系统安全:Linux服务器安全隐患以及防范对策_unix linux

如果你的Linux服务器被非受权用户接触到(如服务器放在公用机房内、公用办公室内),那么它的安全就会存在严重的隐患。

使用单用户模式进入系统

Linux启动后出现boot:提示时,使用一个特殊的命令,如linuxsingle或linux 1,就能进入单用户模式(Single-User mode)。这个命令非常有用,比如忘记超级用户(root)密码。重启系统,在boot:提示下输入linux single(或linux 1),以超级用户进入系统后,编辑Passwd文件,去掉root一行中的x即可。

防范对策:

以超级用户(root)进入系统,编辑/etc/inittab文件,改变id:3:initdefault的设置,在其中额外加入一行(如下),让系统重新启动进入单用户模式的时候,提示输入超级用户密码:

~~:S:walt:/sbin/sulogin

然后执行命令:/sbin/init q,使这一设置起效。

在系统启动时向核心传递危险参数

在Linux下最常用的引导装载(boot loader)工具是LILO,它负责管理启动系统(可以加入别的分区及操作系统)。但是一些非法用户可能随便启动Linux或者在系统启动时向核心传递危险参数,这也是相当危险的。

防范对策:

编辑文件/etc/lilo.conf,在其中加入restricted参数,这一参数必须同下面一个要讲的password参数一起使用,表明在boot:提示下,传递给Linux内核一些参数时,需要你输入密码。

password参数可以同restricted一起使用,也可以单独使用,下面将分别说明。

同restricted一起使用:只有在启动时需要传递给内核参数时,才会要求输入密码,而在正常(缺省)模式下,是不需要密码的,这一点一定要注意。

单独使用(没有同restricted一起使用):表示不管用什么启动模式,Linux总会要求输入密码;如果没有密码,就没有办法启动Linux,在这种情况下的安全程度更高,相当于外围又加入一层防御措施。当然也有坏处——你不能远程重启系统,除非你加上restricted参数。

由于密码是明文没有加密,所以/etc/lilo.conf文件一定要设置成只有超级用户可读,可使用下面的命令进行设置:

chmod 600 /ietc/lilo.conf

然后执行命令:/sbin/lilo -V,将其写入boot sector,并使这一改动生效。

为了加强/etc/liIo.conf文件的安全,你还可以设置这个文件为不可改变的属性,可使用命令:

chattr 十i/etc/lilo.conf

如果日后你要修改/etc/liIo.conf文件,用chattr -i/etc/lilo.conf命令去掉这个属性即可。

使用“Ctrl+Alt+Del”组合键重新启动

对于这一点,非常重要,也非常容易忽略,如果非法用户能接触到服务器的键盘,他就可以用组合键“Ctrl+AIt+Del”使你的服务器重启。

防范对策:

编辑/etc/inittab文件,给ca::ctrlaltdel:/sbin/shutdown-t3 -r now加上注释###ca::ctrlaltdeI:/sbin/shutdown-t3 -r now。

然后执行命令:/sbin/init q,使这一改动生效。

时间: 2024-10-05 02:11:48

系统安全:Linux服务器安全隐患以及防范对策_unix linux的相关文章

linux入门教程 第2章 安装指南_unix linux

第2章:安装指南 2.1 安装前的准备 1.收集系统资料:为了能够顺利安装和设置Linux系统,你必须将以下资料记录在案,以备系统安装时使用: 硬盘:数量, 容量和类型: 内存:您的计算机所装内存的数量: CD-ROM:接口类型(IDE, SCSI): SCSI卡:卡的型号: 网卡:网卡的型号: 鼠标:鼠标的类型(串口.PS/2.总线型),协议(Microsoft,Logitech, MouseMan, 等等),按键的数量,对串口鼠标还要知道它接在哪个串口: 显示卡:显示卡的型号(或者它用的芯片

linux mount命令的用法详细解析_unix linux

挂接命令(mount)首先,介绍一下挂接(mount)命令的使用方法,mount命令参数非常多,这里主要讲一下今天我们要用到的.命令格式:mount [-t vfstype] [-o options] device dir其中: 1.-t vfstype 指定文件系统的类型,通常不必指定.mount 会自动选择正确的类型.常用类型有:光盘或光盘镜像:iso9660DOS fat16文件系统:msdosWindows 9x fat32文件系统:vfatWindows NT ntfs文件系统:ntf

Linux操作系统口令文件安全问题详细解析_unix linux

几乎所有的类Unix操作系统的口令文件的格式都雷同,Linux亦不例外.口令安全是Linux操作系统的传统安全问题之一. 传统口令与影子口令 /etc/passwd是存放用户的基本信息的口令文件.该口令文件的每一行都包含由6个冒号分隔的7个域: username: passwd: uid: gid: comments: directory: shell 以上从左到右7个域分别叙述如下: username:是用户登陆使用的名字. passwd:是口令密文域.密文是加密过的口令.如果口令经过shad

Linux的认识存在的一些误区_unix linux

    1.Linux运行很慢 一些DOS程序看起来在运行速度上比Linux程序要快,这主要是因为DOS不是多任务操作系统.事实上NT在运行一些程序时,速度也比DOS慢,原因是相同的.但是两个多任务操作系统相比,NT远没有Linux运行得快. 2.Linux会频繁崩溃 有这种想法的用户,一定对Linux不是很了解.目前网络操作系统中Linux和UNIX占据60%的市场空间.由于Linux可以自己编译内核,可以针对不同电脑硬件安装最适应的驱动程序,其稳定性和速度是Windows无法比拟的.一般情况

Linux环境下的高级隐藏技术_unix linux

    摘要:本文深入分析了Linux环境下文件.进程及模块的高级隐藏技术,其中包括:Linux可卸载模块编程技术.修改内存映象直接对系统调用进行修改技术,通过虚拟文件系统proc隐藏特定进程的技术. 隐藏技术在计算机系统安全中应用十分广泛,尤其是在网络攻击中,当攻击者成功侵入一个系统后,有效隐藏攻击者的文件.进程及其加载的模块变得尤为重要.本文将讨论Linux系统中文件.进程及模块的高级隐藏技术,这些技术有的已经被广泛应用到各种后门或安全检测程序之中,而有一些则刚刚起步,仍然处在讨论阶段,应用

Linux操作系统12则经典应用技巧_unix linux

本文介绍了Linux操作系统应用过程中12则经典技巧,合理应用这些技巧可以更好的使用Linux系统. 1.处理特殊的文件名 假设Linux系统中有一个文件名叫"-ee",如果我们想对它进行操作,例如要删除它,按照一般的删除方法在命令行中输入rm -ee命令,界面会提示我们是"无效选项"(invalid option),原来由于文件名的第一个字符为"-",Linux把文件名当作选项了,我们可以使用"--"符号来解决这个问题,输入

关于Linux常见紧急情况的处理方法_unix linux

1.使用急救盘组进行维护 急救盘组(也称为boot/root盘组),是系统管理员必不可少的工具.用它可以独立地启动和运行一 个完整的Linux系统.实际上,急救盘组中的第2张盘上就有一个完整的Linux系统,包括root文件系 统:而第1张盘则存放了可启动的内核.使用急救盘组维护系统很简单.只需用这两张盘启动系统后,进入急救模式,这时使用的是root账户.为了能访问硬盘上的文件,需要手工安装硬盘文件系统.例如,用下面的命令可在/mnt目录中安装 /dev/hda2盘上的ext2fs类型的Linu

Linux中防御垃圾邮件的方法_unix linux

一.环境说明 单位的服务器使用RedHat Linux 9.0,邮件服务器使用Sendmail 8.12.8;这台服务器放在内网,通过一台Win2000的服务器作网关,连到Internet;网关软件使用的是WinRoute Pro 4.2.5. 二.主要修改措施 1.关闭Sendmail的Relay功能 所谓Relay就是指别人能用这台SMTP邮件服务器,给任何人发信,这样别有用心的垃圾发送者可以使用笔者单位的这台邮件服务器大量发送垃圾邮件,而最后别人投诉的不是垃圾发送者,而是单位的服务器.所以

在Linux操作系统上运行Windows应用程序_unix linux

大多使用Linux的人都对WINE程序比较熟悉,WINE程序是可以在不需要Windows的情况下使用Windows的软件.WINE还是算比较成熟的,但是WINE只能运行部分程序,还有一些程序在运行的时候会出现一些问题.  除了WINE,还有一些其它的软件可以帮助你运行一些特殊的程序.例如,CodeWeaver 公司的CrossOver办公软件,它可以让你在Linux下运行Windows下的一些商业软件(如微软的OFFICE,Quicken等等).TransGaming 公司的WineX可以让你在