linux服務器歷險之linux安全設置

1，刪除所有的特殊賬戶
你應該刪除所有不用的缺省用戶和組賬戶（比如lp,　sync,　shutdown,　halt,　news,　uucp,　operator,　games,　gopher等）。
刪除用戶：
[root@kapil　/]#　userdel　LP　
刪除組：
[root@kapil　/]#　groupdel　LP　
刪除系統臃腫多余的賬號：
userdel adm
userdel lp
userdel sync
userdel shutdown
userdel halt
userdel news
userdel uucp
userdel operator
userdel games
userdel gopher
userdel ftp 如果你不允許匿名FTP，就刪掉這個用戶帳號
groupdel adm
groupdel lp
groupdel news
groupdel uucp
groupdel games
groupdel dip
groupdel pppusers

第二步是刪除/etc/passwd文件中許多缺省的系統帳號。Linux提供這些帳號主要是用于許多其實極少需要的系統操作。如果不需要這些帳號，刪除它們。帳號越多，系統被入侵的可能性就越大。例如"news"帳號，如果不運行nntp新聞組服務器，就不需要該帳號（注意要更新 /etc/cron.hourly文件，因為腳本中涉及到了"news"用戶）。另外，一定要刪除"ftp"帳號，因為該帳號僅用于匿名FTP訪問。

我們還要修改/etc/ftpusers文件。任何被列入該文件的帳號將不能ftp到本系統。通常用于限制系統帳號，例如root和bin等，禁止這些帳號的FTP會話。缺省時Linux已創建了該文件。一定要確保root根用戶被包含在該文件中，以禁止root與系統的ftp會話。檢查并確認需要FTP到該防火墻的所有帳號**不**在/etc/ftpusers文件中。

另外，確保根用戶root不能telnet到系統。這強迫用戶用其普通帳號登錄到系統，然后再su成為root。/etc/securetty文件列出了root所能連接的tty終端。將tty1、tty2等列入該文件中，使root用戶只能從本地登錄到系統中。ttyp1、ttyp2等是pseudo（虛擬）終端，它們允許root遠程telnet到系統中。

最后，創建/etc/issue文件。該ASCII文本文件用于在所有telnet登錄時顯示的信息。當試圖登錄到系統中時，該文件中的警告信息將被顯示。在Linux系統中要修改/etc/rc.d/init.d/S99local腳本文件，以生成固定的/etc/issue文件。

因為缺省時Linux在每次啟動時都生成新的/etc/issue文件。

2，選擇正確的密碼
在選擇正確密碼之前還應作以下修改：
修改密碼長度：在你安裝linux時默認的密碼長度是5個字節。但這并不夠，要把它設為8。修改最短密碼長度需要編輯login.defs文件（vi　/etc/login.defs），把下面這行
PASS_MIN_LEN　　　　5　
改為
PASS_MIN_LEN　　　　8
login.defs文件是login程序的配置文件。

3、root賬戶自動注銷
在unix 系統中root賬戶是具有最高特權的。如果系統管理員在離開系統之前忘記注銷root賬戶，系統會自動注銷。通過修改賬戶中"TMOUT"參數，可以實現此功能。TMOUT按秒計算。編輯你的profile文件（vi　/etc/profile）,在"HISTFILESIZE="后面加入下面這行：
TMOUT=3600
3600，表示60*60=3600秒，也就是1小時。這樣，如果系統中登陸的用戶在一個小時內都沒有動作，那么系統會自動注銷這個賬戶。你可以在個別用戶的".bashrc"文件中添加該值，以便系統對該用戶實行特殊的自動注銷時間。
改變這項設置后，必須先注銷用戶，再用該用戶登陸才能激活這個功能。

4、取消普通用戶的控制臺訪問權限
你應該取消普通用戶的控制臺訪問權限，比如shutdown、reboot、halt等命令。
[root@kapil　/]#　rm　-f　/etc/security/console.apps/　
是你要注銷的程序名。

5、禁止系統信息暴露
當有人遠程登陸時，禁止顯示系統歡迎信息。你可以通過修改"/etc/inetd.conf"文件來達到這個目的。
把/etc/inetd.conf文件下面這行：
telnet　　stream　　tcp　　　　　nowait　root　　　　/usr/sbin/tcpd　　in.telnetd
修改為:
telnet　　stream　　tcp　　　　　nowait　　root　　　　/usr/sbin/tcpd　　in.telnetd　-h
在最后加"-h"可以使當有人登陸時只顯示一個login:提示，而不顯示系統歡迎信息。

6、修改"/etc/host.conf"文件
"/etc/host.conf"說明了如何解析地址。編輯"/etc/host.conf"文件（vi　/etc/host.conf），加入下面這行：
#　Lookup　names　via　DNS　first　then　fall　back　to　/etc/hosts.　
order　bind,hosts　
#　We　have　machines　with　multiple　IP　addresses.　
multi　on　
#　Check　for　IP　address　spoofing.　
nospoof　on　
第一項設置首先通過DNS解析IP地址，然后通過hosts文件解析。第二項設置檢測是否"/etc/hosts"文件中的主機是否擁有多個IP地址（比如有多個以太口網卡）。第三項設置說明要注意對本機未經許可的電子欺騙。

7、使"/etc/services"文件免疫
使"/etc/services"文件免疫，防止未經許可的刪除或添加服務：
[root@kapil　/]#　chattr　+i　/etc/services

8、不允許從不同的控制臺進行root登陸
"/etc/securetty"文件允許你定義root用戶可以從那個TTY設備登陸。你可以編輯"/etc/securetty"文件，再不需要登陸的TTY設備前添加"#"標志，來禁止從該TTY設備進行root登陸。

9、禁止任何人通過su命令改變為root用戶
su(Substitute　User替代用戶)命令允許你成為系統中其他已存在的用戶。如果你不希望任何人通過su命令改變為root用戶或對某些用戶限制使用su命令，你可以在su配置文件（在"/etc/pam.d/"目錄下）的開頭添加下面兩行：
編輯su文件(vi　/etc/pam.d/su)，在開頭添加下面兩行：
auth　sufficient　/lib/security/pam_rootok.so　debug　
auth　required　/lib/security/Pam_wheel.so　group=wheel　
這表明只有"wheel"組的成員可以使用su命令成為root用戶。你可以把用戶添加到"wheel"組，以使它可以使用su命令成為root用戶。

10、Shell　logging
Bash 　shell在"~/.bash_history"（"~/"表示用戶目錄）文件中保存了500條使用過的命令，這樣可以使你輸入使用過的長命令變得容易。每個在系統中擁有賬號的用戶在他的目錄下都有一個".bash_history"文件。bash　shell應該保存少量的命令，并且在每次用戶注銷時都把這些歷史命令刪除。
第一步：
"/etc/profile"文件中的"HISTFILESIZE"和"HISTSIZE"行確定所有用戶的".bash_history"文件中可以保存的舊命令條數。強烈建議把把"/etc/profile"文件中的 "HISTFILESIZE"和"HISTSIZE"行的值設為一個較小的數，比如 30。編輯profile文件（vi　/etc/profile），把下面這行改為：
HISTFILESIZE=30　
HISTSIZE=30　
這表示每個用戶的".bash_history"文件只可以保存30條舊命令。
第二步：
網管還應該在"/etc/skel/.bash_logout"　文件中添加下面這行"rm　-f　　$HOME/.bash_history"　。這樣，當用戶每次注銷時，".bash_history"文件都會被刪除。
編輯.bash_logout文件(vi　/etc/skel/.bash_logout)　，添加下面這行：
rm　-f　$HOME/.bash_history

11、禁止Control-Alt-Delete　鍵盤關閉命令
在"/etc/inittab"　文件中注釋掉下面這行（使用#）：
ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
改為：
#ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
為了使這項改動起作用，輸入下面這個命令：
[root@kapil　/]#　/sbin/init　q

12、給"/etc/rc.d/init.d"　下script文件設置權限
給執行或關閉啟動時執行的程序的script文件設置權限。
[root@kapil/]#　chmod　-R　700　/etc/rc.d/init.d/*　
這表示只有root才允許讀、寫、執行該目錄下的script文件。

13、隱藏系統信息
在缺省情況下，當你登陸到linux系統，它會告訴你該linux發行版的名稱、版本、內核版本、服務器的名稱。對于黑客來說這些信息足夠它入侵你的系統了。你應該只給它顯示一個"login:"提示符。
第一步：
編輯"/etc/rc.d/rc.local"　文件，在下面顯示的這些行前加一個"#"，把輸出信息的命令注釋掉。
#　This　will　overwrite　/etc/issue　at　every　boot.　　So,　make　any　changes　you　
#　want　to　make　to　/etc/issue　here　or　you　will　lose　them　when　you　reboot.　
#echo　""　>　/etc/issue　
#echo　"$R"　>>　/etc/issue　
#echo　"Kernel　$(uname　-r)　on　$a　$(uname　-m)"　>>　/etc/issue　
#　
#cp　-f　/etc/issue　/etc/issue.net　
#echo　>>　/etc/issue
第二步：
刪除"/etc"目錄下的"isue.net"和"issue"文件：
[root@kapil　/]#　rm　-f　/etc/issue　
[root@kapil　/]#　rm　-f　/etc/issue.net

14、更改下列文件權限，使任何人沒有更改賬戶權限：
chattr +i /etc/passwd
chattr +i /etc/shadow
chattr +i /etc/group
chattr +i /etc/gshadow

億恩科技地址(ADD)：鄭州市黃河路129號天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務器租用/服務器托管中國五強！虛擬主機域名注冊頂級提供商！15年品質保障！--億恩科技[ENKJ.COM]