linux服务器安全
来源:阿狼博客 发布时间:2009-11-24 15:10:00
一、系统安全记录文件
操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果您的系统是直接连到Internet,您发现有很多人对您的系统做Telnet/FTP登录尝试,可以运行“#more /var/log/secure grep refused”来检查系统所受到的攻击,以便采取相应的对策,如使用SSH来替换Telnet/rlogin等。
二、启动和登录安全性
1.BIOS安全IXPUB
设置BIOS密码且修改引导次序禁止从软盘启动系统。
2.用户口令
用户口令是Linux安全的一个基本起点,很多人使用的用户口令过于简单,这等于给侵入者敞开了大门,虽然从理论上说,只要有足够的时间和资源可以利用,就没有不能破解的用户口令,但选取得当的口令是难于破解的。较好的用户口令是那些只有他自己容易记得并理解的一串字符,并且绝对不要在任何地方写出来。
3.默认账号
应该禁止所有默认的 * 作系统本身启动的并且不必要的账号,当您第一次安装系统时就应该这么做,Linux提供了很多默认账号,而账号越多,系统就越容易受到攻击。
可以用下面的命令删除账号。
[root@server /]# userdel 用户名
或者用以下的命令删除组用户账号。
[root@server /]# groupdel username
4.口令文件
chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。
[root@server /]# chattr +i /etc/passwd
[root@server /]# chattr +i /etc/shadow
[root@server /]# chattr +i /etc/group
[root@server /]# chattr +i /etc/gshadow
5.禁止Ctrl+Alt+Delete重新启动机器命令
修改/etc/inittab文件,将“ca::ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉。然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限,运行如下命令:
[root@server /]# chmod -R 700 /etc/rc.d/init.d/*
这样便仅有root可以读、写或执行上述所有脚本文件。
6.限制su命令
如果您不想任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
这时,仅isd组的用户可以su作为root。此后,如果您希望用户admin能够su作为root,可以运行如下命令:
[root@server /]# usermod -G10 admin
7.删减登录信息
默认情况下,登录提示信息包括Linux发行版、内核版本名和服务器主机名等。对于一台安全性要求较高的机器来说这样泄漏了过多的信息。可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
# echo “” 》 /etc/issue
# echo “$R” 》》 /etc/issue
# echo “Kernel $(uname -r) on $a $(uname -m)” 》》 /etc/issue
# cp -f /etc/issue /etc/issue.net
# echo 》》 /etc/issue
然后,进行如下操作:
[root@server /]# rm -f /etc/issue
[root@server /]# rm -f /etc/issue.net
[root@server /]# touch /etc/issue
[root@server /]# touch /etc/issue.net
8.设置Grub密码
[root@server share]# grub-md5-crypt
Password: //输入密码
Retype password: //输入确认密码
$1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0
vim /boot/grub/grub.conf
添加一行:password $1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0
猜你喜欢
- Windows Server 2008系统事件日志功能记录了服务器系统中发生的各种重要事情,比方说网络访问、系统登录、程序运行、资源调用等,
- PHPCMS V9的评论在用户体验方面,并不让人多么满意,更多的用户希望能够有用户体验更好的Ajax版本的评论出现,但一直也未见PHPCMS
- 4、TLS支持通过修改/usr/lib/ssl/misc/CA.pll脚本实现,以下修改后CA1.pl和未修改CA.pl之间的对
- 今天给Godaddy主机用户介绍如何使用htaccess来管理PHP文件的扩展名,需要注意的是:此内容仅适用于运行HostingConfig
- 如果你在词典中查询Viking这个单词的含义,你会发现它是“海盗/北欧海盗”的含义,它产品网页上那个
- 谷歌推出新型扩展式广告北京时间3月5日晚间消息,据国外媒体报道,谷歌AdSense网络广告团队今天宣布,推出新型“扩展式广告”(expand
- 本人文采不好,才小学文化,接触做网站已经快两个年头了,曾经也算月收入过万,现在ADS联盟在国内已经快不行了 所以收入也就上班族那么点了。写的
- 以前在windows下面做过web服务器,但是还从来没有在linux下做过。今天,终于下定了决心,试着做一个,顺便学点知知识。在window
- 北京时间11月5日消息,据国外媒体报道,因谷歌试图构建其在互联网搜索领域的主导地位,并希望向其它领域扩展,其第三季度游说费用首次超过100万
- 越来越多的网站和博客开始投放Google AdSense广告,随之而来的是每个发布者的喜悦和烦恼。“今天的广告费又多了”,“单价竟然上涨了0
- 大洋彼岸的Alexa给国内互联网究竟带来的是什么?我觉得可以用“爱”、“恨”、“情”、“仇”四字来形容。 “爱”,许多网站因为做
- 在日常操作中,我们经常要输入各种各样的密码,例如开机时要输入密码,QQ时也要先输入密码,假如你忘记了这些密码,就有可能用不了机器、打不开文件
- 众所周知,服务器是计算机网络中最重要的资源,对其安全要求很高。如果我们正在运行的服务器没有进行正确的谨慎配置,就可能将大量的有用信息泄漏出去
- IIS团队刚刚发表了IIS7在Window Server 2008 R2 beta中的新改进.Windows Server 2008 R2包
- 从 www.godaddy.com 登录后 选择Domains 选项下的My domains,如下图: 或者另外的一种办法:进入我
- 在Windows XP IIS 中装一个PHP玩玩,用于本机进行php程序学习、测试。PHP下载:http://windows.php.ne
- 自从唐骏先生出任金和软件董事之后,媒体记者问得我最多的问题是:金和软件接下来还要做什么?我要说的是,金和有很多事情会引起大家关注,有的事情还
- Alexa排名尽管存在着大量的争议,但是在没有更好的工具之前,仍然是我们衡量一个网站流量状况和影响力的一个重要指标,周围朋友讨论最多的问题就
- iWeb SNS是聚易(Jooyea)旗下iWebAx家族首款开源软件产品,自iWeb SNS beta版发布以来,收到不少热心用户的反馈,
- 三月一次的PR地震最近震完了,虽然我并不在意PR,但做前端的,多少也得了解这东东。我首页的PR从三个月前的没有跳到了5,首先感谢所有把PR分