1概述近几年来Internet变得更加不安全了 。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加 。
只要有值得偷窃的东西就会有想办法窃取它的人 。Internet的今天比过去任何时候都更真实地体现出这一点,基于linux的系统也不能摆脱这个“普遍规律”而独善其身 。因此,优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因 。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患 。配置拙劣的安全系统会产生许多问题,本文将为你解释必须掌握的Linux安全知识 。本文讲述了如何通过基本的安全措施,使Linux系统变得可靠 。
2 安装使系统处于单独(或隔离)的网络中 。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击
安装完成后将下面软件卸载
pump apmd lsapnptools redhat-logos
mt-st kernel-pcmcia-cs Setserial redhat-relese
eject linuxconf kudzu gd
bc getty_ps raidtools pciutils
mailcap setconsole gnupg
用下面的命令卸载这些软件:
[root@deep]#rpm –e softwarename
卸载它们之前最好停掉三个进程:
[root@deep]# /etc/rc.d/init.d/apmd stop
[root@deep]# /etc/rc.d/init.d/sendmail stop
[root@deep]# /etc/rc.d/init.d/kudzu stop
3 用户帐号安全Password and account security3.1 密码安全策略l 口令至少为6位,并且包括特殊字符
l 口令不要太简单,不要以你或者有关人的相关信息构成的密码,比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等 。
l 口令必须有有效期
l 发现有人长时间猜测口令,需要更换口令
3.2 检查密码是否安全可以使用以下几种工具检查自己的密码是否安全:
l JOHN,crack等暴力猜测密码工具
l 在线穷举工具,包括Emailcrk、流光等
3.3 Password Shadowingl 使用shadow来隐藏密文(现在已经是默认配置)
l 定期检查shadow文件,如口令长度是否为空 。
#awk -F: length($2)==0 {print $1} /etc/shadow
l 设置文件属性和属主
3.4 管理密码l 设置口令有效最长时限 (编辑/etc/login.defs文件)
l 口令最短字符 (如linux默认为5,可以通过编辑/etc/login.defs修改)
l 只允许特定用户使用su命令成为root 。
编辑/etc/pam.d/su文件,在文件头部加上:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=wheel
Red hat 7.0中su文件已做了修改,直接去掉头两行的注释符就可以了
[root@deep]# usermod -G10 admin来将用户加入wheel组
3.5 其它l 清除不必要的系统帐户
[root@deep]# userdel adm
[root@deep]# userdel lp
[root@deep]# userdel sync
[root@deep]# userdel shutdown
[root@deep]# userdel halt
[root@deep]# userdel news
[root@deep]# userdel uucp
[root@deep]# userdel operator
[root@deep]# userdel games (如果不使用 X Window,则删除)
[root@deep]# userdel gopher
[root@deep]# userdel ftp (如果不使用ftp服务则删除)
l 尽量不要在passwd文件中包含个人信息,防止被finger之类程序泄露 。
l 修改shadow,passwd,gshadow文件不可改变位
[root@deep]# chattr +i /etc/passwd
[root@deep]# chattr +i /etc/shadow
[root@deep]# chattr +i /etc/group
[root@deep]# chattr +i /etc/gshadow
l 不要使用.netrc文件,可以预先生成$HOME/.netrc 。设置为0000 。
touch /.rhosts ;chmod 0 /.rhosts
l 使用ssh来代替telnetd,ftpd.pop等通用服务 。传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据 。
4 网络服务安全(Network Service Security)Linux系统对外提供强大、多样的服务,由于服务的多样性及其复杂性,在配置和管理这些服务时特别容易犯错误,另外,提供这些服务的软件本身也存在各种漏洞,所以,在决定系统对外开放服务时,必须牢记两个基本原则:
l 只对外开放所需要的服务,关闭所有不需要的服务 。对外提供的服务越少,所面临的外部威胁越小 。
l 将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统的安全风险 。
在上述两个基本原则下,还要进一步检查系统服务的功能和安全漏洞 。
这里针对主机所提供的服务进行相应基本安全配置,某些常用服务的安全配置请参考相关文档 。
推荐阅读
- centos7安全加固方案
- Linux Shell中单引号、双引号、反引号的解释
- Linux系统中shell命令执行过程
- 浅谈Go定时器应用
- 在Windows和Linux中找出磁盘分区使用的文件系统,就是这么简单
- Linux环境下100个开源免费专业软件推荐之17款产品应用软件1-10
- Sequence Lock Linux同步原语之顺序锁
- Linux系统扩展oracle数据库所在的分区
- 过安全狗 记一次艰难的SQL注入
- Linux常用监视和故障排查命令详解