linux操作系统安全配置步骤详细解析

linux操作系统安全配置步骤详细解析

ID:26366398

大小:92.00 KB

页数:21页

时间:2018-11-26

linux操作系统安全配置步骤详细解析_第1页
linux操作系统安全配置步骤详细解析_第2页
linux操作系统安全配置步骤详细解析_第3页
linux操作系统安全配置步骤详细解析_第4页
linux操作系统安全配置步骤详细解析_第5页
资源描述:

《linux操作系统安全配置步骤详细解析》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、Linux操作系统安全配置步骤详细解析一、磁盘分区1、如果是新安装系统,对磁盘分区应考虑安全性:1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;方法一:修改/etc/fstab文件,添加nosuid属性字。例如:/dev/hda2/tmpext2exec,dev,nosuid,rw00方法二:如果对/etc/fstab文件操作不

2、熟,建议通过linuxconf程序来修改。* 运行linuxconf程序;* 选择"Filesystems"下的"Accesslocaldrive";* 选择需要修改属性的磁盘分区;* 选择"Nosetuidprogramsallowed"选项;* 根据需要选择其它可选项;* 正常退出。(一般会提示重新mount该分区)二、安装1、对于非测试主机,不应安装过多的软件包。这样可以降低因软件包而导致出现安全漏洞的可能性。2、对于非测试主机,在选择主机启动服务时不应选择非必需的服务。例如routed、ypbind等。三、安全配置与增强内核升级。起码要升级至2.2.16以上版本。GNUlibc共

3、享库升级。(警告:如果没有经验,不可轻易尝试。可暂缓。)关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等关闭非必需的网络服务。talk、ntalk、pop-2等常见网络服务安全配置与升级确保网络服务所使用版本为当前最新和最安全的版本。取消匿名FTP访问去除非必需的suid程序使用tcpwrapper使用ipchains防火墙日志系统syslogd一些细节:1.操作系统内部的logfile是检测是否有网络入侵的重要线索,当然这个假定你的logfile不被侵入者所破坏,如果你有台服务器用专线直接连到Internet上,这意味着你的IP地址是

4、永久固定的地址,你会发现有很多人对你的系统做telnet/ftp登录尝试,试着运行#more/var/log/secure

5、greprefused去检查。2.限制具有SUID权限标志的程序数量,具有该权限标志的程序以root身份运行,是一个潜在的安全漏洞,当然,有些程序是必须要具有该标志的,象passwd程序。3.BIOS安全。设置BIOS密码且修改引导次序禁止从软盘启动系统。4.用户口令。用户口令是Linux安全的一个最基本的起点,很多人使用的用户口令就是简单的‘password'',这等于给侵入者敞开了大门,虽然从理论上说没有不能确解的用户口令,只要有足够的时间和资源可以利用。比较好

6、的用户口令是那些只有他自己能够容易记得并理解的一串字符,并且绝对不要在任何地方写出来。5./etc/exports文件。如果你使用NFS网络文件系统服务,那么确保你的/etc/exports具有最严格的存取权限设置,不意味着不要使用任何通配符,不允许root写权限,mount成只读文件系统。编辑文件/etc/exports并且加:例如:/dir/to/exporthost1.mydomain.com(ro,root_squash)/dir/to/exporthost2.mydomain.com(ro,root_squash)/dir/to/export是你想输出的目录,host.mydo

7、main.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录。为了让上面的改变生效,运行/usr/sbin/exportfs-a6.确信/etc/inetd.conf的所有者是root,且文件权限设置为600。[root@deep]#chmod600/etc/inetd.confENSUREthattheownerisroot.[root@deep]#stat/etc/inetd.confFile:"/etc/inetd.conf"Size:2869Filetype:RegularFileMode:(0600/-rw-------)

8、Uid:(0/root)Gid:(0/root)Device:8,6Inode:18219Links:1Access:WedSep2216:24:161999(00000.00:10:44)Modify:MonSep2010:22:441999(00002.06:12:16)Change:MonSep2010:22:441999(00002.06:12:16)编辑/etc/inetd.conf禁止以下服务:ftp,telnet,sh

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。