资源描述:
《Linux下常用安全策略设置方法》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、Linux下常用安全策略设置方法1.禁止系统响应任何从外部/内部来的ping请求攻击者一般首先通过ping命令检测此主机或者IP是否处于活动状态,如果能够ping通某个主机或者IP,那么攻击者就认为此系统处于活动状态,继而进行攻击或破坏。如果没有人能ping通机器并收到响应,那么就可以人人增强服务器的安全性,linux下可以执行如下设置,禁止ping请求:[root@localhost~]#echo“i”>/proc/sys/net/ipv4/icmp_echo_ignore_all默认情况下u
2、icmp_echo_ignore_all的值为“0”,表示响应ping操作。可以加上面的一行命令到/etc/rc.d/rc.local文件屮,以使每次系统重启后自动运行。2.禁止Control-Alt-Delete组合键重启系统在linux的默认设置下,同时按下Control-Alt-Delete键,系统将自动重启,这是很不安全的,因此要禁止Control-Alt-Delete组合键重启系统,只需修改/etc/inittab文件:[root@localhost~]#vi/etc/inittab找
3、到此行:ca::ctrlaltdel:/sbin/shutdown-t3-rnow在之前加上然后执行:[root@localhost~]#telinitq3•限制Shellid录历史命令大小默认情况下,bashshell会在文件$HOME/.bash_history屮存放多达1000条命令记录(根据系统不同,默认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。这么多的历史命令记录,肯定是不安全的,因此必须限制该文件的人小。可以编辑/etc/profile文件,修改其屮的选项如下:HI
4、STSIZE=30表示在文件$HOME/.bash_history中记录最近的30条历史命令。如果将“HISTSIZE”设置为0,则表示不记录历史命令,那么也就不能丿IJ键盘的上下键查找历史命令了。4.删除系统默认的不必要用户和组Linux提供了各种系统账户,在系统安装完毕,如果不盂要某些用户或者组,就要立即删除它,因为账户越多,系统就越不安全,越容易受到攻击。删除系统不必要的用户用下面命令[root@localhost~]#userdelusername删除系统不必要的组用如下命令:[root
5、@localhost~]#groupdelgroupnameLinux系统中可以删除的默认用户和组有:删除的用户,如adm,Ip,sync,shutdown,halt,news,uucp,operator,games,gopher等。删除的组,如admjp,news,uucp,games,dip,pppusers,popusers,slipusers等。5.关闭sellnuxSELinux是Security-EnhancedLinux的简称,是-种内核强制访问控制安全系统,口前SELinux已经
6、集成到Linux2.6内核的主线和大多数Linux发行版上,山于SELinux与现有Linux应用程序和Linux内核模块兼容性还存在一些问题,因此建议初学者先关闭selinux,等到对linux有了深入的认识后,再对selinux深入研究不迟!査看linux系统selinux是否启用,可以使用getenforce命令:[root@localhost~]#getenforceDisabled关闭selinux,在redhat系列发行版中,可以直接修改如下文件:[root@localhost~]#
7、vi/etc/sysconfig/selinux#ThisfilecontrolsthestateofSELinuxonthesystem.#SELINUX=cantakeoneofthesethreevalues:#enforcing-SELinuxsecuritypolicyisenforced.#permissive-SELinuxprintswarningsinsteadofenforcing.#disabled-SELinuxisfullydisabled.SELINUX=enforc
8、ing#SELINUXTYPE=typeofpolicyinuse.Possiblevaluesare:#targeted-Onlytargetednetworkdaemonsareprotected.#strict-FullSELinuxprotec廿on.SELINUXTYPE=targeted将SELINUX=enforcing修改为SELINUX二disabled,重启系统后将会停止SEIinuXo6.设定tcp_wrappers防火墙Tcp_Wrappers是一个用來分析TCP/IP封