l 链接使用静态库
l 过滤危险字符,如n r (.,/;~!)>|^&$`< 等
l 使用https进行关键业务传送 。
比较流行的webserver是
Apache http://www.apache.org
netscpe的web server 和browser http://home.netscape.com/enterprise/v3.6/index.html
IETF的Web事务安全工作组维持着一个特别针对WWW安全问题的邮寄列表.
要订阅,可发e-mail到www-security-request@nsmx.rutger.edu.在信息的
正文里写上
SUBSCRIBE www-security 你的email地址
主要的WWW FAQ也包含关于Web安全的问与答,如记录文件管理和服务软件来源等.这个FAQ的最新版在: http://www.boutell.com/faq/
4.14 FTP安全问题主要的ftp server
l wuftp 最新版本是26.1
下载地址是ftp://ftp.wu-ftpd.org/pub/wu-ftpd-attic/wu-ftpd-2.6.1.tar.gz
l proftp 最新版本是1.2.0rc2
下载地址是ftp://ftp.proftpd.net/pub/proftpd
l ncftp 最新版本是2.6.3
下载地址是http://www.ncftp.com/ncftpd/
配置Configuration
l 检查所有的默认配置选项
l 确定没有SITE EXEC问题
l 设置/etc/ftpusers确定禁止使用ftp的用户
l 使用chroot环境运行ftpd
l 使用自己的ls等命令
l 加入对quota,pam等支持
l 配置/etc/ftpaccess文件,禁止系统信息泄露和设置最大连接数
l 配置/etc/ftphosts,设置允许使用FTP的HOST和USER
l 针对不同用户设置不同权限
l 经常查看LOG记录 /var/log/xferlog
l 配置文件属性改为600
Anonymous ftp
l 编译时打开允许匿名选项
l 如果使用分布式passwords (e.g., NIS, NIS+),需要设置好密码文件 。
l 匿名用户只给读权限(在/etc/ftpaccess中设置)
5 系统设置安全(System Setting Security)5.1限制控制台的使用禁止使用控制台程序:删除/etc/security/console.apps中的服务
[root@deep]# rm -f /etc/security/console.apps/servicename,
比如:[root@deep]# rm -f /etc/security/console.apps/halt
[root@deep]# rm -f /etc/security/console.apps/poweroff
[root@deep]# rm -f /etc/security/console.apps/reboot
[root@deep]# rm -f /etc/security/console.apps/shutdown
[root@deep]# rm -f /etc/security/console.apps/xserver(如删除,只有root能启动Xserver)
禁止控制台的访问:在/etc/pam.d中的所有文件中,给包含pam_console.so的行加上注释
5.2系统关闭Ping关闭ping,使系统对ping不做反应,对网络安全大有好处 。
可以使用如下命令:
[root@deep]#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
可以将这一行加到/etc/rc.d/rc.local文件中去,这样系统重启动后会自动执行
恢复系统的Ping响应:
[root@deep]#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all
5.3关闭或更改系统信息关闭telnet系统信息
Red Hat 6.2中,编辑/etc/inetd.conf
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd –h
加上参数-h可以关闭telnet信息
Red Hat 7.0中,编辑/etc/xinetd.d/telnet
加上server_args = -h,可以关闭telnet信息
/etc/rc.d/rc.local中关闭或修改系统信息
/etc/issue和/etc/issue.net中包含本地登录和网络登录时提示的系统信息,对它们进行更改可以改变系统信息,或直接删除,并在/etc/rc.d/rc.local文件中注释相关行:
#echo "" > /etc/issue
#echo "$R" >> /etc/issue
#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
#cp -f /etc/issue /etc/issue.net
#echo >> /etc/issue
5.4 /etc/securetty文件/etc/securetty文件规定root从哪个TTY设备登录,列出的是允许的tty设备,将不允许的tty设备行注释掉.
5.5 /etc/host.conf文件/etc/host.conf定义主机名怎样解析,使用什么服务,什么顺序解析
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
order指定选择服务的顺序
multi指定主机能不能有多个IP地址,ON代表允许
nospoof指定不允许IP伪装,此参数必须设置为ON
5.6禁止IP源路径路由允许IP源路径路由(IP source routing)会使得黑客能够欺骗你的计算机,截取信息包.强烈建议禁止,使用如下命令:
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done
将accept_source_route设置为0,并将上述命令加到/etc/rc.d/rc.local中去,每次重启动将自动执行
5.7资源限制为了避免拒绝服务攻击,需要对系统资源的使用做一些限制 。
首先,编辑/etc/security/limits.conf,加入或改变如下
推荐阅读
- centos7安全加固方案
- Linux Shell中单引号、双引号、反引号的解释
- Linux系统中shell命令执行过程
- 浅谈Go定时器应用
- 在Windows和Linux中找出磁盘分区使用的文件系统,就是这么简单
- Linux环境下100个开源免费专业软件推荐之17款产品应用软件1-10
- Sequence Lock Linux同步原语之顺序锁
- Linux系统扩展oracle数据库所在的分区
- 过安全狗 记一次艰难的SQL注入
- Linux常用监视和故障排查命令详解