Linux网络安全经验之谈
来源:asp之家 发布时间:2009-09-09 15:46:00
关于分区
一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!
为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。
关于BIOS
记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。
关于口令
口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/login.defs中参数PASS_MIN_LEN(口令最小长度)。同时应限制口令使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS(口令使用时间)。
关于Ping
既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行,这样就可以阻止你的系统响应任何从外部/内部来的ping请求。
echo 1 》 /proc/sys/net/ipv4/icmp_echo_ignore_all
关于Telnet
如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息(可以避免有针对性的漏洞攻击),你应该改写/etc/inetd.conf中的一行象下面这样:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login。
关于特权账号
禁止所有默认的 * 作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。
为删除你系统上的用户,用下面的命令:userdel username
为删除你系统上的组用户帐号,用下面的命令:groupdel username
在终端上打入下面的命令删掉下面的特权用账号:
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel mail
如果你不用sendmail服务器,就删除这几个帐号:
userdel news
userdel uucp
userdel operator
userdel games
如果你不用X windows 服务器,就删掉这个帐号。
userdel gopher
如果你不允许匿名FTP,就删掉这个用户帐号:
userdel ftp
关于su命令
如果你不想任何人能够su为root的话,你应该编辑/etc/pam.d/su文件,加下面几行:
auth sufficient /lib-
http://security.chinaitlab.com/pam_rootok-
.so debug
auth required /lib
猜你喜欢
- 腾讯QQ密保卡是腾讯推出的一项帐号安全保护服务。它是一个记录着10行8列数字的卡片,在执行敏感操作(如在幻想游戏中转让装备、修改QQ密码)时
- 1. proftpd建立hostuser/hostuser帐号,所有用户均映射到该帐号。htdocs/hosts 目录属主也为hostuse
- 本文总结了Linux添加或者删除用户和用户组时常用的一些命令和参数。废话不多说,下面我们来看一下。1、建用户:adduser phpq&nb
- 网站做完之后,接下来的事情就是发布了,那么,该如何用IIS发布到本地局域网呢?一、IIS安装首先,要安装IIS,IIS不需要去网
- 随着网站的日益增多,统计系统的重要性已经凸现出来,本文选择了站长常用的或是很有特色的几个网站统计系统,并进行测试和分析,希望能给站长一些参考
- 拒绝服务器重新启动一般情况下,在Windows 2003 Server系统中安装完补丁程序后,系统总会提示要重新启动一下服务器。可是许多朋友
- 首先介绍一下我电影站的程序,市场上流行的主要是马克斯电影程序和搜一次电影程序,大部分都使用这两个电影程序,但是我选择了马克斯程序因为他的程序
- 上载了文档,为什么网站显示不出来呢? 如果你上载网站内容后却看不到你的网站,检查如下事项。第一、要是你的网站内容正常显示,你必须要把文档上载
- 很多朋友可能是空间也就是虚拟主机,自己就没有权限来管理apache的httpd.conf文件了,自然就不太可能可以在这上面写静态规则了,下面
- 清理docker 占用空间,volume挂载过大,清除镜像,容器,挂载数据1.问题我在 用docker安装的es使用过程中,发现内存沾满了,
- 10月21日早间消息(常山)美国芯片公司Marvell推出ARMADA系列应用处理器。该系列产品专为新一代ARM指令集智能手机、智能本、消费
- “网页游戏是我们最先叫起来的”,孙文俊这样对腾讯科技说,“最初的叫法是WebGame或浏览器游戏。”孙文俊05年底创立了一个《OGame银河
- 测绘之家是我一个朋友的小站。说它小是因为它的定位服务范围小,只是针对一个很小的专业的人才网站。在帮朋友建站推广这段时间,其在该专业主流搜索关
- 国外安全研究人员最近发现,在Google上已经搜索到大量包含恶意软件的页面,数量达到10万以上,并感染了部分报纸网站、警察部门和其它大型机构
- 前言当我们需要对应用程序进行系能分析时,我们通常可以使用perf或者火焰图。 但是这些工具通常只能定性问题,发现那些函数占用cpu较多,需要
- 谈论URL的资料不少,这里我将以往资料做个总汇1、URL的长度在URL里最好不要超过3-5个关键词,Google Matt Cutts 说如
- V5MALL全线免费,再推网上商城炙不久之前相续在上海豫园商城、青岛特色街取得辉煌战果的上海威博网络技术有限公司,再其V5SHOP网店系统开
- 问题背景:矿秘书网的历史遗留问题,刚开始由于各种问题,一些动态页面都是用了?id=参数的形式,对seo/seo.html" tar
- 本文为大家详细说下VMware虚拟机NAT配置过程,供大家参考,具体内容如下NAT全称Network Address Translation
- 今天和妈妈、大福一起去逛街,5小时。大福买了粉色的T恤,我买了粉色的凉鞋,妈妈买了粉色的套装。我们还买了很多吃的,每个人都知道另外的人喜欢吃