启动和登录安全性
1.BIOS安全
设置BIOS密码且修改引导次序禁止从软盘启动系统。
2.用户口令
用户口令是linux安全的一个基本起点,很多人使用的用户口令过于简单,这等于给侵入者敞开了大门,虽然从理论上说,只要有足够的时间和资源可以利用,就没有不能破解的用户口令,但选取得当的口令是难于破解的。较好的用户口令是那些只有他自己容易记得并理解的一串字符,并且绝对不要在任何地方写出来。
3.默认账号
应该禁止所有默认的被操作系统本身启动的并且不必要的账号,当您第一次安装系统时就应该这么做,Linux提供了很多默认账号,而账号越多,系统就越容易受到攻击。
1、删除多余的用户和用户组
| 代码如下 | 复制代码 |
|
//删除多余用户 # vi /etc/passwd |
|
2.删减登录信息
默认情况下,登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。
| 代码如下 | 复制代码 |
|
#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou #wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot#echo"">/etc/issue #echo"$R"》/etc/issue #echo"Kernel$(uname-r)on$a$(uname-m)"》/etc/issue #cp-f/etc/issue/etc/issue.net #echo》/etc/issue |
|
然后,进行如下操作:
#rm-f/etc/issue #rm-f/etc/issue.net #touch/etc/issue #touch/etc/issue.net
3、修改口令文件属性
| 代码如下 | 复制代码 |
| //添加属性,禁止修改 chattr +i /etc/passwd chattr +i /etc/shadow chattr +i /etc/group chattr +i /etc/gshadow //去除属性 # chattr -i /etc/passwd # chattr -i /etc/shadow # chattr -i /etc/group # chattr -i /etc/gshadow |
|
3、禁止[Ctrl+Alt+Delete]重启命令
| 代码如下 | 复制代码 |
| vi /etc/inittab //注释掉下面这行 #ca::ctrlaltdel:/sbin/shutdown -t3 -r now //设置 /etc/rc.d/init.d/ 目录下文件的权限 chmod -R 700 /etc/rc.d/init.d/* |
|
4、防止别人ping的方法
| 代码如下 | 复制代码 |
| echo 1 > /proc/sys/net/ipv4/icmp_ignore_all //用防火墙禁止(或丢弃) icmp 包 iptables -A INPUT -p icmp -j DROP |
|
1、修改SSH 端口
| 代码如下 | 复制代码 |
| vi /etc/ssh/sshd_config Port 22 修改 PermitEmptyPasswords no 把#注销掉-禁止空密码帐户登入服务器! MaxAuthTries 2 两次不行就切断重新SSH启动登入 |
|
2、远程5分钟无操作自动注销:
| 代码如下 | 复制代码 |
| vim /etc/profile export TMOUT=300 —5分钟自动注销下来 找到 HISTSIZE=1000 修改为: HISTSIZE=100 –减少日记字节为100KB,太大内容过多容易漏重要信息. |
|
3、修改文件属性
| 代码如下 | 复制代码 |
| chmod 700 /bin/rpm ‘只有root权限用户才可以使用rpm命定,安装软件包 chmod 664 /etc/hosts chmod 644 /etc/passwd chmod 644 /etc/exports chmod 644 /etc/issue chmod 664 /var/log/wtmp chmod 664 /var/log/btmp chmod 644 /etc/services chmod 600 /etc/shadow chmod 600 /etc/login.defs chmod 600 /etc/hosts.allow chmod 600 /etc/hosts.deny chmod 600 /etc/securetty chmod 600 /etc/security chmod 600 /etc/ssh/ssh_host_key chmod 600 /etc/ssh/sshd_config chmod 600 /var/log/lastlog chmod 600 /var/log/messages |
|
4、禁止ping 用户使用ping不做任何反映
| 代码如下 | 复制代码 |
| echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all — 禁止ping echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all — 解除禁止ping操作 |
|
5、禁止IP伪装
| 代码如下 | 复制代码 |
| vi /etc/host.conf 在里面加上: nospoof on |
|
6、防止DOS攻击:
| 代码如下 | 复制代码 |
| vi /etc/security/limits.conf 加入以下配置: * hard core 0 * hard rss 10000 * hard nproc 20 |
|
以上根据需求而论!
7、修改root帐户密码越复杂越好:
7.1、含有大小写字母;
7.2、含有数字;
7.3、含有字符;
7.4、不用自己生日等常关联的字母数字及字符。
9、垃圾IP封杀
| 代码如下 | 复制代码 |
| more /var/log/secure | |
首先通过以上命定观察多次扫描欲远程登入服务器的垃圾IP;
然后在
vi /etc/hosts.deny
增加:
sshd:61.131.47.157 —这以61.131.47.157这个垃圾IP为例!
保存即可!
防止攻击
1.阻止ping 如果没人能ping通您的系统,安全性自然增加了。为此,可以在/etc/rc.d/rc.local文件中增加如下一行:
| 代码如下 | 复制代码 |
|
#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all |
|
2.防止IP欺骗
编辑host.conf文件并增加如下几行来防止IP欺骗攻击。
| 代码如下 | 复制代码 |
| order bind,hosts multi off nospoof on |
|
3.防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例如,可以在/etc/security/limits.conf中添加如下几行:
| 代码如下 | 复制代码 |
|
* hard core 0 * hard rss 5000 #( 本行或许没用,man limits.conf 显示 maximum resident set size (KB) (Ignored in Linux 2.4.30 and higher) * hard nproc 50 |
|
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
| 代码如下 | 复制代码 |
|
session required /lib/security/pam_limits.so |
|
上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。
经过以上的设置,您的Linux服务器已经可以对绝大多数已知的安全问题和网络攻击具有免疫能力,但一名优秀的系统管理员仍然要时刻注意网络安全动态,随时对已经暴露出的和潜在安全漏洞进行修补