Linux系统安全设置全面坚固系统稳定安全电脑资料.doc

Linux系统平安设置 全面稳固系统稳定平安 电脑资料 【赛迪网-IT技术报道】如今许多中小用户因业务开展，不断更新或晋级网络，从而造成自身用户环境差异较大，整个网络系统平台参差不齐，效劳器端大多采用 Linux系统的，而PC端使用Windows系统， 一、效劳器平安： 1. 关闭无用的端口 任何网络连接都是通过开放的应用端口来实现的。假设我们尽可能少地开放端口，就使网络攻击变成无源之水，从而大大减少了攻击者成功的时机。 首先检查你的id.conf文件。id在某些端口上守侯，准备为你提供必要的效劳。假设某人开发出一个特殊的id守护程序，这里 就存在一个平安隐患。你应当在id.conf文件中注释掉那些永不会用到的效劳(如：echo、gopher、rsh、rlogin、rexec、 ntalk、finger等)。注释除非绝对需要，你一定要注释掉rsh、rlogin和rexec，而tel建议你使用更为平安的ssh来代替， 然后杀掉ld进程。这样id不再监控你机器上的守护程序，从而杜绝有人利用它来窃取你的应用端口。你最好是下载一个端口扫描程序扫描你的系 统，假设发现有你不知道的开放端口，马上找到正使用它的进程，从而判断是否关闭它们。 2 . 删除不用的软件包 在进展系统规划时，总的原那么是将不需要的效劳一律去掉。默认的Linux就是一个强大的系统，运行了很多的效劳。但有许多效劳是不需要的，很容易引 起平安风险。这个文件就是/etc/id.conf，它制定了/usr/sbin/id将要监听的效劳，你可能只需要其中的两个： tel和ftp，其它的类如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth 等，除非你真的想用它，否那么统统关闭。 3. 不设置缺省路由 在主机中，应该严格制止设置缺省路由，即default route。建议为每一个子网或网段设置一个路由，否那么其它机器就可能通过一定方式访问该主机 4. 口令管理 口令的长度一般不要少于8个字符，口令的组成应以无规那么的大小写字母、数字和符号相结合，严格防止用英语单词或词组等设置口令，而且各用户的口令应 该养成定期更换的习惯。另外，口令的保护还涉及到对/etc/passwd和/etc/shadow文件的保护，必须做到只有系统管理员才能访问这2个文 件。安装一个口令过滤工具加npasswd，能帮你检查你的口令是否耐得住攻击。假设你以前没有安装此类的工具，建议你如今马上安装。假设你是系统管理 员，你的系统中又没有安装口令过滤工具，请你马上检查所有用户的口令是否能被穷尽搜索到，即对你的/ect/passwd文件施行穷尽搜索攻击。 5. 分区管理 一个潜在的攻击，它首先就会尝试缓冲区溢出。在过去的几年中，以缓冲区溢出为类型的平安破绽是最为常见的一种形式了。更为严重的是，缓冲区溢出破绽 占了远程网络攻击的绝大多数，这种攻击可以轻易使得一个匿名的Inter用户有时机获得一台主机的部分或全部的控制权! 为了防止此类攻击，我们从安装系统时就应该注意， 6. 防范网络嗅探： 嗅探器技术被广泛应用于网络维护和管理方面，它工作的时候就像一部被动声纳，默默的接收看网络的各种信息，通过对这些数据的分析，网络管理员可 以深化理解网络当前的运行状况，以便找出网络中的破绽。在网络平安日益被注意的今天.我们不但要正确使用嗅探器.还要合理防范嗅探器的危害.嗅探器可以造 成很大的平安危害，主要是因为它们不容易被发现。对于一个平安性能要求很严格的企业，同时使用平安的拓扑构造、会话加密、使用静态的ARP地址是有必要 的。 7. 完好的日志管理 日志文件时刻为你记录着你的系统的运行情况。当 光临时，也不能逃脱日志的法眼。所以 往往在攻击时修改日志文件，来隐藏踪迹。因此我们要限制对/var/log文件的访问，制止一般权限的用户去查看日志文件。 另外，我们还可以安装一个icmp/tcp日志管理程序，如iplogger，来观察那些可疑的屡次的连接尝试(加icmp flood3或一些类似的情况)。还要小心一些不明主机的。 完好的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的失败记录，很可能是入侵者正在尝试该用户的口令。 8. 终止正进展的攻击 假设你在检查日志文件时，发现了一个用户从你的主机，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号 (在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。假设攻击者已经连接到系统，你应马上断开主机与网络的物理连接。如有可能，你 还要进一步查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件 hosts.deny中。 9 . 使用平安工具软件： Linux已经有一些工具可以保障服 务器的平安。如bastille linux。对于不熟悉 linux 平安设定的使用者来说，是一套相当方便的软件，bastille linux 目的是希望在已经存在的 linux 系统上，建构出一个平安性的环境。另外随着Linux病毒的出现，如今已经有一些Linux效劳器防病毒软件，安装Linux防病毒软件已经是非常迫切了。 10. 使用保存IP地址 : ---- 维护网络平安性最简单的方法是保证网络中的主机不同外界接触。最根本的方法是与公共网络隔离。然而，这种通过隔离到达的平安性策略在许多情况下是不能承受 的。这时，使用保存IP地址是一种简单可行的方法，它可以让用户访问Inter同时保证一定的平安性。- RFC 1918规定了可以用于本地 TCP/IP网络使用的IP地址范围，这些IP地址不会在Inter上路由，因此不必这些地址。通过在该范围分配IP地址，可以有效地将网络流 量限制在本地网络内。这是一种回绝外部计算机访问而允许内部计算机互联的快速有效的方法。 保存IP地址范围: —— 10.0.0.0 - 10.255.255.255 ---- 172.16.0.0 - 172.31.255.255