Linux操作系统服务器上进行安全配置
来源:asp之家 发布时间:2009-09-23 19:55:00
众所周知,网络安全是一个非常重要的课题,而服务器是网络安全中最关键的环节。Linux被认为是一个比较安全的Internet服务器,作为一种开放源代码操作系统,一旦Linux系统中发现有安全漏洞,Internet上来自世界各地的志愿者会踊跃修补它。然而,系统管理员往往不能及时地得到信息并进行更正,这就给黑客以可乘之机。相对于这些系统本身的安全漏洞,更多的安全问题是由不当的配置造成的,可以通过适当的配置来防止。服务器上运行的服务越多,不当的配置出现的机会也就越多,出现安全问题的可能性就越大。对此,下面将介绍一些增强Linux/Unix服务器系统安全性的知识。
一、系统安全记录文件
操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行"#more/var/log/secure greprefused"来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。
二、启动和登录安全性
1.BIOS安全
设置BIOS密码且修改引导次序禁止从软盘启动系统。
2.用户口令
用户口令是Linux安全的一个基本起点,很多人使用的用户口令过于简单,这等于给侵入者敞开了大门,虽然从理论上说,只要有足够的时间和资源可以利用,就没有不能破解的用户口令,但选取得当的口令是难于破解的。较好的用户口令是那些只有他自己容易记得并理解的一串字符,并且绝对不要在任何地方写出来。
3.默认账号
应该禁止所有默认的 * 作系统本身启动的并且不必要的账号,当您第一次安装系统时就应该这么做,Linux提供了很多默认账号,而账号越多,系统就越容易受到攻击。
可以用下面的命令删除账号。
#userdel用户名
或者用以下的命令删除组用户账号。
#groupdelusername
4.口令文件
chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。
#chattr+i/etc/passwd
#chattr+i/etc/shadow
#chattr+i/etc/group
#chattr+i/etc/gshadow
5.禁止Ctrl+Alt+Delete重新启动机器命令
修改/etc/inittab文件,将"ca::ctrlaltdel:/sbin/shutdown-t3-rnow"一行注释掉。然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限,运行如下命令:
#chmod-R700/etc/rc.d/init.d/*
这样便仅有root可以读、写或执行上述所有脚本文件。
6.限制su命令
如果您不想任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:
authsufficient/lib/security/pam_rootok.sodebug
authrequired/lib/security/pam_wheel.sogroup=isd
这时,仅isd组的用户可以su作为root。此后,如果您希望用户admin能够su作为root,可以运行如下命令:
#usermod-G10admin
7.删减登录信息
默认情况下,登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。
#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou
#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.
#echo"">/etc/issue
#echo"$R"》/etc/issue
#echo"Kernel$(uname-r)on$a$(uname-m)"》/etc/issue
#cp-f/etc/issue/etc/issue.net
#echo》/etc/issue
然后,进行如下操作:
#rm-f/etc/issue
#rm-f/etc/issue.net
#touch/etc/issue
#touch/etc/issue.net
猜你喜欢
- 这两天破天荒地做了另外一件事情:把托管在上海华数漕宝路机房达2年之久的差不多有200G资料的服务器给全部格式化了,然后换成了centos。很
- 北京时间10月16日消息,据国外媒体报道,Mozilla昨日向微软对欧盟反垄断机构提议的“浏览器选择屏&rdqu
- 近日,澳洲电讯宣布了收购皓辰传媒及泡泡网两家公司55%股份的消息,皓辰传媒旗下拥有IT168和Che168两家网站,而泡泡网旗下则拥有 *
- 首先说明一下:我是广西的!所以我备案BBS也是按照广西通信管理局的要求进行备案的!也许每个地方的要求都会有少许不同!现在我将我备案的心得和材
- Apache 的虚拟主机就是在一台服务器上运行多个网站,每个虚拟主机都可以绑定独立的域名,为这些域名可以指定单独的目录,访问这些域名的时候,
- 1.在Workstation中更改虚拟机硬件版本在Workstation中可以更改虚拟机的硬件版本,以适应其他版本的Workstation或
- Apache服务器已经内置用户验证机制,大家只要适当的加以设置,便可以控制网站的某些部分要用户验证。大家只要跟着我一步步做下来就应该能轻松实
- Godaddy主机用户如果想要转移域名,还是有条件的,域名转移条件如下:1.只有域名的注册人或管理联系人有权提出转入申请;2.域名在原注册商
- 很多人都使用BSP(博客托管服务)来托管自己的博客,在选择中国服务商的时候,需要考虑很多因素,其中第一重要的就应该是网站稳定性,毕竟,如果人
- 会员注册信息主要在 dede_member 表中系统/SQL命令行工具查询表中有多少会员 select * from dede_member
- 在博客中加入微博的内容,向访问博客的用户展示微博个人信息、最新发表的微博消息以及最新的若干位听众,并可通过点击查看微博消息,从而 吸引他人收
- 1、打开httpd.conf,查找Listen:80,在下面一行加入Listen:8080;2、查找#Include conf/extra/
- 最近一直都比较忙,所以也没有时间接各种各样的需求,WordPress 折腾得也少了,现在 WordPress 都已经升级到 3.2.1 了,
- 网易邮箱最近收不到GoDaddy发来的邮件,如果谁用的是网易邮箱,最好尽快修改到Gmail,QQ,foxmail,msn,live邮箱网易邮
- 在springboot项目启动有三种方式:1、运行主方法程序2、使用命令mvn spring-boot:run 在命令行运行3、使用 mvn
- 今天是值得庆祝和纪念的一天,对于我个人以及亿玛客网络营销学院来说都算是。因为今天我在Chinaz上投稿那篇文章成首页头条新闻了,这是写博以来
- 有了这些理论的基础就可以分析一下ajax的具体实现了,下面就以注册过程中的检查用户名在数据库是不是存在并给用户提示这样一个ajax过程进行全
- 由于中文点击网赚由于开站的成本比较低,开站比较容易,但是前期的投入比较大,如果没有更多的后续资金做保证、或者网站没有稳定的收入来源,网站的倒
- 百度的每一次变动都揪动着站长们的心,大部分网站60%以上的流量来源于百度等搜索引擎。正因为百度有这么大的魅力,所以有千万的站长都在研究探索百
- 很多人都要问,怎么提高关键词的排名,其实提高关键词的排名不是一朝一夕的事情。下面是我总结的一些方法,如果你确定把这些都做好了,那么你的排名应