1、LILO安全設置

vi /etc/lilo.conf.anaconda????? //修改LILO文件===============================================
……
restricted????????????????? //加入這行
password=111111???????????? //加入這行并設置密碼為111111
……
================================================
chmod 600 /etc/lilo.conf.anaconda?? //設置為ROOT權限讀取
/sbin/lilo -v?????????????????????? //更新系統，使上述操作生效
chattr +i /etc/lilo.conf.anaconda?? //設置LILO文件是不可寫

2、設置默認口令和帳號長度與有效期

vi /etc/login.defs????????????? //修改login.defs文件================================================
……
PASS_MAX_DAYS 99999
PASS_MIN_DAYS 0
PASS_MIN_LEN?? 8?????????????????? //修改系統默認密碼長度為8位
PASS_WARN_AGE 7?????????????????? //口令有效期為7天

3、清除不設口令的帳號

vi /etc/passwd????????????????????? //修改passwd文件 =================================================
……
elain::500:501:elain:/home/elain:/bin/bash
……
//帳號elain 沒有設置口令。因為第二項為空，說明此帳號無密碼，這是非常危險的，應該將此類帳號刪除或給它設置口令。

4、特別的帳號處理

刪除無用的用戶和組用戶
命令如下：
刪除用戶 ：userdel username
刪除組用戶:groupdel groupname
刪除下列的用戶：
adm
lp
sync
shutdown
halt
mail
--------------
news
uucp
operator
games????????????????????????? //若沒有MAIL服務器可刪除
--------------
gopher????????????????????????? //若沒有X Windows服務器可刪除
ftp???????????????????????????? //若不允許匿名訪問 FTP刪除此帳號

5、權限與文件系統

lsattr????????????????????????? //列出文件的屬性
chattr????????????????????????? //改變文件的屬性
a??????????????????????? //只可添加屬性
i??????????????????????? //不可改變屬性
修改系統中關鍵文件如下：
passwd
passwd._
shadow
shadown._
xinetd.conf
services
lilo.conf等
例：chmod 600 /etc/xinetd.conf???? //修改文件屬主為root
chattr +(-)i /etc/xinetd.conf????? //設置為不能(取消)修改

6、限制系統使用資源

vi /etc/security/limits.conf
=================================================
……
加入或修改下面這幾行：
*hard core 0???????????????? //禁止創建core文件
*hard rss?? 5000????????????? //除root外，其它用戶內存使用為5M
*hard nproc 20??????????????? //限制最多進程為20

vi /etc/pam.d/login
=================================================
……
session required /lib/security/pam_limits.so
//在文件末尾加入上面這一行

7、設置自動注銷帳號的登錄

vi /etc/profile
===================================================
……
HOSTNAME='/bin/hostname'
HISTSIZE=1000?????? //這是歷史記錄數，越小越好
tmout=300?????????? //添加此行，表示系統在五分鐘內沒有任何操作，將自動這個帳號注銷

8、/etc/securetty文件安全設置

vi /etc/securetty
====================================================
tty1
#tty2
……
#tty11????????????? //在默認的內容中注釋掉除tty1外的所有tty，表示root只能在tty1終端登錄
9、禁止外來PING請求，防止補攻擊

vi /etc/rc.d/rc.local
====================================================
echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all
//添加上面一行，可阻止系統響應任何外來的PING請求

10、限制顯示出系統版本信息

當用戶進入LINUX系統時系統將告訴用戶LINUX版本號，內核版本號和服務器主機名。
vi /etc/rc.d/rc.local
=====================================================
在里面添加如下：
……
#This will overwrite /etc/issue at every boot.So,make any changesyou
#want to make to /etc/issue here oryou will lose them when you reboot.
#echo""> /etc/issue
#echo"$R">> /etc/issue
#echo"Kernel $(uname -r)on$a $(uname -m)">>/etc/issue
#
#cp -f /etc/issue /etc/issue.net
#echo >>/etc/issue
……
然后，執行下面幾行命令
#rm -f /etc/issue
#rm -f /etc/issue.net
#touch /etc/issue
#touch /etc/issue.net
也可以單獨編輯一個命令(telnet)，如修改/etc/inetd.conf
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
這樣，用戶TELNET服務器時，就不會顯示出系統版本信息等了，只顯示“login:”。

11、設置文件/etc/host.conf,防止IP欺騙

vi /etc/host.conf
===================================================
……
#Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
#We don't have machines with multipe IP addresses on the same card
(likevirtual server,IP Aliasing).
multi off
#Chesk for IP address spoofing.
nospoof on
IP Spoofing:IP-Spoofing is a security exploit that works by trichking
computers in a trust relationship that you are someone that you really aren.
//添加上面幾行來防止IP欺騙攻擊

12、禁止 su作為root

vi /etc/pam.d/su
======================================================
……
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=elain
在文件內添加如上兩行，這表示只有用戶組elain里的成員可以用su作為root
若希望用記admin能su作為root，可運行以下命令：
#usermod -G10 admin

13、禁止使用CTRL+ALT+DEL重啟服務器

vi /etc/inittab
……
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now??????? //用“#”注釋掉此行即可
然后運行：
#/sbin/init -q

14、注銷時刪除命令記錄

vi /etc/skel/.bash_logout
============================================================
rm -f $HOME/.bash_history

15、確保開啟的服務安全

常用服務方面的命令：
grep -v "#" /etc/services??????????????????????? //顯示沒有被注釋掉的服務
ps -eaf|wc -l??????????????????????????????????? //統計當前系統打開服務的總數
netstat -na (遠程后面可加ip)???????????????????? //查看當前運行的服務
netstat -an |grep LISTEN???????????????????????? //查看是否有可疑端口打開
當然，也可以執行如下命令：
shattr +i /etc/services????????????????????????? //設置為不可理性屬性
Linux啟動時先檢測腳本文件，在REDHAT下，在/etc/rc.d/rc3.d(rc5.d)下(圖形化)，腳本名字為啟動順序。
K 表示殺死進程
S 表示啟動的服務
如在啟動時禁止一個服務，只需把該服務的腳本文件的大寫“S”更改為小寫“s”
注意，以下3個服務漏洞很多，強烈建議關閉
yppasswdd(NIS服務器)
ypserv(NIS服務器)
nfs(NFS服務器)

16、LINUX防火墻安全配置

system-config-securitylevel

17、LINUX系統安全工具

Sxid:檢查系統中的suid,sgid以及沒有主人的文件
Skey:一次性口令工具
Logrotate:日志循環工具
Logcheck:日志管理工具
Swatch：日志管理工具，比logcheck實時
Ssh(openssh):提供安全的連接認證
Portsentry:反掃描工具，監視自己的udp和tcp端口
Tripwire:提供系統完整性檢查
Gnupg:對單個文件進行加密以及創建數字簽名
Hostsentry:基于主機的入侵檢測，將連接記入日志
ipchains Linux:發行版自帶的包過濾形防火墻
Anti-sniff:反嗅探工具，檢查網絡中是否有嗅探器
Freeswan:在LINUX中實現 VPN的工具
Syslog-ng:替代syslog的日志文件系統
Scandns:進行DNS檢查追蹤工具
Whisker：CGI掃描器
Snoopy:通過跟蹤execve系統調用記錄文件的命令
Krnsniff：一個基于內核的監聽模塊
Iptable:用來替代ipchains包過濾防火墻
Imsafe:通過跟蹤系統調用來檢測緩沖溢出等問題
Iplog:對來往的包進行日志記錄
Solaris designer:內核補丁，防止緩沖溢出等
Stackguard:作為補丁修補GCC，防止緩沖溢出
DTK:Honey port欺騙式防御
Antiroute:阻止和記錄基于路由的跟蹤

===========================================================
注：以上資料均收集于網絡，版權歸原作者所有，本人只是在學習時總結規納了一下，希望對LINUX安全愛好者有所幫助！
?

轉載請注明： 轉載自http://www.elain.org

本文鏈接地址:打造LINUX系統安全

本文轉自 elain2012 51CTO博客，原文鏈接:http://blog.51cto.com/elain/627441

總結

以上是生活随笔為你收集整理的打造LINUX系统安全(早期学习笔记)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。