我要投稿
点此在线咨询
扫一扫
关注微信公众号

Linux网络安全技巧(1)
2007-05-29   

网络安全是一个非常重要的课题,基本上你运行的服务后台越多,你就可能打开更多的安全漏洞.如果配置的恰当的话,Linux本身是非常安全可靠的,假使在Linux系统中有某个安全缺陷,由于Linux的源码是开放的,有成千上万的志愿者会立刻发现并修补它。本文旨在介绍用来增强你的网络安全性的常用技巧,以Redhat Linux作为操作环境。
1.操作系统内部的log file是检测是否有网络入侵的重要线索,当然这个假定你的logfile不被侵入者所破坏,如果你有台服务器用专线直接连到Internet上,这意味着你的IP地址是永久固定的地址,你会发现有很多人对你的系统做telnet/ftp登录尝试,试着运行#more /var/log/secure | grep refused 去检查。
2. 限制具有SUID权限标志的程序数量,具有该权限标志的程序以root身份运行,是一个潜在的安全漏洞,当然,有些程序是必须要具有该标志的,象passwd程序。
3.BIOS安全。设置BIOS密码且修改引导次序禁止从软盘启动系统。
4. 用户口令。用户口令是Linux安全的一个最基本的起点,很多人使用的用户口令就是简单的‘password,这等于给侵入者敞开了大门,虽然从理论上说没有不能确解的用户口令,只要有足够的时间和资源可以利用。比较好的用户口令是那些只有他自己能够容易记得并理解的一串字符,并且绝对不要在任何地方写出来。
5./etc/exports 文件。如果你使用NFS网络文件系统服务,那么确保你的/etc/exports具有最严格的存取权限设置,这意味着不要使用任何通配符,不允许root写权限,mount成只读文件系统。编辑文件/etc/exports并且加:例如: 

/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)

/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。
为了让上面的改变生效,运行/usr/sbin/exportfs -a
6.确信/etc/inetd.conf的所有者是root,且文件权限设置为600 。 
[root@deep]# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
[root@deep]# stat /etc/inetd.conf
File: "/etc/inetd.conf"
Size: 2869 Filetype: Regular File
Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Device: 8,6 Inode: 18219 Links: 1
Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)
Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)

编辑/etc/inetd.conf禁止以下服务:
ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth, etc. 除非你真的想用它。特别是禁止那些r命令.如果你用ssh/scp,那么你也可以禁止掉telnet/ftp。
为了使改变生效,运行#killall -HUP inetd 你也可以运行#chattr +i /etc/inetd.conf使该文件具有不可更改属性。只有root 才能解开,用命令 #chattr -i /etc/inetd.conf
7. TCP_WRAPPERS
默认地,Redhat Linux允许所有的请求,用TCP_WRAPPERS增强你的站点的安全性是举手之劳,你可以放入
“ALL: ALL”到/etc/hosts.deny中禁止所有的请求,然后放那些明确允许的请求到/etc/hosts.allow中,如: 
sshd: 192.168.1.10/255.255.255.0 gate.openarch.com

对IP地址192.168.1.10和主机名gate.openarch.com,允许通过ssh连接。配置完了之后,用tcpdchk检查 
[root@deep]# tcpdchk
tcpchk是TCP_Wrapper配置检查工具,它检查你的tcp wrapper配置并报告所有发现的潜在/存在的问题。
8. 别名文件aliases
编辑别名文件/etc/aliases(也可能是/etc/mail/aliases),移走/注释掉下面的行。 
# Basic system aliases -- these MUST be present. 
MAILER-DAEMON: postmaster 
postmaster: root 
# General redirections for pseudo accounts. 
bin: root 
daemon: root 
#games: root ?remove or comment out. 
#ingres: root ?remove or comment out. 
nobody: root 
#system: root ?remove or comment out. 
#toor: root ?remove or comment out. 
#uucp: root ?remove or comment out. 
# Well-known aliases. 
#manager: root ?remove or comment out. 
#dumper: root ?remove or comment out. 
#operator: root ?remove or comment out. 
# trap decode to catch security attacks 
#decode: root 
# Person who should get roots mail 
#root: marc
最后更新后不要忘记运行/usr/bin/newaliases,使改变生效。

共3页: 1 [2] [3] 下一页

热词搜索:

上一篇:红旗RS-Linux安全系统简介
下一篇:Linux安全守则

分享到: 收藏

延伸阅读

热文

Copyright © 2009-2022 网络安全和运维网 All rights reserved. 京ICP备10047140号 京公安网备11010802014307

扫码关注微信

扫码关注微信