资深Linux系统管理员网络安全经验谈
来源:asp之家 发布时间:2009-09-20 20:08:00
最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。
关于分区
一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!
为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如 log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免 root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。
关于BIOS
记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。
关于口令
口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/login.defs中参数PASS_MIN_LEN(口令最小长度)。同时应限制口令使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS(口令使用时间)。
关于Ping
既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行,这样就可以阻止你的系统响应任何从外部/内部来的ping请求。
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
关于Telnet
如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息(可以避免有针对性的漏洞攻击),你应该改写/etc/inetd.conf中的一行象下面这样:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login。
猜你喜欢
- 话锋一转就到了系统权限设置与安全配置的实际操作阶段 系统设置网上有一句话是"最小的权限+最少的服务=最大的安全"。此句基
- 有时在博客评论和论坛里看到有朋友说我们写的SEO技巧不够具体,感觉无从下手,这样的问题经常让分享技巧的人也有点无奈,不知道该具体到什么程度。
- 网易科技讯 5月26日消息,据国外媒体报道,近日一则Twitter消息透露,苹果 * iPhone将支持视频聊天功能。据了解,这一结论是广大
- 随着百度有啊的名品频道的正式上线,百度关于建立BTOC电子商城网站实施战略也步入了正式运营阶段;如果网站运营成功,此举将为百度平台价值提升起
- 12月21日消息,英特尔(博客)今日宣布推出新一代凌动处理器。据悉,该款处理器功能集成显卡内直接嵌入到CPU里,从而改进操作,让上网本和凌动
- 呵呵,前一阵子,asp之家应该也被百度降权了,2天时间收录由原来的两千多页到只留一个首页,很郁闷。后来也看了很多这方面的文章,有的说换域名,
- 向导秘诀:要确定通过取消不必要的系统服务所节约的内存空间,需要使用Windows任务管理器,以下为操作步骤:在取消系统服务前重启系统并不要启
- 最近发现百度搜索结果与地域有关系,不同地域出现不同的结果,我们先看两个截图。1、在深圳搜深圳地图:注意第五个是edushi的深圳地图站,第六
- Content Design(内容设计)即涉及产品需求也涉及到(产品和用户)互动过程中的具体环节。大多数团队中只有PM才会涉及到相关工作,一
- Exchange 2000 Server中的Recipient Policies是一项重要的功能,它制定了收件人的邮箱地址,其中包括:X.4
- 什么是 POP3POP3 (Post Office Protocol 3) 即邮局协议的第 3 个版本,它规定怎样将个人计算机连接到 Int
- 10月14日下午消息,继数月前推出芒果手机游戏乐园之后,湖南卫视金鹰网又推出“芒果游戏乐园”的网络游
- FTP(FileTransferProtocol)是文件传输协议的简称。FTP的作用正如其名所示:FTP的主要作用,就是让用户连接上一个远程
- 打开:hack/toolcenter/require/defend.php整个文件内容替换为一下代码:<?php !function_
- 个人化搜索给传统SEO(搜索引擎优化)带来的冲击是全方位的,虽然其影响将在今后的时间内逐渐显现出来,目前过早地对其下任何结论都显得草率,但无
- - 关于广告格式大小作为连接发布商和广告主的桥梁,互联网广告格式一直是整个行业关注的焦点。据不完全统计,目前中国互联网广告形式过于繁杂,正在
- Godaddy主机用户怎样使用File Manager删除一个目录呢?下面我来简单的讲解下:首先、 登陆你的Account Manager.
- 个人网站,通常意义上说是以个人的名义,单个人或几个人小作坊做的网站,也从另外的诠释上泛指草根网站。个人网站不缺创意,不缺流量,不缺技术,不缺
- 实现方法: 第一步:channelunit.func.php中添加如下函数 //参数说明:第1个参数是从信息表里读取出来的类别ID,第2个参
- 国防部网站截图对话嘉宾:国防部网站总编辑 季桂林【核心阅读】国防部新闻事务局设立、新闻发言人亮相…&