http://fanqiang.chinaunix.net/a5/b1/200 ... 204_b.html
[ 永遠的UNIX::UNIX技術資料的寶庫 ] GB | BIG5
首頁 > 安全技術 > 系統 > 正文
Linux安全防護十招
本文出自:http://www.pcworld.com.cn 作者: 丁望 (2001-08-29 15:00:00)
系統安全性對用戶來說至關重要,Linux用戶也不例外。筆者就自己使用Linux的經歷,總結了一些增強Linux安全
防護的小竅門,在此介紹給大家。
1.為LILO增加開機口令
----在/etc/lilo.conf文件中增加選項,從而使LILO啟動時要求輸入口令,以加強系統的安全性。具體設置如下:
----boot=/dev/hda
----map=/boot/map
----install=/boot/boot.b
----time-out=60 #等待1分鐘
----prompt
----default=linux
----password=
---- #口令設置
----image=/boot/vmlinuz-2.2.14-12
----label=linux
----initrd=/boot/initrd-2.2.14-12.img
----root=/dev/hda6
----read-only
----此時需注意,由在LILO中口令是以明碼方式存放的,所以還需要將
----lilo.conf的文件屬性設置為只有root可以讀寫。
----# chmod 600 /etc/lilo.conf
----當然,還需要進行如下設置,使
----lilo.conf的修改生效。
----# /sbin/lilo -v
2.設置口令最小長度和
----最短使用時間
----口令是系統中認証用戶的主要手段,系統安裝時默認的口令最小長度通常為5,但為保証口令不易被猜測攻擊,
可增加口令的最小長度,至少等8。為此,需修改文件/etc/login.defs中參數PASS_MIN_LEN。同時應限制口令使
用時間,保証定期更換口令,建議修改參數PASS_MIN_DAYS。
3.用戶超時注銷
----如果用戶離開時忘記注銷賬戶,則可能給系統安全帶來隱患。可修改/etc/profile文件,保証賬戶在一段時間
沒有操作,自動從系統注銷。
----編輯文件/etc/profile,在“HISTFILESIZE=”行的下一行增加如下一行:
----TMOUT=600
----則所有用戶將在10分鐘無操作自動注銷。
4.禁止訪問重要文件
----對系統中的某些關鍵性文件如inetd.conf、services和lilo.conf等可修改其屬性,防止意外修改和被普通
用戶查看。
----首先改變文件屬性為600:
----# chmod 600 /etc/inetd.conf
----保証文件的屬主為root,然還可以將其設置為不能改變:
----# chattr +i /etc/inetd.conf
----這樣,對該文件的任何改變都將被禁止。
----只有root重新設置復位標志才能進行修改:
----# chattr -i /etc/inetd.conf
5.允許和禁止遠程訪問
----在Linux中可通過/etc/hosts.allow 和/etc/hosts.deny 這2個文件允許和禁止遠程主機對本地服務的訪問。
通常的做法是:
----(1)編輯hosts.deny文件,加入下列行:
----# Deny access to everyone.
----ALL: ALL@ALL
----則所有服務對所有外部主機禁止,除非由hosts.allow文件指明允許。
----(2)編輯hosts.allow 文件,可加入下列行:
----#Just an example:
----ftp: 202.84.17.11 xinhuanet.com
----則將允許IP地址為202.84.17.11和主機名為xinhuanet.com的機器作為Client訪問FTP服務。
----(3)設置完成,可用tcpdchk檢查設置是否正確。
6.限制Shell命令記錄大小
----默認情況下,bash shell會在文件$HOME/.bash_history中存放多達500條命令記錄(根據具體的系統不同,默
認記錄條數不同)。系統中每個用戶的主目錄下都有一個這樣的文件。在此筆者強烈建議限制該文件的大小。
----您可以編輯/etc/profile文件,修改其中的選項如下: HISTFILESIZE=30或HISTSIZE=30
7.注銷時刪除命令記錄
----編輯/etc/skel/.bash_logout文件,增加如下行:
----rm -f $HOME/.bash_history
----這樣,系統中的所有用戶在注銷時都會刪除其命令記錄。
----如果只需要針對某個特定用戶,如root用戶進行設置,則可只在該用戶的主目錄下修改/$HOME/.bash_history
文件,增加相同的一行即可。
8.禁止不必要的SUID程序
----SUID可以使普通用戶以root權限執行某個程序,因此應嚴格控制系統中的此類程序。
----找出root所屬的帶s位的程序:
----# find / -type f \( -perm -04000 -o -perm -02000 \) -print |less
----禁止其中不必要的程序:
----# chmod a-s program_name
9.檢查開機時顯示的信息
----Linux系統啟動時,屏幕上會滾過一大串開機信息。如果開機時發現有問題,需要在系統啟動進行檢查,可輸
入下列命令:
----#dmesg >bootmessage
----該命令將把開機時顯示的信息重定向輸出到一個文件bootmessage中。
10.磁盤空間的維護
----經常檢查磁盤空間對維護Linux的文件系統非常必要。而Linux中對磁盤空間維護使用最多的命令就是df和du了。
----df命令主要檢查文件系統的使用情況,通常的用法是:
----#df -k
----Filesystem 1k-blocks Used Available Use% Mounted on
----/dev/hda3 1967156 1797786 67688 96% /
----du命令檢查文件、目錄和子目錄佔用磁盤空間的情況,通常帶-s選項使用,只顯示需檢查目錄佔用磁盤空間的總計,
而不會顯示下面的子目錄佔用磁盤的情況。
----% du -s /usr/X11R6/*
----34490 /usr/X11R6/bin
----1 /usr/X11R6/doc
----3354 /usr/X11R6/include
(作者地址: 北京市宣西大街57號新華社技術局,100803; E-mail:xnadin@sina.com) (http://www.fanqiang.com) 進入【UNIX論壇】
相關文章
Linux安全防護十招 (2001-08-29 15:00:00)
linux安全攻略 (2001-05-10 20:52:11)
Linux安全設置手冊 (2001-04-19 16:30:51)
★ 樊強制作 歡迎分享 ★
Linux 主機安全
linux 觀念篇 : LINUX安全管理的基本技巧 --
http://www.pcrunning.idv.tw/modules/new ... toryid=124
點選 新聞分類
作品 誠心推薦
linux 觀念篇 : LINUX安全管理的基本技巧 --
Linux作為是一個開放源代碼的免費操作系統,
以其高效隱定的優秀品質,越來越受到用戶們的歡迎,並在全世界不斷普及開來。
相信在不久的將來Linux還會得到更大更快的發展。
雖然,Linux和Unix很相似,但是它們之間還是有不少重要的差別。
對於很多習慣了UNIX和Windows的系統管理員來講
如何保證Linux操作系統的安全可靠將面臨許多新的挑戰。
本文在此將給大家介紹一些Linux管理安全的基本技巧,希望能對大家有所幫助。
首先我想從系統的安全配置,開始我們的話題。
因為我個人認為一位管理員要能充分利用系統提供的安全機制、
挖掘系統自身的潛力來對服務器進行高效安全的維護,才能稱得上優秀。
我並不是完全反對使用防火牆等工具,但是正如人一樣,
我們可以消毒、可以帶口罩,卻沒有我們自身體魄強健、有抗體來得好。
Linux是完全開放源代碼的免費操作系統,其可開發的潛力極大,
有能力的管理員甚至可以通過自行改編內核來滿足自己服務器優良工作的需要。
當然,在此我們只講一些基本,但實用的配置技巧。
一、 ILO的安全設置
LILO是Linux
Loader的縮寫,它是LINUX的啟動模塊。
我們可通過修改「/etc/lilo.conf」文件中的內容來對它進行配置。
在文件中加上,如下兩個參
數:restricted,password
。這兩個參數可以使你的系統在啟動lilo時就要求密碼驗證。
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=00 #把這行該為00,這樣系統啟動時將不在等待,而直接啟動LINUX
message=/boot/message
linear
default=linux
restricted #加入這行
password= #加入這行並設置自己的密碼
image=/boot/vmlinuz-2.4.2-2
label=linux
root=/dev/hda6
read-only
因為"/etc/lilo.conf"文件中包含明文密碼,所以要把它設置為root權限讀取。
# chmod 0600 /etc/lilo.conf
還要使用「chattr」命令使"/etc/lilo.conf"文件變為不可改變。
# chattr +i /etc/lilo.conf
這樣可以對「/etc/lilo.conf」文件起到很好的保護作用。(對其它文件的保護也可以採用此方法)
最後要使lilo.conf文件生效要用
# /sbin/lilo -v
更新一下系統。
二、 口令安全
口令可以說是系統的第一道防線,
目前網絡上大部分的系統入侵都是從猜測口令或者截獲口令開始的,所以口令安全至關重要。
首先要杜絕不設口令的帳號存在。
這可以通過查看/etc/passwd文件來發現。
例如,存在用戶名為test的帳號,沒有設置口令,則在/etc/passwd文件中就有如下一行:
test::100:9::/home/test:/bin/bash
其第二項為空,說明test這個帳號沒有設置口令,這是非常危險的!應將該類帳號刪除或者設置口令。
其次,在舊版本的linux中,在/etc/passwd文件中是包含有加密的密碼的,
這就給系統的安全性帶來了很大的隱患,
最簡單的方法就是可
以用暴力破解的方法來獲得口令(如,用John等工具)。
可以使用命令
/usr/sbin/pwconv或者/usr/sbin/grpconv
來建立
/etc/shadow或者/etc/gshadow文件,
這樣在/etc/passwd文件中不再包含加密的密碼,
而是放在/etc/shadow文件
中,該文件只有超級用戶root可讀!
第三點是修改一些系統帳號的Shell變量,
例如uucp,ftp和news等,
一些僅僅需要FTP功能的帳號,
一定不要給他們設置
/bin/bash或者/bin/sh等 Shell變量。
可以在/etc/passwd中將它們的Shell變量置空,
例如設為/bin/false或者
/dev/null等,
也可以使用usermod -s /dev/null
username命令來更改username的Shell為/dev/null。
這樣使用這些帳號將無法Telnet遠程登錄到系統中來!
第四點是修改缺省的密碼長度:在你安裝linux時默認的密碼長度是5個字節。
但這並不夠,要把它設為8。
修改最短密碼長度需要編輯login.defs文件(vi/etc/login.defs),把下面這行
PASS_MIN_LEN 5
改為
PASS_MIN_LEN 8
login.defs文件是login程序的配置文件。
最後別忙了為root加上一個強壯的密碼,8位以上,最好包含特殊字符。
三、 登錄安全
1、自動註銷帳號的登錄,在unix系統中root帳戶是具有最高特權的。
如果系統管理員在離開系統之前忘記註銷root帳戶,那將會帶來很大的
安全隱患,應該讓系統會自動註銷。
通過修改賬戶中「TMOUT」參數,可以實現此功能。
TMOUT按秒計算。編輯你的profile文件(vi
/etc/profile),
在"HISTFILESIZE="後面加入下面這行:
TMOUT=300
300,表示300秒,也就是表示5分鐘。這樣,如果系統中登陸的用戶在5分鐘內都沒有動作,那麼系統會自動註銷這個賬戶。你可以在個別用戶的「.bashrc」文件中添加該值,以便系統對該用戶實行特殊的自動註銷時間。
改變這項設置後,必須先註銷用戶,再用該用戶登陸才能激活這個功能。
2、使用PAM(可插拔認證模塊)禁止任何人通過su命令改變為root用戶
su(Substitute User替代用戶)
命令允許你成為系統中其他已存在的用戶。
如果你不希望任何人通過su命令改變為root用戶或對某些用戶限制使用su命令,
你可以在su配置文件(在"/etc/pam.d/"目錄下)的開頭添加下面兩行:
編輯su文件(vi /etc/pam.d/su),在開頭添加下面兩行:
auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/Pam_wheel.so group=wheel
這表明只有"wheel"組的成員可以使用su命令成為root用戶。
你可以把用戶添加到「wheel」組,以使它可以使用su命令成為root用戶。
添加方法可以用這個命令:chmod -G10 username 。
四、控制台訪問安全
1、取消普通用戶的控制台訪問權限,你應該取消普通用戶的控制台訪問權限。
比如shutdown、reboot、halt等命令。
# rm -f /etc/security/console.apps/
是你要註銷的程序名。
2、不允許從不同的控制台進行root登陸
"/etc/securetty"文件允許你定義root用戶可以從那個TTY設備登陸。
你可以編輯"/etc/securetty"文件,
在不需要登錄的TTY設備前添加「#」標誌,來禁止從該TTY設備進行root登陸。
在/etc/inittab文件中有如下一段話:
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
系統默認的可以使用6個控制台,即Alt+F1,Alt+F2...,這裡在3,4,5,6前面加上「#」,註釋該句話,這樣現在只有兩個控制台可供使用,最好保留兩個。然後重新啟動init進程,改動即可生效!
五、服務安全
取消並反安裝所有不用的服務
取消並反安裝所有不用的服務,這樣你的擔心就會少很多。
察看「/etc/inetd.conf」文件,通過註釋取消所有你不需要的服務(在該服務項目之前加一個「#」)。
然後用「sighup」命令升級「inetd.conf」文件。
第一步:
更改「/etc/inetd.conf」權限為600,只允許 oot來讀寫該文件。
# chmod 600 /etc/inetd.conf
第二步:
確定「/etc/inetd.conf」文件所有者為root。
第三步:
編輯 /etc/inetd.conf文件(vi /etc/inetd.conf),
取消下列服務(你不需要的):
ftp,
telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,
auth等等。
把不需要的服務關閉可以使系統的危險性降低很多。
第四步:
給inetd進程發送一個HUP信號:
# killall -HUP inetd
第五步:
用chattr命令把/ec/inetd.conf文件設為不可修改,這樣就沒人可以修改它:
# chattr +i /etc/inetd.conf
這樣可以防止對inetd.conf的任何修改(意外或其他原因)。
唯一可以取消這個屬性的人只有root。
如果要修改inetd.conf文件,首先要是取消不可修改性質:
# chattr -i /etc/inetd.conf
同時修「/etc/services」文件的屬性,防止未經許可的刪除或添加服務:
# chattr +i /etc/services
別忘了以後要修改時,再把它們的性質改為可修改的就行了。
六、其它綜合設置安全
1、TCP_WRAPPERS
使用TCP_WRAPPERS可以使你的系統安全面對外部入侵。
最好的策略就是阻止所有的主機("/etc/hosts.deny"文件中加
入"ALL: ALL@ALL, PARANOID" ),然後再在"/etc/hosts.allow" 文件中加入所有允許訪問的主機列表。
第一步:
編輯hosts.deny文件(vi /etc/hosts.deny),加入下面這行
# Deny access to everyone.
ALL: ALL@ALL, PARANOID
這表明除非該地址包在允許訪問的主機列表中,否則阻塞所有的服務和地址。
第二步:
編輯hosts.allow文件(vi /etc/hosts.allow),加入允許訪問的主機列表,比如:
ftp: 202.54.15.99 foo.com
202.54.15.99和 foo.com是允許訪問ftp服務的ip地址和主機名稱。
第三步:
tcpdchk程序是tepd wrapper設置檢查程序。
它用來檢查你的tcp wrapper設置,並報告發現的潛在的和真實的問題。
設置完後,運行下面這個命令:
# tcpdchk
2、修改「/etc/host.conf」文件
「/etc/host.conf」說明了如何解析地址。
編輯「/etc/host.conf」文件(vi /etc/host.conf),加入下面這行:
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
第一項設置首先通過DNS解析IP地址,然後通過hosts文件解析。
第二項設置檢測是否「/etc/hosts」文件中的主機是否擁有多個IP地址(比如有多個以太口網卡)。
第三項設置說明要注意對本機未經許可的電子欺騙。
3、Shell logging Bash
shell在「~/.bash_history」(「~/」表示用戶目錄)文件中保存了500條使用過的命令,
這樣可以使你輸入使用過的長命令變得容易。每個在系統中擁有賬號的用戶在他的目錄下都有一個「.bash_history」文件。
bash
shell應該保存少量的命令,並且在每次用戶註銷時都把這些歷史命令刪除。
第一步:
「/etc/profile」文件中的「HISTFILESIZE」和「HISTSIZE」行確定所有用戶的「.bash_history」
文件中可以保存的舊命令條數。
強烈建議把把「/etc/profile」文件中的「HISTFILESIZE」和「HISTSIZE」行的值設為一個較小
的數,比如30。
編輯profile文件(vi/etc/profile),把下面這行改為:
HISTFILESIZE=30
HISTSIZE=30
這表示每個用戶的「.bash_history」文件只可以保存30條舊命令。
第二步:
網管還應該在"/etc/skel/.bash_logout" 文件中添加下面這行"rm -f $HOME/.bash_history" 。
這樣,當用戶每次註銷時,「.bash_history」文件都會被刪除。
編輯.bash_logout文件(vi /etc/skel/.bash_logout) ,添加下面這行:
rm -f $HOME/.bash_history
4、禁止Control-Alt-Delete鍵盤關閉命令
在"/etc/inittab" 文件中註釋掉下面這行(使用#):
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改為:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
為了使這項改動起作用,輸入下面這個命令:
# /sbin/init q
5、給"/etc/rc.d/init.d" 下script文件設置權限
給執行或關閉啟動時執行的程序的script文件設置權限。
# chmod -R 700 /etc/rc.d/init.d/*
這表示只有root才允許讀、寫、執行該目錄下的script文件。
6、隱藏系統信息
在缺省情況下,當你登陸到linux系統,它會告訴你該linux發行版的名稱、版本、內核版本、服務器的名稱。
對於黑客來說這些信息足夠它入侵你的系統了。
你應該只給它顯示一個「login:」提示符。
首先編輯"/etc/rc.d/rc.local" 文件,在下面顯示的這些行前加一個「#」,把輸出信息的命令註釋掉。
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
其次刪除"/etc"目錄下的「isue.net」和"issue"文件:
# rm -f /etc/issue
# rm -f /etc/issue.net
7、禁止不使用的SUID/SGID程序
如果一個程序被設置成了SUID root,那麼普通用戶就可以以root身份來運行這個程序。
網管應盡可能的少使用SUID/SGID 程序,禁止所有不必要的SUID/SGID程序。
查找root-owned程序中使用s位的程序:
# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} ;
用下面命令禁止選中的帶有s位的程序:
# chmod a-s [program]
以上是一些基本的安全設置技巧,俗話說:「道高一尺,魔高一丈」。
只要是連上網的計算機,就有可能被入侵。
因此系統的定期檢查和維護是相當重要的,
對於及時發現入侵很有幫助,
有助於我們亡羊補牢,趕在入侵者還沒有破壞系統和數據之前把它們清理出去。
所以接著就給大家講一下這方面的技巧。
<>一、 優化分割結構
這對維護很有好處,我們應該把Linux的文件系統分成幾個主要的分區,
每個分區分別進行不同的配置和安裝,一般情況下至少要建立/、
/usr/local、/var和/home等分區。
/usr可以安裝成只讀並且可以被認為是不可修改的。
如果/usr中有任何文件發生了改變,
那麼系統
將立即發出安全報警。
當然這不包括用戶自己改變/usr中的內容。
/lib、/boot和/sbin的安裝和設置也一樣。
在安裝時應該盡量將它們設置為只
讀,並且對它們的文件、目錄和屬性進行的任何修改都會導致系統報警。
當然將所有主要的分區都設置為只讀是不可能的,有的分區如/var等,
其自身的性質就決定了不能將它們設置為只讀,但應該不允許它具有執行權限。
二、 保護log文件
當與log文件和log備份一起使用時不可變和只添加這兩種文件屬性特別有用。
系統管理員應該將活動的log文件屬性設置為只添加。
當log被更
新時,新產生的log備份文件屬性應該設置成不可變的,而新的活動的log文件屬性又變成了只添加。
這通常需要在log更新腳本中添加一些控制命令。
CRETIX Security™ - http://www.hacker.org.tw
原創作者: greenice
文章來源: www.cnxxz.net
... 於 2004-09-23 06:01:06...
列印模式 轉寄給朋友
此篇文章為網友個人意見,不代表本站立場.
發表者 樹狀展開
Powered by XOOPS2.0.6 企畫&設站
點選 新聞分類
作品 誠心推薦
linux 觀念篇 : LINUX安全管理的基本技巧 --
Linux作為是一個開放源代碼的免費操作系統,
以其高效隱定的優秀品質,越來越受到用戶們的歡迎,並在全世界不斷普及開來。
相信在不久的將來Linux還會得到更大更快的發展。
雖然,Linux和Unix很相似,但是它們之間還是有不少重要的差別。
對於很多習慣了UNIX和Windows的系統管理員來講
如何保證Linux操作系統的安全可靠將面臨許多新的挑戰。
本文在此將給大家介紹一些Linux管理安全的基本技巧,希望能對大家有所幫助。
首先我想從系統的安全配置,開始我們的話題。
因為我個人認為一位管理員要能充分利用系統提供的安全機制、
挖掘系統自身的潛力來對服務器進行高效安全的維護,才能稱得上優秀。
我並不是完全反對使用防火牆等工具,但是正如人一樣,
我們可以消毒、可以帶口罩,卻沒有我們自身體魄強健、有抗體來得好。
Linux是完全開放源代碼的免費操作系統,其可開發的潛力極大,
有能力的管理員甚至可以通過自行改編內核來滿足自己服務器優良工作的需要。
當然,在此我們只講一些基本,但實用的配置技巧。
一、 ILO的安全設置
LILO是Linux
Loader的縮寫,它是LINUX的啟動模塊。
我們可通過修改「/etc/lilo.conf」文件中的內容來對它進行配置。
在文件中加上,如下兩個參
數:restricted,password
。這兩個參數可以使你的系統在啟動lilo時就要求密碼驗證。
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=00 #把這行該為00,這樣系統啟動時將不在等待,而直接啟動LINUX
message=/boot/message
linear
default=linux
restricted #加入這行
password= #加入這行並設置自己的密碼
image=/boot/vmlinuz-2.4.2-2
label=linux
root=/dev/hda6
read-only
因為"/etc/lilo.conf"文件中包含明文密碼,所以要把它設置為root權限讀取。
# chmod 0600 /etc/lilo.conf
還要使用「chattr」命令使"/etc/lilo.conf"文件變為不可改變。
# chattr +i /etc/lilo.conf
這樣可以對「/etc/lilo.conf」文件起到很好的保護作用。(對其它文件的保護也可以採用此方法)
最後要使lilo.conf文件生效要用
# /sbin/lilo -v
更新一下系統。
二、 口令安全
口令可以說是系統的第一道防線,
目前網絡上大部分的系統入侵都是從猜測口令或者截獲口令開始的,所以口令安全至關重要。
首先要杜絕不設口令的帳號存在。
這可以通過查看/etc/passwd文件來發現。
例如,存在用戶名為test的帳號,沒有設置口令,則在/etc/passwd文件中就有如下一行:
test::100:9::/home/test:/bin/bash
其第二項為空,說明test這個帳號沒有設置口令,這是非常危險的!應將該類帳號刪除或者設置口令。
其次,在舊版本的linux中,在/etc/passwd文件中是包含有加密的密碼的,
這就給系統的安全性帶來了很大的隱患,
最簡單的方法就是可
以用暴力破解的方法來獲得口令(如,用John等工具)。
可以使用命令
/usr/sbin/pwconv或者/usr/sbin/grpconv
來建立
/etc/shadow或者/etc/gshadow文件,
這樣在/etc/passwd文件中不再包含加密的密碼,
而是放在/etc/shadow文件
中,該文件只有超級用戶root可讀!
第三點是修改一些系統帳號的Shell變量,
例如uucp,ftp和news等,
一些僅僅需要FTP功能的帳號,
一定不要給他們設置
/bin/bash或者/bin/sh等 Shell變量。
可以在/etc/passwd中將它們的Shell變量置空,
例如設為/bin/false或者
/dev/null等,
也可以使用usermod -s /dev/null
username命令來更改username的Shell為/dev/null。
這樣使用這些帳號將無法Telnet遠程登錄到系統中來!
第四點是修改缺省的密碼長度:在你安裝linux時默認的密碼長度是5個字節。
但這並不夠,要把它設為8。
修改最短密碼長度需要編輯login.defs文件(vi/etc/login.defs),把下面這行
PASS_MIN_LEN 5
改為
PASS_MIN_LEN 8
login.defs文件是login程序的配置文件。
最後別忙了為root加上一個強壯的密碼,8位以上,最好包含特殊字符。
三、 登錄安全
1、自動註銷帳號的登錄,在unix系統中root帳戶是具有最高特權的。
如果系統管理員在離開系統之前忘記註銷root帳戶,那將會帶來很大的
安全隱患,應該讓系統會自動註銷。
通過修改賬戶中「TMOUT」參數,可以實現此功能。
TMOUT按秒計算。編輯你的profile文件(vi
/etc/profile),
在"HISTFILESIZE="後面加入下面這行:
TMOUT=300
300,表示300秒,也就是表示5分鐘。這樣,如果系統中登陸的用戶在5分鐘內都沒有動作,那麼系統會自動註銷這個賬戶。你可以在個別用戶的「.bashrc」文件中添加該值,以便系統對該用戶實行特殊的自動註銷時間。
改變這項設置後,必須先註銷用戶,再用該用戶登陸才能激活這個功能。
2、使用PAM(可插拔認證模塊)禁止任何人通過su命令改變為root用戶
su(Substitute User替代用戶)
命令允許你成為系統中其他已存在的用戶。
如果你不希望任何人通過su命令改變為root用戶或對某些用戶限制使用su命令,
你可以在su配置文件(在"/etc/pam.d/"目錄下)的開頭添加下面兩行:
編輯su文件(vi /etc/pam.d/su),在開頭添加下面兩行:
auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/Pam_wheel.so group=wheel
這表明只有"wheel"組的成員可以使用su命令成為root用戶。
你可以把用戶添加到「wheel」組,以使它可以使用su命令成為root用戶。
添加方法可以用這個命令:chmod -G10 username 。
四、控制台訪問安全
1、取消普通用戶的控制台訪問權限,你應該取消普通用戶的控制台訪問權限。
比如shutdown、reboot、halt等命令。
# rm -f /etc/security/console.apps/
是你要註銷的程序名。
2、不允許從不同的控制台進行root登陸
"/etc/securetty"文件允許你定義root用戶可以從那個TTY設備登陸。
你可以編輯"/etc/securetty"文件,
在不需要登錄的TTY設備前添加「#」標誌,來禁止從該TTY設備進行root登陸。
在/etc/inittab文件中有如下一段話:
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
系統默認的可以使用6個控制台,即Alt+F1,Alt+F2...,這裡在3,4,5,6前面加上「#」,註釋該句話,這樣現在只有兩個控制台可供使用,最好保留兩個。然後重新啟動init進程,改動即可生效!
五、服務安全
取消並反安裝所有不用的服務
取消並反安裝所有不用的服務,這樣你的擔心就會少很多。
察看「/etc/inetd.conf」文件,通過註釋取消所有你不需要的服務(在該服務項目之前加一個「#」)。
然後用「sighup」命令升級「inetd.conf」文件。
第一步:
更改「/etc/inetd.conf」權限為600,只允許 oot來讀寫該文件。
# chmod 600 /etc/inetd.conf
第二步:
確定「/etc/inetd.conf」文件所有者為root。
第三步:
編輯 /etc/inetd.conf文件(vi /etc/inetd.conf),
取消下列服務(你不需要的):
ftp,
telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,
auth等等。
把不需要的服務關閉可以使系統的危險性降低很多。
第四步:
給inetd進程發送一個HUP信號:
# killall -HUP inetd
第五步:
用chattr命令把/ec/inetd.conf文件設為不可修改,這樣就沒人可以修改它:
# chattr +i /etc/inetd.conf
這樣可以防止對inetd.conf的任何修改(意外或其他原因)。
唯一可以取消這個屬性的人只有root。
如果要修改inetd.conf文件,首先要是取消不可修改性質:
# chattr -i /etc/inetd.conf
同時修「/etc/services」文件的屬性,防止未經許可的刪除或添加服務:
# chattr +i /etc/services
別忘了以後要修改時,再把它們的性質改為可修改的就行了。
六、其它綜合設置安全
1、TCP_WRAPPERS
使用TCP_WRAPPERS可以使你的系統安全面對外部入侵。
最好的策略就是阻止所有的主機("/etc/hosts.deny"文件中加
入"ALL: ALL@ALL, PARANOID" ),然後再在"/etc/hosts.allow" 文件中加入所有允許訪問的主機列表。
第一步:
編輯hosts.deny文件(vi /etc/hosts.deny),加入下面這行
# Deny access to everyone.
ALL: ALL@ALL, PARANOID
這表明除非該地址包在允許訪問的主機列表中,否則阻塞所有的服務和地址。
第二步:
編輯hosts.allow文件(vi /etc/hosts.allow),加入允許訪問的主機列表,比如:
ftp: 202.54.15.99 foo.com
202.54.15.99和 foo.com是允許訪問ftp服務的ip地址和主機名稱。
第三步:
tcpdchk程序是tepd wrapper設置檢查程序。
它用來檢查你的tcp wrapper設置,並報告發現的潛在的和真實的問題。
設置完後,運行下面這個命令:
# tcpdchk
2、修改「/etc/host.conf」文件
「/etc/host.conf」說明了如何解析地址。
編輯「/etc/host.conf」文件(vi /etc/host.conf),加入下面這行:
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
第一項設置首先通過DNS解析IP地址,然後通過hosts文件解析。
第二項設置檢測是否「/etc/hosts」文件中的主機是否擁有多個IP地址(比如有多個以太口網卡)。
第三項設置說明要注意對本機未經許可的電子欺騙。
3、Shell logging Bash
shell在「~/.bash_history」(「~/」表示用戶目錄)文件中保存了500條使用過的命令,
這樣可以使你輸入使用過的長命令變得容易。每個在系統中擁有賬號的用戶在他的目錄下都有一個「.bash_history」文件。
bash
shell應該保存少量的命令,並且在每次用戶註銷時都把這些歷史命令刪除。
第一步:
「/etc/profile」文件中的「HISTFILESIZE」和「HISTSIZE」行確定所有用戶的「.bash_history」
文件中可以保存的舊命令條數。
強烈建議把把「/etc/profile」文件中的「HISTFILESIZE」和「HISTSIZE」行的值設為一個較小
的數,比如30。
編輯profile文件(vi/etc/profile),把下面這行改為:
HISTFILESIZE=30
HISTSIZE=30
這表示每個用戶的「.bash_history」文件只可以保存30條舊命令。
第二步:
網管還應該在"/etc/skel/.bash_logout" 文件中添加下面這行"rm -f $HOME/.bash_history" 。
這樣,當用戶每次註銷時,「.bash_history」文件都會被刪除。
編輯.bash_logout文件(vi /etc/skel/.bash_logout) ,添加下面這行:
rm -f $HOME/.bash_history
4、禁止Control-Alt-Delete鍵盤關閉命令
在"/etc/inittab" 文件中註釋掉下面這行(使用#):
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改為:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
為了使這項改動起作用,輸入下面這個命令:
# /sbin/init q
5、給"/etc/rc.d/init.d" 下script文件設置權限
給執行或關閉啟動時執行的程序的script文件設置權限。
# chmod -R 700 /etc/rc.d/init.d/*
這表示只有root才允許讀、寫、執行該目錄下的script文件。
6、隱藏系統信息
在缺省情況下,當你登陸到linux系統,它會告訴你該linux發行版的名稱、版本、內核版本、服務器的名稱。
對於黑客來說這些信息足夠它入侵你的系統了。
你應該只給它顯示一個「login:」提示符。
首先編輯"/etc/rc.d/rc.local" 文件,在下面顯示的這些行前加一個「#」,把輸出信息的命令註釋掉。
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
其次刪除"/etc"目錄下的「isue.net」和"issue"文件:
# rm -f /etc/issue
# rm -f /etc/issue.net
7、禁止不使用的SUID/SGID程序
如果一個程序被設置成了SUID root,那麼普通用戶就可以以root身份來運行這個程序。
網管應盡可能的少使用SUID/SGID 程序,禁止所有不必要的SUID/SGID程序。
查找root-owned程序中使用s位的程序:
# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} ;
用下面命令禁止選中的帶有s位的程序:
# chmod a-s [program]
以上是一些基本的安全設置技巧,俗話說:「道高一尺,魔高一丈」。
只要是連上網的計算機,就有可能被入侵。
因此系統的定期檢查和維護是相當重要的,
對於及時發現入侵很有幫助,
有助於我們亡羊補牢,趕在入侵者還沒有破壞系統和數據之前把它們清理出去。
所以接著就給大家講一下這方面的技巧。
<>一、 優化分割結構
這對維護很有好處,我們應該把Linux的文件系統分成幾個主要的分區,
每個分區分別進行不同的配置和安裝,一般情況下至少要建立/、
/usr/local、/var和/home等分區。
/usr可以安裝成只讀並且可以被認為是不可修改的。
如果/usr中有任何文件發生了改變,
那麼系統
將立即發出安全報警。
當然這不包括用戶自己改變/usr中的內容。
/lib、/boot和/sbin的安裝和設置也一樣。
在安裝時應該盡量將它們設置為只
讀,並且對它們的文件、目錄和屬性進行的任何修改都會導致系統報警。
當然將所有主要的分區都設置為只讀是不可能的,有的分區如/var等,
其自身的性質就決定了不能將它們設置為只讀,但應該不允許它具有執行權限。
二、 保護log文件
當與log文件和log備份一起使用時不可變和只添加這兩種文件屬性特別有用。
系統管理員應該將活動的log文件屬性設置為只添加。
當log被更
新時,新產生的log備份文件屬性應該設置成不可變的,而新的活動的log文件屬性又變成了只添加。
這通常需要在log更新腳本中添加一些控制命令。
CRETIX Security™ - http://www.hacker.org.tw
原創作者: greenice
文章來源: www.cnxxz.net
... 於 2004-09-23 06:01:06...
列印模式 轉寄給朋友
此篇文章為網友個人意見,不代表本站立場.
發表者 樹狀展開
Powered by XOOPS2.0.6 企畫&設站
/etc/hosts.deny , /etc/hosts/allow
from http://ms.ntcb.edu.tw/~steven/article/tcpwrapper.htm
設定檔
* /etc/hosts.allow
* /etc/hosts.deny
參考文件
* man hosts.allow
* man hosts.deny
Linux 的安全設定中,安全設定大制分為三個類別,Kernel Filter、應用程式本身安全設定以及 TCP-Wrapper。
TCP-Wrapper 就像一個服務總管一樣,所有使用(支援)TCP-Wrapper 的程式,都可以透過他來限制一些安全的控管,比如只允許那些地方可以連入,那些地方無法連入等等。如果連線是允許的,才讓該連線和相關的服務接洽。
現行常見使用 TCP-Wrapper 的服務有 pop3、sshd、vsftpd、telnet、imap ... .... 等常見的服務。
當封包到達主機之後,使用 TCP-Wrapper 會先參考 hosts.allow,若是該服務在 hosts.allow 裡面,就會先被通過,如果不在 hosts.allow 裡面,就會繼續往下,參考 hosts.deny,如果該服務在 hosts.deny 在該項目裡面,那麼就無法使用;最後,萬一該服務在 hosts.allow 或 hosts.deny 裡被沒有被描述的話,就可以使用。
實例:允許使用者只能從 eic.com.tw 網段連進來。
# vi /etc/hosts.deny
___________________________
sshd:ALL EXCEPT .eic.com.tw
:__________________________
如此就馬上生效,也不用重新啟動。
安全政策:
實作中,都是先 deny 所有的 service,再一一打開。因此,都會在 hosts.deny 裡會設定 ALL:ALL,再到 hosts.allow 開啟必要的設定,以本例來說,只允許 ssh 服務啟動。
# vi /etc/hosts.deny
_____________________
ALL:ALL
:____________________
# vi /etc/hosts.allow
_____________________
sshd:.eic.com.tw
:____________________
如此就可以達到稍微安全的機制。
指定正確的服務名稱:
現在知道了 TCP-Wrapper 的大致用法,那我們如何指定服務名稱呢?其實這個問題不難,一般來說,只要是被 xinetd 所控制的服務,大約都是使用 TCP-Wrapper 機制;其它的服務像是 vsftpd、ssh 等,也是使用 TCP-Wrapper 的機制。
如果是被 xinetd 所控制的服務,可以到 /etc/xinetd.d 看看真正的服務名稱。
[root@xml root]# cd /etc/xinetd.d
[root@xml xinetd.d]# ls
chargen daytime-udp finger ipop2 pop3s rsh services telnet
chargen-udp echo imap ipop3 rexec rsync sgi_fam time
daytime echo-udp imaps ntalk rlogin servers talk time-udp
[root@xml xinetd.d]#
假設現在要設定 ipop3,那麼我們知道這個服務是被 xinetd 所控制,所以就來看看 ipop3 這個真正的服務者是誰!
[root@xml xinetd.d]# cat ipop3
# default: off
# description: The POP3 service allows remote users to access their mail \
# using an POP3 client such as Netscape Communicator, mutt, \
# or fetchmail.
service pop3
{
disable = no
socket_type = stream
wait = no
user = root
server = /usr/sbin/ipop3d
log_on_success += HOST DURATION
log_on_failure += HOST
}
[root@xml xinetd.d]#
在上面有 server = /usr/sbin/ipop3d 這個字樣,所以我們就可以知道,真正付責 ipop3 是由 ipop3d 這個程式來跑的,所以我們在 hosts.allow 或 hosts.deny 設定服務名稱時,請記得要寫成 ipop3d,而不是 ipop3 喔!
[root@xml xinetd.d]# vi /etc/hosts.deny
______________________________________________________________________
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
ipop3d:ALL EXCEPT .eic.com.tw
:______________________________________________________________________
如果是非由 xinetd 所控制的服務,如 ssh 或是 vsftpd 等,就直接指定他們的服務名稱就可以了!
設定檔
* /etc/hosts.allow
* /etc/hosts.deny
參考文件
* man hosts.allow
* man hosts.deny
Linux 的安全設定中,安全設定大制分為三個類別,Kernel Filter、應用程式本身安全設定以及 TCP-Wrapper。
TCP-Wrapper 就像一個服務總管一樣,所有使用(支援)TCP-Wrapper 的程式,都可以透過他來限制一些安全的控管,比如只允許那些地方可以連入,那些地方無法連入等等。如果連線是允許的,才讓該連線和相關的服務接洽。
現行常見使用 TCP-Wrapper 的服務有 pop3、sshd、vsftpd、telnet、imap ... .... 等常見的服務。
當封包到達主機之後,使用 TCP-Wrapper 會先參考 hosts.allow,若是該服務在 hosts.allow 裡面,就會先被通過,如果不在 hosts.allow 裡面,就會繼續往下,參考 hosts.deny,如果該服務在 hosts.deny 在該項目裡面,那麼就無法使用;最後,萬一該服務在 hosts.allow 或 hosts.deny 裡被沒有被描述的話,就可以使用。
實例:允許使用者只能從 eic.com.tw 網段連進來。
# vi /etc/hosts.deny
___________________________
sshd:ALL EXCEPT .eic.com.tw
:__________________________
如此就馬上生效,也不用重新啟動。
安全政策:
實作中,都是先 deny 所有的 service,再一一打開。因此,都會在 hosts.deny 裡會設定 ALL:ALL,再到 hosts.allow 開啟必要的設定,以本例來說,只允許 ssh 服務啟動。
# vi /etc/hosts.deny
_____________________
ALL:ALL
:____________________
# vi /etc/hosts.allow
_____________________
sshd:.eic.com.tw
:____________________
如此就可以達到稍微安全的機制。
指定正確的服務名稱:
現在知道了 TCP-Wrapper 的大致用法,那我們如何指定服務名稱呢?其實這個問題不難,一般來說,只要是被 xinetd 所控制的服務,大約都是使用 TCP-Wrapper 機制;其它的服務像是 vsftpd、ssh 等,也是使用 TCP-Wrapper 的機制。
如果是被 xinetd 所控制的服務,可以到 /etc/xinetd.d 看看真正的服務名稱。
[root@xml root]# cd /etc/xinetd.d
[root@xml xinetd.d]# ls
chargen daytime-udp finger ipop2 pop3s rsh services telnet
chargen-udp echo imap ipop3 rexec rsync sgi_fam time
daytime echo-udp imaps ntalk rlogin servers talk time-udp
[root@xml xinetd.d]#
假設現在要設定 ipop3,那麼我們知道這個服務是被 xinetd 所控制,所以就來看看 ipop3 這個真正的服務者是誰!
[root@xml xinetd.d]# cat ipop3
# default: off
# description: The POP3 service allows remote users to access their mail \
# using an POP3 client such as Netscape Communicator, mutt, \
# or fetchmail.
service pop3
{
disable = no
socket_type = stream
wait = no
user = root
server = /usr/sbin/ipop3d
log_on_success += HOST DURATION
log_on_failure += HOST
}
[root@xml xinetd.d]#
在上面有 server = /usr/sbin/ipop3d 這個字樣,所以我們就可以知道,真正付責 ipop3 是由 ipop3d 這個程式來跑的,所以我們在 hosts.allow 或 hosts.deny 設定服務名稱時,請記得要寫成 ipop3d,而不是 ipop3 喔!
[root@xml xinetd.d]# vi /etc/hosts.deny
______________________________________________________________________
#
# hosts.deny This file describes the names of the hosts which are
# *not* allowed to use the local INET services, as decided
# by the '/usr/sbin/tcpd' server.
#
# The portmap line is redundant, but it is left to remind you that
# the new secure portmap uses hosts.deny and hosts.allow. In particular
# you should know that NFS uses portmap!
ipop3d:ALL EXCEPT .eic.com.tw
:______________________________________________________________________
如果是非由 xinetd 所控制的服務,如 ssh 或是 vsftpd 等,就直接指定他們的服務名稱就可以了!
apache 安全
from http://phpbb-tw.net/phpbb/viewtopic.php?t=47435
設定 Apache 網頁目錄權限:
開啟 Apache 的配置檔 httpd.conf,你可以設定的目錄在沒有預設首頁時,
是否顯示目錄結構,例如:不要顯示( 根目錄)下的網頁目錄,以增加安全性時,
請查找該內的 Options FollowSymLinks,改成 Options None 即可。
Ubuntu
nano /etc/apache2/sites-enabled/000-default
Options Indexes FollowSymLinks MultiViews
改成
Options FollowSymLinks MultiViews
設定 Apache 網頁目錄權限:
開啟 Apache 的配置檔 httpd.conf,你可以設定的目錄在沒有預設首頁時,
是否顯示目錄結構,例如:不要顯示( 根目錄)下的網頁目錄,以增加安全性時,
請查找該內的 Options FollowSymLinks,改成 Options None 即可。
Ubuntu
nano /etc/apache2/sites-enabled/000-default
Options Indexes FollowSymLinks MultiViews
改成
Options FollowSymLinks MultiViews