Linux论坛 » 安全/调优 » Linux安全设置

9命怪猫 发表于 2007-10-26 00:06

Linux安全设置

1、Bios　Security
　　一定要给Bios设置密码，以防通过在Bios中改变启动顺序。这样可以阻止别人试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios改动其中的设置(比如允许通过软盘启动等)。

2、删除所有的特殊账户
　　你应该删除所有不用的缺省用户和组账户(比如lp,　sync,　shutdown,　halt,　news,　uucp,　operator,　games,　gopher等)。
　　删除用户：
　　[root@cat　/]#　userdel　LP
　　删除组：
　　[root@cat　/]#　groupdel　LP

3、最短密码
　　在选择正确密码之前还应作以下修改：
　　修改密码长度：在你安装linux时默认的密码长度是5个字节。但这并不够，要把它设为8。修改最短密码长度需要编辑login.defs文件(vi　/etc/login.defs)，把下面这行
　　PASS_MIN_LEN　　　　5
　　改为
　　PASS_MIN_LEN　　　　8
　　login.defs文件是login程序的配置文件。

4、打开密码的shadow支持功能：
　　你应该打开密码的shadow功能，来对password加密。使用"/usr/sbin/authconfig"工具打开shadow功能。如果你想把已有的密码和组转变为shadow格式，可以分别使用"pwcov,grpconv"命令。

5、设置root账户
　　在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，系统会自动注销。通过修改账户中"TMOUT"参数，可以实现此功能。TMOUT按秒计算。编辑你的profile文件(vi　/etc/profile),在"HISTFILESIZE="后面加入下面这行：
　　TMOUT=3600
　　3600，表示60*60=3600秒，也就是1小时。这样，如果系统中登陆的用户在一个小时内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的".bashrc"文件中添加该值，以便系统对该用户实行特殊的自动注销时间。
　　改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。

6、取消普通用户的控制台访问权限
　　你应该取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令。
　　[root@cat　/]#　rm　-f　/etc/security/console.apps/
　　是你要注销的程序名。

7、取消并卸载所有不用的服务
　　取消并卸载所有不用的服务，这样你的担心就会少很多。察看"/etc/inetd.conf"文件，通过注释取消所有你不需要的服务(在该服务项目之前加一个"#")。然后用"sighup"命令升级"inetd.conf"文件。
　　第一步：
　　更改"/etc/inetd.conf"权限为600，只允许root来读写该文件。
　　[Root@cat　/]#　chmod　600　/etc/inetd.conf
　　第二步：
　　确定"/etc/inetd.conf"文件所有者为root。
　　第三步：
　　编辑　/etc/inetd.conf文件(vi　/etc/inetd.conf)，取消下列服务(你不需要的)：ftp,　telnet,　 shell,　login,　exec,　talk,　ntalk,　imap,　pop-2,　pop-3,　finger,　auth等等。把不需要的服务关闭可以使系统的危险性降低很多。
　　第四步：
　　给inetd进程发送一个HUP信号：
　　[root@cat　/]#　killall　-HUP　inetd
　　第五步：
　　用chattr命令把/ec/inetd.conf文件设为不可修改，这样就没人可以修改它：
　　[root@cat　/]#　chattr　+i　/etc/inetd.conf
　　这样可以防止对inetd.conf的任何修改(以外或其他原因)。唯一可以取消这个属性的人只有root。如果要修改inetd.conf文件，首先要是取消不可修改性质：
　　[root@cat　/]#　chattr　-i　/etc/inetd.conf
　　别忘了该后再把它的性质改为不可修改的。

(今天太晚了，明天再继续搞)

zhouzhou106 发表于 2007-12-13 15:40

我先顶一下!沙发!

Flyinmorning 发表于 2007-12-13 21:53

好帖

rnarldo 发表于 2007-12-20 15:05

安全第一！:)

hongfeng 发表于 2007-12-27 10:23

对啊,对这方面的没有过多的研究啊,加我好友:qq 10392021

17616402 发表于 2008-1-5 09:57

说得好啊！！顶起！！！

cybercat 发表于 2008-1-22 11:10

非常受用，期待楼主更新！

neo 发表于 2008-1-23 21:22

[quote]原帖由 [i]9命怪猫[/i] 于 2007-10-26 00:06 发表 [url=http://bbs.linuxpk.com/redirect.php?goto=findpost&pid=36624&ptid=11710][img]http://bbs.linuxpk.com/images/common/back.gif[/img][/url]
3、最短密码
　　在选择正确密码之前还应作以下修改：
　　修改密码长度：在你安装linux时默认的密码长度是5个字节。但这并不够，要把它设为8。修改最短密码长度需要编辑login.defs文件(vi　/etc/login.defs)，把下面这行
　　PASS_MIN_LEN　　　　5
　　改为
　　PASS_MIN_LEN　　　　8
　　login.defs文件是login程序的配置文件。[/quote]
这个贴太旧了。现在应该是在 PAM 里面设置。

kebon22 发表于 2008-4-8 15:33

最根本的方法：保护好你的root帐号

hongfeng 发表于 2008-4-16 11:15

谁有好的方法

kennycx 发表于 2008-4-16 12:03

呵呵，我觉得root passwd足够强悍一般就比较安全了～
很多安全问题其实是老源于系统的一些默认设置～

锅盖头 发表于 2008-4-17 07:22

好贴呀,呵呵

kennycx 发表于 2008-7-8 10:19

猫的原创啊？我得收录啊！

fish2010 发表于 2008-8-5 10:12

安全第一,顶一下

neo_jin 发表于 2008-8-13 19:34

谢谢你们

fengmx 发表于 2008-8-23 17:21

好贴

查看完整版本: Linux安全设置