TCP_WRAPPERS

　　通過 TCP_WRAPPERS，可以使服務(wù)器更好地抵制外部侵入。最好的辦法是拒絕所有主機：在“/etc/hosts.deny”文件中加入“ALL:&nbspALL@ALL, PARANOID”，然后在“/etc/hosts.allow”列出允許訪問的主機。TCP_WRAPPERS 受控于兩個文件，搜索時停在第一個匹配的地方。

　　/etc/hosts.allow

　　/etc/hosts.deny

　　步驟1

　　編輯 hosts.deny 文件（/etc/hosts.deny），加入如下行：

　　# Deny access to everyone.

　　ALL:&nbspALL@ALL, PARANOID

　　語句的意思是，除非在 allow 文件中說明允許訪問，所有服務(wù)、所有主機都被拒絕。

　　步驟2

　　編輯 hosts.allow 文件（/etc/hosts.allow），例如在文件中添加如下行：

　　ftp: 202.54.15.99 foo.com

　　對于你的客戶機來說：202.54.15.99為IP地址，foo.com為允許使用ftp的一個客戶機。

　　步驟3

　　tcpdchk 程序是tcpd wrapper配置的檢查程序。它對tcpd wrapper的配置進行檢查，并報告所發(fā)現(xiàn)的潛在的和實際存在的問題。配置完成后，運行tcpdchk 程序：

　　[Root@kapil /]# tcpdchk

　　不要顯示系統(tǒng)發(fā)行文件

　　當別人遠程登錄時，不應(yīng)該顯示系統(tǒng)發(fā)行文件。做法是在“/etc/inetd.conf”文件中更改telnet選項：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

　　改為：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

　　在末尾加“-h”標記使后臺程序不顯示任何系統(tǒng)信息，而只給用戶提供一個 login: 提示符。

　　更改“/etc/host.conf”文件

　　“/etc/host.conf”文件用來指定如何解析名稱的方法。編輯 host.conf 文件（/etc/host.conf），添加如下各行：

　　# Lookup names via DNS first then fall back to /etc/hosts.

　　order bind,hosts

　　# We have machines with multiple IP addresses.

　　multi on

　　# Check for IP address spoofing.

　　nospoof on

　　第一個選項首先通過DNS解析主機名稱，然后解析主機文件。multi 選項用于確定“/etc/hosts”文件中的主機是否有多個IP地址（多接口以太網(wǎng)）。

　　nospoof 選項指明該機器不允許假信息。

　　為“/etc/services”文件免疫

　　必須為“/etc/services”文件進行磁盤免疫，以避免對文件未經(jīng)授權(quán)的刪除或添加。使用如下命令：

　　[root@kapil /]# chattr i /etc/services

　　不接受從不同控制臺的根用戶登錄

　　“/etc/securetty”文件可以指定“root”用戶允許從哪個TTY設(shè)備登錄。編輯“/etc/securetty”文件，在不需要的tty前面加“＃”，禁用這些設(shè)備。

　　禁止任何人使用su命令

　　su命令（Substitute User，替代用戶）可以使你成為系統(tǒng)的現(xiàn)有用戶。如果不希望別人使用su進入根帳戶，或者對某些用戶限制使用“su”命令，則在“/etc/pam.d/”目錄的“su”配置文件頂部加上下文中給出的兩行代碼。

　　編輯su文件（/etc/pam.d/su），在文件頂部添加如下兩行：

　　auth sufficient /lib/security/pam_rootok.so debug

　　auth required /lib/security/Pam_wheel.so group=wheel

　　意思是，只有“wheel”組的成員可以用su命令；其中還包括了日志。你可以在wheel組中添加允許使用該命令的用戶。

　　shell日志

　　shell可存儲500個舊命令在“~/.bash_history”文件中（其中“~/”代表主目錄），這樣可以便于重復(fù)前面的長命令。系統(tǒng)中的每個帳號用戶在各自的主目錄中都有這個“.bash_history”文件。為安全起見，應(yīng)使shell存儲較少的命令，并在注銷用戶時將其刪除。

　　步驟1

　　“/etc/profile”文件中的 HISTFILESIZE 和 HISTSIZE 行決定了系統(tǒng)中所有用戶的“.bash_history”文件可容納的舊命令個數(shù)。建議將“/etc/profile”文件中的 HISTFILESIZE 和 HISTSIZE 設(shè)為比較小的數(shù)，比如30。

　　編輯 profile 文件（/etc/profile），并更改：

　　HISTFILESIZE=30

　　HISTSIZE=30

　　步驟2

　　系統(tǒng)管理員還應(yīng)在“/etc/skel/.bash_logout”文件中加進“rm -f $HOME/.bash_history”行，這樣就可以在每次用戶退出時刪除“.bash_history”文件。

　　編輯 .bash_logout 文件（/etc/skel/.bash_logout），并添加如下行：

　　rm -f $HOME/.bash_history

　　禁