资深Linux系统管理员网络安全经验谈(3)
来源:asp之家 发布时间:2009-09-20 20:08:00
关于账户注销
如果系统管理员在离开系统时忘了从root注销,系统应该能够自动从shell中注销。那么,你就需要设置一个特殊的 Linux 变量“tmout”,用以设定时间。同样,如果用户离开机器时忘记了注销账户,则可能给系统安全带来隐患。你可以修改/etc/profile文件,保证账户在一段时间没有操作后,自动从系统注销。 编辑文件/etc/profile,在“histfilesize=”行的下一行增加如下一行:
tmout=600
则所有用户将在10分钟无操作后自动注销。注意:修改了该参数后,必须退出并重新登录root,更改才能生效。
关于系统文件
对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadown._、inetd.conf、services和lilo.conf等可修改其属性,防止意外修改和被普通用户查看。 如将inetd文件属性改为600:
# chmod 600 /etc/inetd.conf
这样就保证文件的属主为root,然后还可以将其设置为不能改变:
# chattr +i /etc/inetd.conf
这样,对该文件的任何改变都将被禁止。 你可能要问:那我自己不是也不能修改了?当然,我们可以设置成只有root重新设置复位标志后才能进行修改:
# chattr -i /etc/inetd.conf
关于用户资源
对你的系统上所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数,内存数量等。例如,对所有用户的限制, 编辑/etc/security/limits.con加入以下几行:
* hard core 0
* hard rss 5000
* hard nproc 20
你也必须编辑/etc/pam.d/login文件,检查这一行的存在:
session required /lib/security/pam_limits.so
上面的命令禁止core files“core 0”,限制进程数为“nproc 50“,且限制内存使用为5M“rss 5000”。
关于NFS服务器
由于NFS服务器漏洞比较多,你一定要小心。如果要使用NFS网络文件系统服务,那么确保你的/etc/exports具有最严格的存取权限设置,不意味着不要使用任何通配符,不允许root写权限,mount成只读文件系统。你可以编辑文件/etc/exports并且加:
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
其中/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。最后为了让上面的改变生效,还要运行/usr/sbin/exportfs -a。
猜你喜欢
- 对一个行业类门户网站来说,如果保持一个稳定的流量是个很重要的问题。很多类似的站点都存在着今天IP5000,明天有可能IP2000,后天100
- 昨天通过网络会议参加的“Google AdSense合作伙伴在线沙龙”里面,Google AdSense的相关专家讲解了AdSense的一些
- 为下一代软件的设计模式和商业模板2001年秋季网络泡沫的破灭标志着互联网的一个转折点。很多人得出结论说,互联网被过分夸大了,实际上,泡沫和随
- Sendmail是在Unix/Linux环境下十分流行媛的邮件发送服务程序。但是其配置十分繁琐,问题也很多。本文解决了不能发信的一个问题。问
- 我知道最近大家都听说了老版本的 Wordpress 被攻击的消息。如果你还没有升级你的博客到最新最好的 Wordpress 版本,现在就花点
- 三、添加用户信箱邮件服务器安装设置完毕后,接下来进行用户的创建,即个人邮箱的建立。1、添加用户在MDaemon主窗口的Accounts菜单中
- 北京时间10月22日消息,据国外媒体报道,美国股东劳伦斯·格拉泽(Lawrence Glaser)今天向位于曼哈顿的地方法院起诉了九城(Na
- 对于提高自己站点的访问量,最有效的办法是,在做好站点的同时,不放过每一次的宣传机会,永远记住,即使是滴水也能装满瓶子,而当我们容易看到某些经
- perl是一种功能非常强大的脚本语言。主要用于文本的处理,程序员还可以通过perl脚本使用系统调用。如果程序编写的不好,就会为攻击者闯入服务
- 很多新站长都在为自己的网站推广而头痛,寻求友情链接,提交网站目录,搜索引擎,忙乎了很久也不见什么效果。下面就我对自己的网站推广和公司网站推广
- 10月10日消息,据南方都市报报道,新闻出版总署有关负责人昨日表示,10月份新闻出版总署将集中力量联合组织一次对网络游戏审批和运营服务的全面
- 第一步:打开程序目录dede/templets/soft_add.htm 和 soft_edit.htm找到下面这句if(endNum>
- 对于Accessible search,网站管理员们最经常问的一个问题就是:我怎样才能提高我的网站在Accessible Search上的排
- 随着阿里妈妈淘宝客推广的发展,以及官方的各类宣传活动,淘宝客推广已经被越来越多的人们知道。因为听说能赚钱,很多的新手加入到这个队伍中来。其实
- 设置IP安全策略将木马阻杀在端口外“木马”一个让用户头疼的字眼,它们悄然无声的进入我们的系统,叫人防不胜防。当木马悄悄打开某扇“方便之门”(
- 1. Connected. Waiting for response. 220 Serv-U FTP Server v4.0 fo
- 喜欢看电影吗?有收藏电影的习惯吗?网上看电影,资源太多,纵使再大的硬盘都会很快装满,你是否在为无法保存自己喜爱的影片而发愁呢?我想大部分着迷
- 时间过的真快,不知不觉大二的生活块接近尾声啦,跟着站长站Chinaz的前辈学习时间也有6个多月啦,在这里也写写自己的网赚历程吧,本人第一次写
- Discuz!NT即将推出最新的版本。从官方了解到,作为康盛创想(Comsenz)旗下的核心产品,Discuz! NT 3.0将携带四大功能
- D.配置postfix.1.主要是main.cf的配置。virtual_alias_maps=mysql:/etc/postfix/mysq