Linux网络安全经验之谈
来源:asp之家 发布时间:2009-09-09 15:46:00
关于分区
一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!
为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。
关于BIOS
记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。
关于口令
口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/login.defs中参数PASS_MIN_LEN(口令最小长度)。同时应限制口令使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS(口令使用时间)。
关于Ping
既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行,这样就可以阻止你的系统响应任何从外部/内部来的ping请求。
echo 1 》 /proc/sys/net/ipv4/icmp_echo_ignore_all
关于Telnet
如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息(可以避免有针对性的漏洞攻击),你应该改写/etc/inetd.conf中的一行象下面这样:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login。
关于特权账号
禁止所有默认的 * 作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。
为删除你系统上的用户,用下面的命令:userdel username
为删除你系统上的组用户帐号,用下面的命令:groupdel username
在终端上打入下面的命令删掉下面的特权用账号:
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel mail
如果你不用sendmail服务器,就删除这几个帐号:
userdel news
userdel uucp
userdel operator
userdel games
如果你不用X windows 服务器,就删掉这个帐号。
userdel gopher
如果你不允许匿名FTP,就删掉这个用户帐号:
userdel ftp
关于su命令
如果你不想任何人能够su为root的话,你应该编辑/etc/pam.d/su文件,加下面几行:
auth sufficient /lib-
http://security.chinaitlab.com/pam_rootok-
.so debug
auth required /lib
猜你喜欢
- 百度已成长成为具有垄断优势的全球性搜索引擎。简单的结论是,如果你的网站在百度上不能获得良好的排名,那么你的网络营销策略就算是失败。有关研究表
- 巨人网络总裁刘伟(腾讯科技摄)北京时间11月26日消息,巨人网络总裁刘伟日前在该公司财报电话会议上表示,取消开宝箱对公司第三季度有影响,第四
- 一直以来都有建立自己的网站的想法,偶然看到gofreeserve提供免费的支持php和MySQL的空间服务。便想到自己经常浏览的一些知名博客
- 在Windows IIS 6.0下配置PHP,通常有CGI、ISAPI和FastCGI三种配置方式,这三种模式都可以在IIS 6.0下成功运
- 度过了经济危机最严重的时间,最近视频行业重新热闹起来。不过,我感到很纳闷——易观国际的数据说,200
- <script src="{dede:field name='phpurl'
- 在Exchange环境中,信息不能被发送的原因有很多。例如,通信线路可能出现故障,或者域名解析器(DNS)可能出现了问题而不能解析接收域。在
- 核心提示:整站优化对于搜索引擎营销来说是一个必不可少的环节,是否能够做好整站优化关系着网站搜索营销的效果的好坏,并且搜索引擎营销SEM对于网
- 1. 首页在哪里?你要确保在博客页面的顶部位置有一个明显的“首页”链接。2. 将你的logo链向你的
- 博客的未来是什么?很多专业人士都在思考这个问题,不过今天我这里要说的话题不是博客会发展成为什么样子(博客的未来一定是消亡,这是毋庸置疑的),
- C.对表的内容的一些说明 mysql> use po
- 对于一个新站来说,做友情链接是非常不错的一种推广网站的手段,只是这个链接到底该怎么做,不少人都是非常盲目的,许多站长在寻找外链时也会出现了许
- 互联网的普及早已深透到我们生活的方方面面,大家都在为互联网的飞速发展感到惊叹。今天,笔者已找不到任何一个可以离开互联网的理由。如果真的离开了
- 11月3日早间消息,花旗银行发布最新报告称,预估腾讯第三季网络游戏收入环比增长15%至14.3亿元,总收入及净利润则分别为32.8亿元及13
- 如果你正在考虑如何通过搜索引擎获得较高的流量,那么关键词一定是对你的工作非常有益的投资。无论你是想要自己做关键词的确定工作,还是雇一个专业人
- 在windows 2003 server中编写asp代码,你可能会碰到下面的错误提示“不允许的父路径”,涉及到的代码有:Server.Map
- 大家好,我是秦剑,这次给大家介绍的是我对“用户体验”与搜索引擎排名之间的关系的一些观点。因为时间关系,可能文章的某些句子不通顺,请各位见谅,
- 齐毛鸭在使用dedecms时发现,每一个栏目的列表页的title是不能直接优化的。举个例子,某栏目的名字是“文学天地”,但在title中我们
- 网站标题标签在搜索中的具有重要意义,搜索引擎是通过关键词来选择网站的,而网站的标题是搜索引擎寻找关键词的主要目的地。建站三个多月以来,对于网
- 支付宝(中国)网络技术有限公司作为国内最大的独立第三方支付平台,为广大网民提供的不仅仅是担保交易服务。随着电子商务化进程的加快,支付宝为将电