亚洲韩日午夜视频,欧美日韩在线精品一区二区三区,韩国超清无码一区二区三区,亚洲国产成人影院播放,久草新在线,在线看片AV色

您好,歡迎來到思海網(wǎng)絡(luò),我們將竭誠為您提供優(yōu)質(zhì)的服務(wù)! 誠征網(wǎng)絡(luò)推廣 | 網(wǎng)站備案 | 幫助中心 | 軟件下載 | 購買流程 | 付款方式 | 聯(lián)系我們 [ 會(huì)員登錄/注冊(cè) ]
促銷推廣
客服中心
業(yè)務(wù)咨詢
有事點(diǎn)擊這里…  531199185
有事點(diǎn)擊這里…  61352289
點(diǎn)擊這里給我發(fā)消息  81721488
有事點(diǎn)擊這里…  376585780
有事點(diǎn)擊這里…  872642803
有事點(diǎn)擊這里…  459248018
有事點(diǎn)擊這里…  61352288
有事點(diǎn)擊這里…  380791050
技術(shù)支持
有事點(diǎn)擊這里…  714236853
有事點(diǎn)擊這里…  719304487
有事點(diǎn)擊這里…  1208894568
有事點(diǎn)擊這里…  61352289
在線客服
有事點(diǎn)擊這里…  531199185
有事點(diǎn)擊這里…  61352288
有事點(diǎn)擊這里…  983054746
有事點(diǎn)擊這里…  893984210
當(dāng)前位置:首頁 >> 技術(shù)文章 >> 文章瀏覽
技術(shù)文章

深入分析Linux 系統(tǒng)深度安全加固

添加時(shí)間:2011-1-9  添加: admin 

Linux 的系統(tǒng)安全不容忽視.然而系統(tǒng)加固又不是一件很容易的事.本文作者簡單介紹了一下 Linux 系統(tǒng)深度安全加固.

★ Linux 系統(tǒng)深度安全加固

1. 安裝和升級(jí)
盡量選用最新的 Linux 發(fā)行版本,安裝前拔掉網(wǎng)線,斷開物理連接,安裝時(shí)建議用 custom 自定義方式安裝軟件包,數(shù)量以少為好,一般來說服務(wù)器沒有必要安裝 X-windows,在 lilo/grub 引導(dǎo)器中加入口令限制,防止能夠物理接觸的惡意用戶因?yàn)?Linux 安裝光盤的 rescue 模式可以跳過這個(gè)限制,所以還要給bios加上密碼或服務(wù)器機(jī)箱上鎖 /var, /home, /usr, /root 等目錄用獨(dú)立的物理分區(qū),防止垃圾數(shù)據(jù)和日志填滿硬盤而導(dǎo)致 D.o.S 攻擊.

root 賬號(hào)給予強(qiáng)壯的口令.

安裝完畢立即用 up2date 或 apt 升級(jí)系統(tǒng)軟件,有時(shí)升級(jí)內(nèi)核也是必要的,因?yàn)閮?nèi)核出現(xiàn)問題同樣會(huì)給攻擊者提供機(jī)會(huì)Apt 是 Debian GNU Linux 下的一個(gè)強(qiáng)大的包管理工具,也可用于其他版本的 Linux.

2. 賬號(hào)
如果系統(tǒng)中的用戶比較多,可以編輯 /etc/login.defs,更改密碼策略

刪除系統(tǒng)中不必要帳戶和組,
[root@ayazero /]# userdel -r username

如果不開匿名 ftp 則可以把 ftp 賬號(hào)也刪了

最安全的方式是本地維護(hù),可惜不太現(xiàn)實(shí),但還是需要限制 root 的遠(yuǎn)程訪問,管理員可以用普通賬戶遠(yuǎn)程登錄,然后 su 到 root,我們可以把使用 su 的用戶加到 wheel 組來提高安全性

在 /etc/pam.d/su 文件的頭部加入下面兩行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel

然后把可以執(zhí)行 su 的用戶放入 wheel 組
[root@ayazero /]# usermod -G10 admin

編輯 /etc/securetty,注釋掉所有允許 root 遠(yuǎn)程登錄的控制臺(tái),然后禁止使用所有的控制臺(tái)程序,[root@ayazero /]# rm -f /etc/security/console.apps/servicename

登錄采用加密的 ssh,如果管理員只從固定的終端登陸,還應(yīng)限制合法 ssh 客戶端的范圍防止嗅探及中間人攻擊

將命令歷史紀(jì)錄歸為零,盡可能的隱藏你做過的事情
[root@ayazero /]# unset HISTFILESIZE

3. 服務(wù)
最少服務(wù)原則,凡是不需要的服務(wù)一律注釋掉
在 /etc/inetd.conf 中不需要的服務(wù)前加 "#",較高版本中已經(jīng)沒有 inetd 而換成了 Xinetd;取消開機(jī)自動(dòng)運(yùn)行服務(wù),把 /etc/rc.d/rc3.d 下不需要運(yùn)行的服務(wù)第一個(gè)字母大寫改稱小寫,或者由 setup 命令啟動(dòng)的 GUI 界面中的 service 更改

如果你希望簡單一點(diǎn),可以使用 /etc/host.allow,/etc/host.deny 這兩個(gè)文件,但是本文計(jì)劃用 iptables 防火墻,所以不在此詳述.

4. 文件系統(tǒng)權(quán)限
找出系統(tǒng)中所有含 "s" 位的程序,把不必要得 "s" 位去掉,或者把根本不用的直接刪除
[root@ayazero /]# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {}
[root@ayazero /]# chmod a-s filename

防止用戶濫用及提升權(quán)限的可能性

把重要文件加上不可改變屬性
[root@ayazero /]# chattr +i /etc/passwd
[root@ayazero /]# chattr +i /etc/shadow
[root@ayazero /]# chattr +i /etc/gshadow
[root@ayazero /]# chattr +i /etc/group
[root@ayazero /]# chattr +i /etc/inetd.conf
[root@ayazero /]# chattr +i /etc/httpd.conf
...............................
具體視需要而定,我懷疑現(xiàn)在的入侵者都知道這個(gè)命令,有些 exploit 溢出后往 inetd.conf 寫一條語句綁定 shell 在一個(gè)端口監(jiān)聽,此時(shí)這條命令就起了作用,淺薄的入侵者會(huì)以為溢出不成功.

找出系統(tǒng)中沒有屬主的文件:
[root@ayazero /]# find / -nouser -o -nogroup

找出任何人都有寫權(quán)限的文件和目錄:
[root@ayazero /]# find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg {}
[root@ayazero /]# find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg {}

防止入侵者向其中寫入木馬語句(諸如一個(gè)shell的拷貝)或繼承屬主權(quán)限而非法訪問

找出并加固那些歷來被入侵者利用的文件,比如 .rhosts

編輯 /etc/security/limits.conf,加入或改變?nèi)缦滦?
* hard core 0
* hard rss 5000
* hard nproc 20

5. Banner 偽裝
入侵者通常通過操作系統(tǒng),服務(wù)及應(yīng)用程序版本來攻擊,漏洞列表和攻擊程序也是按此來分類,所以我們有必要作點(diǎn)手腳來加大入侵的難度

更改 /etc/issue,因?yàn)?reboot 后重新加載,所以編輯 /ect/rc.d/rc.local
# This will overwrite /etc/issue at every boot. So, make any changes you
# want to make to /etc/issue here or you will lose them when you reboot.
#echo "" > /etc/issue
#echo "$R" >> /etc

分享到:

頂部 】 【 關(guān)閉
版權(quán)所有:佛山思海電腦網(wǎng)絡(luò)有限公司 ©1998-2024 All Rights Reserved.
聯(lián)系電話:(0757)22630313、22633833
中華人民共和國增值電信業(yè)務(wù)經(jīng)營許可證: 粵B1.B2-20030321 備案號(hào):粵B2-20030321-1
網(wǎng)站公安備案編號(hào):44060602000007 交互式欄目專項(xiàng)備案編號(hào):200303DD003  
察察 工商 網(wǎng)安 舉報(bào)有獎(jiǎng)  警警  手機(jī)打開網(wǎng)站