wù)。例如routed、ypbind等。

　　三、安全配置與增強(qiáng)

　　內(nèi)核升級。起碼要升級至2.2.16以上版本。

　　GNU libc共享庫升級。（警告：如果沒有經(jīng)驗，不可輕易嘗試�？蓵壕彙＃�

　　關(guān)閉危險的網(wǎng)絡(luò)服務(wù)。echo、chargen、shell、login、finger、NFS、RPC等

　　關(guān)閉非必需的網(wǎng)絡(luò)服務(wù)。talk、ntalk、pop-2等

　　常見網(wǎng)絡(luò)服務(wù)安全配置與升級

　　確保網(wǎng)絡(luò)服務(wù)所使用版本為當(dāng)前最新和最安全的版本。

　　取消匿名FTP訪問

　　去除非必需的suid程序

　　使用tcpwrapper

　　使用ipchains防火墻

　　日志系統(tǒng)syslogd

　　一些細(xì)節(jié)：

　　◆1、操作系統(tǒng)內(nèi)部的log file是檢測是否有網(wǎng)絡(luò)入侵的重要線索，當(dāng)然這個假定你的logfile不被侵入者所破壞，如果你有臺服務(wù)器用專線直接連到Internet上，這意味著你的IP地址是永久固定的地址，你會發(fā)現(xiàn)有很多人對你的系統(tǒng)做telnet/ftp登錄嘗試，試著運(yùn)行如下語句去檢查。

　　#more /var/log/secure 　 grep refused

　　◆2、限制具有SUID權(quán)限標(biāo)志的程序數(shù)量，具有該權(quán)限標(biāo)志的程序以root身份運(yùn)行，是一個潛在的安全漏洞，當(dāng)然，有些程序是必須要具有該標(biāo)志的，象passwd程序。

　　◆3、BIOS安全。設(shè)置BIOS密碼且修改引導(dǎo)次序禁止從軟盤啟動系統(tǒng)。

　　◆4、用戶口令。用戶口令是Linux安全的一個最基本的起點，很多人使用的用戶口令就是簡單的password，這等于給侵入者敞開了大門，雖然從理論上說沒有不能確解的用戶口令，只要有足夠的時間和資源可以利用。比較好的用戶口令是那些只有他自己能夠容易記得并理解的一串字符，并且絕對不要在任何地方寫出來。

　　◆5、/etc/exports 文件。如果你使用NFS網(wǎng)絡(luò)文件系統(tǒng)服務(wù)，那么確保你的/etc/exports具有最嚴(yán)格的存取權(quán)限設(shè)置，不意味著不要使用任何通配符，不允許root寫權(quán)限，mount成只讀文件系統(tǒng)。編輯文件/etc/exports并且加入例如：

　　/dir/to/export host1.mydomain.com(ro,root_squash)

　　/dir/to/export host2.mydomain.com(ro,root_squash)

　　其中/dir/to/export 是你想輸出的目錄，host.mydomain.com是登錄這個目錄的機(jī)器名，

　　ro意味著mount成只讀系統(tǒng)，root_squash禁止root寫入該目錄。

　　為了讓上面的改變生效，運(yùn)行

　　/usr/sbin/exportfs –a

　　◆6、確信/etc/inetd.conf的所有者是root，且文件權(quán)限設(shè)置為600 。

　　[root@deep]# chmod 600 /etc/inetd.conf

　　ENSURE that the owner is root.

　　[root@deep]# stat /etc/inetd.conf

　　File: "/etc/inetd.conf"

　　Size: 2869 Filetype: Regular File

本新聞共7頁,當(dāng)前在第1頁 1 2 3 4 5 6 7

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·Linux防火墻偽裝機(jī)制抵抗黑客攻擊

·簡單介紹Linux內(nèi)核安全入侵偵察系統(tǒng)

·使用國外Linux主機(jī)做網(wǎng)站要注意2點

·大企業(yè)后端使用Linux十大常見方式

·化解四種入侵Linux服務(wù)器方法

·蓋茨新個人網(wǎng)站使用Linux服務(wù)器

·Linux系統(tǒng)安全知識防范黑客攻擊

·Linux服務(wù)器維護(hù)的四大法寶

·在關(guān)閉的Linux機(jī)器實現(xiàn)防火墻功能

·Linux系統(tǒng)清除Grub的幾種方法

·Linux改善FTP服務(wù)器的安全性

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费