您当前的位置:首页 > 学海无涯 > 信息安全网站首页信息安全
liunx安全攻略
发布时间:2015-02-24作者:佚名
一、BIOS
你应该总是在系统启动的时候设置一个BIOS密码和禁用从CD-ROM和软盘引导, 这将防止一些人未经允许访问你的系统和更改BIOS设置.
二、SSH安全
SSH 是一个协议,利用它可以登录到一个远程系统或远程执行系统命令, 默认允许root登录,并且sshv1 存在缺陷,我们应该在 sshd_config禁止root访问和使用sshv2 非22端口优先登陆普通账户来让ssh更加安全。
方法:
1、增加普通账户XXXX并设置密码
#adduser XXXX #passwd XXXX
2、允许XXXX使用su切换root
添加sudoers文件的写权限。也就是输入命令"chmod u+w /etc/sudoers"。
编辑/etc/sudoers文件。也就是输入命令"vim /etc/sudoers",进入编辑模式,找到这一 行:"root ALL=(ALL) ALL"在起下面添加"XXXX ALL=(ALL) ALL",然后保存退出。
撤销文件的写权限。也就是输入命令"chmod u-w /etc/sudoers"。
3、限制SSHD
#vim /etc/sshd/sshd_config
把协议改为2
PermitRootLogin =no
Port 22改为其他端口 (注意防火墙需要有线开启相应端口,且最好限定IP访问使用密匙访问)
重启sshd/etc/rc.d/init.d/sshdrestart
4、此时只能使用普通账户XXXX登陆SSH,登陆后使用
#su root
来切换至root账户管理。
三、禁用telnet
早期的的Linux默认开启telnet服务,telnet,ftp,rlogin都是明文传输的协议是容易被嗅探到的,这就是为什么推荐使用安全的版本(sftp,scp,ssh)的原因 。如果你必须要使用telnet,那么至少应该隐藏banner信息 。
方法:
#vim /etc/xinetd.d/telnet
disable=yes
四、禁用代码编译
你可以禁用代码编译并且只把编译的权限分配给一个用户组
方法:
添加编译用户组 /usr/sbin/groupaddcompiler ,cd/usr/bin
把常见的编译器所属组赋给编译用户组
chgrp compiler *cc* chgrp compiler *++* chgrp compiler ld chgrp compiler as
设置mysqlaccess 的访问
chgrp root mysqlaccess
设置权限
chmod 750 *cc* chmod 750 *++* chmod 750 ld chmod 750 as chmod 755mysqlaccess
五、Proftp
方法:
修改/etc/proftpd.conf
AddRootLogin off
重启proftpd
/sbin/service proftpdstop /sbin/service proftpdstart
六、root用户登陆通知
当一个具有root权限的用户登录的时候发mail
方法:
编辑/root 下的.bashrc ,当有root权限的用户登录时发生email 通知
echo 'ALERT -Root Shell Access (Server Name) on:' `date``who`| mail -s "Alert:RootAccess from `who| cut -d"("-f2| cut -d")"-f1`"your@email.com关键字词:linux,安全配置,安全
下一篇:Linux之ssh登录报警