1�、注釋掉不需要的用戶和用戶組
- #adm
- #lp
- #sync
- #shutdown
- #halt
- #news
- #uucp
- #operator
- #games
- #gopher
- #ftp
- #adm
- #lp
- #news
- #uucp
- #games
- #dip
2、給下面的文件加上不可更改屬性����,從而防止非授權用戶獲得權限
- #chattr +i /etc/passwd
- #chattr +i /etc/shadow
- #chattr +i /etc/group
- #chattr +i /etc/gshadow
權限修改之后��,就無法添加刪除用戶了����。要取消之前的修改�,
- #lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
lsattr 只是顯示文件的屬性
- #chattr -i /etc/passwd
- #chattr -i /etc/shadow
- #chattr -i /etc/group
- #chattr -i /etc/gshadow
再次查看
lsattr /etc/passwd /etc/shadow /etc/group /etc/gshadow
————- /etc/passwd
————- /etc/shadow
————- /etc/group
————- /etc/gshadow
修改完之后,再執行
- chattr +i /etc/passwd
- chattr +i/etc/shadow
- chattr +i /etc/group
- chattr +i/etc/gshadow
禁止Ctrl+Alt+Delete重新啟動機器命令
3�����、修改/etc/inittab文件����,將”ca::ctrlaltdel:/sbin/shutdown-t3-rnow”一行注釋掉。
然后重新設置/etc/rc.d/init.d/目錄下所有文件的許可權限,運行如下命令:
- # chmod -R 700 /etc/rc.d/init.d/*
這樣便僅有root可以讀��、寫或執行上述所有腳本文件��。
4�、限制su命令
當不想任何人能夠su作為root����,可以編輯/etc/pam.d/su文件��,增加如下兩行:
- auth sufficient /lib/security/pam_rootok.sodebug
- auth required /lib/security/pam_wheel.sogroup=isd
這時�,僅isd組的用戶可以su作為root�����。此后��,如果希望用戶admin能夠su作為root,可以運行如下命令:
5�、防止攻擊
1)阻止ping, 抵御SYN:
如果沒人能ping通系統�,安全性自然增加了��,為此�,我們可以在/etc/rc.d/rc.local文件中增加如下一行
- echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all
SYN攻擊是利用TCP/IP協議3次握手的原理��,發送大量的建立連接的網絡包,但不實際建立連接�,最終導致被攻擊服務器的網絡隊列被占滿�����,無法被正常用戶訪問���。
Linux內核提供了若干SYN相關的配置����,用命令:
看到:
net.ipv4.tcp_max_syn_backlog = 1024
net.ipv4.tcp_syncookies = 0
net.ipv4.tcp_synack_retries = 5
net.ipv4.tcp_syn_retries = 5
tcp_max_syn_backlog是SYN隊列的長度,tcp_syncookies是一個開關,是否打開SYN Cookie功能����,該功能可以防止部分SYN攻擊�����。tcp_synack_retries和tcp_syn_retries定義SYN的重試次數����。
加大SYN隊列長度可以容納更多等待連接的網絡連接數,打開SYN Cookie功能可以阻止部分SYN攻擊,降低重試次數也有一定效果���。
調整上述設置的方法是:
vi /etc/rc.d/rc.local ,將下面的命令法添加進去
- sysctl -w net.ipv4.tcp_max_syn_backlog=2048 #增加SYN隊列長度到2048
- sysctl -w net.ipv4.tcp_syncookies=1 #打開SYN COOKIE功能
- sysctl -w net.ipv4.tcp_synack_retries=3 #降低重試次數
- sysctl -w net.ipv4.tcp_syn_retries=3
2)防止IP欺騙
編輯host.conf文件并增加如下幾行來防止IP欺騙攻擊。
- order hosts,bind #名稱解釋順序
- multi on #允許主機擁有多個IP地址
- nospoof on #禁止IP地址欺騙
3)防止DoS攻擊
對系統所有的用戶設置資源限制可以防止DoS類型攻擊,如最大進程數和內存使用數量等。
例如����,可以在/etc/security/limits.conf中添加如下幾行:
- * hard core 0
- * hard rss 5000
- * hard nproc 20
然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在�����。
session required /lib/security/pam_limits.so
4)修改sshd_config文件
首先修改配置文件 vi /etc/ssh/sshd_config
a 修改SSH端口
找到#Port 22一段,這里是標識默認使用22端口,修改為如下:
然后保存退出
執行/etc/init.d/sshd restart
這樣SSH端口將同時工作與22和50000上�。
現在編輯防火墻配置:vi /etc/sysconfig/iptables
啟用50000端口���。
執行/etc/init.d/iptables restart
現在請使用ssh工具連接50000端口����,來測試是否成功�����。
如果連接成功了�,則再次編輯sshd_config的設置��,將里邊的Port22刪除�����,即可���。
b 只使用SSH v2
將#Protocol 2,1改為 Protocol 2
c 限制用戶的SSH訪問
假設我們只要root����,vivek和jerry用戶能通過SSH使用系統,向sshd_config配置文件中添加:
- AllowUsers root vivek jerry
d 配置空閑超時退出時間間隔
用戶可以通過ssh登錄到服務器��,你可以設置一個空閑超時時間間隔避免出現孤兒ssh會話�,打開sshd_config配置文件,確保有如下的配置項:
- ClientAliveInterval 300
- ClientAliveCountMax 0
上面的例子設置的空閑超時時間間隔是300秒����,即5分鐘����,過了這個時間后��,空閑用戶將被自動踢出出去(可以理解為退出登錄/注銷)�。
e 禁用.rhosts文件
不要讀取用戶的~/.rhosts和~/.shosts文件�,使用下面的設置更新sshd_config配置文件:
IgnoreRhosts yes
SSH可以模擬過時的rsh命令的行為,rsh被公認為是不安全的遠程訪問協議���,因此必須得禁用掉����。
6�����、限制不同文件的權限
- [root@localhost ~]# chmod 700 /usr/bin/
- [root@localhost ~]# chmod 750 /usr/bin/*++*
- [root@localhost ~]# chmod 750 /usr/bin/c++*
- [root@localhost ~]# chmod 750 /usr/bin/ld
- [root@localhost ~]# chmod 750 /usr/bin/as
- [root@localhost ~]# locate sqlaccess
- /opt/lampp/bin/mysqlaccess
- [root@localhost ~]# chmod 755 /opt/lampp/bin/mysqlaccess
- [root@localhost ~]# chattr +a .bash_history
- [root@localhost ~]# chattr +i .bash_history
- [root@localhost ~]# chmod 700 /bin/ping
- [root@localhost ~]# chmod 700 /usr/bin/finger
- [root@localhost ~]# chmod 700 /usr/bin/who
- [root@localhost ~]# chmod 700 /usr/bin/w
- [root@localhost ~]# chmod 700 /usr/bin/locate
- [root@localhost ~]# chmod 700 /usr/bin/whereis
- [root@localhost ~]# chmod 700 /usr/bin/vim
- [root@localhost ~]# chmod 700 /usr/bin/make
- [root@localhost ~]# chmod 700 /bin/netstat
- [root@localhost ~]# chmod 700 /usr/bin/tail
- [root@localhost ~]# chmod 700 /usr/bin/less
- [root@localhost ~]# chmod 700 /usr/bin/head
- [root@localhost ~]# chmod 700 /bin/cat
- [root@localhost ~]# chmod 700 /bin/uname
- [root@localhost ~]# chmod 500 /bin/ps
- [root@localhost ~]# chmod 500 /usr/sbin/lsof
域名注冊知識
虛擬主機知識
網站建設知識
網絡推廣知識
網絡營銷知識
常見技術問題
QQ空間
新浪微博
開心網
人人網
