您当前的位置：首页 > 学海无涯 > 信息安全网站首页信息安全

liunx安全攻略

发布时间：2015-02-24作者：佚名

七、history 安全

    这是一个避免删除.bash_history或重定向到/dev/null 的好主意 ，因此他不能清除或删除他最后执行的命令 

方法： 

chattr +a .bash_history 
chattr +i  .bash_history

或者：

ln -s /dev/null /root/.bash_history
ln -s /dev/null /root/.mysql_history

获取用户的人会知道他的历史命令锁定并且要同意才可以使用服务 

八、使用欢迎信息

   你必须提供一些信息让攻击者知道该系统不对公众开放。 在国外有类似案件，攻击者入侵一个系统并且系统没有这些信息， 这种情况下法院不能做任何裁决，因为系统说welcome 。

方法：  

删除/etc/redhat-release  

编辑/etc/issue /etc/motd并显示警告信息 

九、禁用所有特殊账户

   你应该从系统中删除所有默认用户和组 ，例如news,lp,sync,shutdown,uucp,games,halt 等  

方法：  

删除账户userdel name  

删除组 groupdel name  

锁定特定账户：/usr/sbin/usermod -L -s  /bin/false user 

十、chmod危险文件 

这可能是限制不具有root权限的用户执行下面这些命令的好主意  

方法： 

chmod700/bin/ping  
chmod700/usr/bin/finger 
chmod700/usr/bin/who  
chmod700/usr/bin/w  
chmod700/usr/bin/locate  
chmod700/usr/bin/whereis  
chmod700/sbin/ifconfig 
chmod700/usr/bin/pico  
chmod700/usr/bin/vi  
chmod700/usr/bin/which  
chmod700/usr/bin/gcc  
chmod700/usr/bin/make  
chmod700/bin/rpm

十一、选择一个安全的密码

   在/etc/login.defs文件中定义了shadow 密码的具体配置，认密码长度最短为5字符，你应该至少设置为8  

方法：  

vi/etc/login.defs

 


PASS_MIN_LEN 8 

十二、关闭不用的服务

   你应该把任何未使用的服务关闭，可以在/etc/xinetd.d 文件夹里找到 

方法：

cd/etc/xinetd.d 
grep disable *

这将显示所有服务开启或关闭的状态，然后根据需要来开启或关闭服务  

十三、检测监听端口 

    检测是否有必要开放端口是非常重要的  

方法：  

netstat-tulp或  

lsof-i-n| egrep 'COMMAND|LISTEN|UDP' 

十四、检测端口和服务

    重点是关闭在系统启动时打开的不需要的端口 

方法：  

对于正在运行的服务，可以执行chkconfig-list | grep on  

禁用服务可以执行chkconfigservicenameoff  

然后停止正在运行的服务:/etc/init.d/service stop 

十五、删除不用的RPM包

    首先应该清楚你的系统的作用，它是web,mail,file服务器或其他 ，然后觉得哪些包是必要的，之后删除不需要的软件包 

方法： 

首先列出安装列表rpm-qa  

更详细的信息rpm-qi rpmname  

还可以检测删除包可能出现的冲突rpm-e--test rpmname  

十六、安装配置防火墙和定时更新系统补丁

#yum iptables*

#vim /etc/sysconfig/iptables

增加：允许SSH端口和网站80端口等等 

*filter

:INPUT ACCEPT [0:0]

:FORWARD ACCEPT [0:0]

:OUTPUT ACCEPT [0:0]

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

-A INPUT -p icmp -j ACCEPT

-A INPUT -i lo -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT

-A INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT

-A INPUT -j REJECT --reject-with icmp-host-prohibited

-A FORWARD -j REJECT --reject-with icmp-host-prohibited

COMMIT 

#/etc/init.d/iptables restart 

 

更新系统补丁

# yum update

 2/3   首页 上一页 1 2 3 下一页 尾页