系统安全策略

《系统安全策略》由会员上传分享，免费在线阅读，更多相关内容在行业资料-天天文库。

1、系统安全配置1系统密码文件的安全/etc/shadow不允许复制/etc/passwd有些linux中有，必需开启shadow比如：#chmod744/etc/passwd#chmodgo-rwx/etc/shadow-rw-r--r--1rootroot243010-0918:08/etc/passwd-r--------1rootroot192310-0918:08/etc/shadow2关闭多余的控制台#vi/etc/inittab使用俩个控制台，把其他的都给禁掉3关闭IPV6,关闭其模块#vi/etc/sysconfig/networkNETWORKING_IPV6=

2、no4禁止普通用户开关机#vi/etc/inittab注释ca::ctrlaltdel;/sbin/shutdown–t3–rnow（禁止热启动）5禁止ping#echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all6禁止源路由#echo0>/proc/sys/net/ipv4/conf/all/accept_source_route(系统默认是禁止的)41防止SYN攻击SYN攻击大家都知道，就是A给B发包，正常的包是三次握手，但是A给B之后最后一次不进行确认。然后一直不停的给B发包，B接收后确认延迟默认30秒，但是A会一直给B发包，以致阻

3、塞掉路由。。。echo1>/proc/sys/net/ipv4/tcp_syncookies2限制系统进程数量1.Linux对于每个用户，系统限制其最大进程数。可以在用户根目录下的“.bashrc”文件或者实际使用与“.bashrc”功能相当的shell的脚本中加入这种限制。2.为提高性能，可以设置超级用户root的最大进程数为无限#vi/root/.bashrc加入ulimit-uunlimited3.#ulimit–a显示当前所有的资源限制3减少磁盘的IOlinux文件默认有3个时间：atime,对此文件的访问时间ctime,此文件的inode发生变化的时间mtime,此

4、文件的修改时间#vi/etc/fstab例如：/dev/md5/data/pics1ext3noatime,nodiratime004优化shell修改命令history纪录#sed“s/1000/100/g”–i/etc/profile#soruce/etc/profile5关闭所有不必要的服务使用netstat–tunl命令查看系统已监听的服务41设置用户及口令的安全删除不必要的用户2修改缺省的密码长度修改文件/etc/login.defs,把PASS_MIN_LEN5改为PASS_MIN_LEN8#sed“s/PASS_MIN_LEN5/PASS_MIN_LEN8/g”

5、–i/etc/login.defs3自动注销账号的登录#vi/etc/profile加入TMOUT=300或者#echo“TMOUT=300”>>/etc/profile登录用户5分钟内没有动作，将注销本次登录4防止动作泄密在/etc/skel/.bash_logout文件中添加这行rm-f$HOME/.bash_history5设置口令文件chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/etc/group#chattr+i/etc/gshadow41

6、限制su命令任何人能够su作为root，可以编辑/etc/pam.d/su文件，增加如下两行：authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=isd这时，仅isd组的用户可以su作为root。此后，如果您希望用户admin能够su作为root，可以运行如下命令：#usermod-G10admin2防止IP欺骗编辑host.conf文件并增加如下几行来防止IP欺骗攻击。orderbind，hostsmultioffnospoofon3防止DOS攻击

7、对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量#vi/etc/security/limits.conf*hardcore0*hardrss5000*hardnproc20上面的命令禁止调试文件，限制进程数为50并且限制内存使用为5MB4