ImageVerifierCode 换一换
格式:DOC , 页数:23 ,大小:105.54KB ,
资源ID:2773144      下载积分:10 金币
验证码下载
登录下载
邮箱/手机:
验证码: 获取验证码
温馨提示:
支付成功后,系统会自动生成账号(用户名为邮箱或者手机号,密码是验证码),方便下次登录下载和查询订单;
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

开通VIP
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.zixin.com.cn/docdown/2773144.html】到电脑端继续下载(重复下载【60天内】不扣币)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: 微信登录   QQ登录  
声明  |  会员权益     获赠5币     写作写作

1、填表:    下载求助     留言反馈    退款申请
2、咨信平台为文档C2C交易模式,即用户上传的文档直接被用户下载,收益归上传人(含作者)所有;本站仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。所展示的作品文档包括内容和图片全部来源于网络用户和作者上传投稿,我们不确定上传用户享有完全著作权,根据《信息网络传播权保护条例》,如果侵犯了您的版权、权益或隐私,请联系我们,核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
3、文档的总页数、文档格式和文档大小以系统显示为准(内容中显示的页数不一定正确),网站客服只以系统显示的页数、文件格式、文档大小作为仲裁依据,个别因单元格分列造成显示页码不一将协商解决,平台无法对文档的真实性、完整性、权威性、准确性、专业性及其观点立场做任何保证或承诺,下载前须认真查看,确认无误后再购买,务必慎重购买;若有违法违纪将进行移交司法处理,若涉侵权平台将进行基本处罚并下架。
4、本站所有内容均由用户上传,付费前请自行鉴别,如您付费,意味着您已接受本站规则且自行承担风险,本站不进行额外附加服务,虚拟产品一经售出概不退款(未进行购买下载可退充值款),文档一经付费(服务费)、不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
5、如你看到网页展示的文档有www.zixin.com.cn水印,是因预览和防盗链等技术需要对页面进行转换压缩成图而已,我们并不对上传的文档进行任何编辑或修改,文档下载后都不会有水印标识(原文档上传前个别存留的除外),下载后原文更清晰;试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓;PPT和DOC文档可被视为“模板”,允许上传人保留章节、目录结构的情况下删减部份的内容;PDF文档不管是原文档转换或图片扫描而得,本站不作要求视为允许,下载前自行私信或留言给上传者【w****g】。
6、本文档所展示的图片、画像、字体、音乐的版权可能需版权方额外授权,请谨慎使用;网站提供的党政主题相关内容(国旗、国徽、党徽--等)目的在于配合国家政策宣传,仅限个人学习分享使用,禁止用于任何广告和商用目的。
7、本文档遇到问题,请及时私信或留言给本站上传会员【w****g】,需本站解决可联系【 微信客服】、【 QQ客服】,若有其他问题请点击或扫码反馈【 服务填表】;文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“【 版权申诉】”(推荐),意见反馈和侵权处理邮箱:1219186828@qq.com;也可以拔打客服电话:4008-655-100;投诉/维权电话:4009-655-100。

注意事项

本文(Linux安全加固标准规范.doc)为本站上传会员【w****g】主动上传,咨信网仅是提供信息存储空间和展示预览,仅对用户上传内容的表现方式做保护处理,对上载内容不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知咨信网(发送邮件至1219186828@qq.com、拔打电话4008-655-100或【 微信客服】、【 QQ客服】),核实后会尽快下架及时删除,并可随时和客服了解处理情况,尊重保护知识产权我们共同努力。
温馨提示:如果因为网速或其他原因下载失败请重新下载,重复下载【60天内】不扣币。 服务填表

Linux安全加固标准规范.doc

1、LINUX安全加固规范目录1概述52 安装53 顾客帐号安全Password and account security63.1 密码安全方略63.2 检查密码与否安全63.3 Password Shadowing63.4 管理密码63.5 其他74 网络服务安全(Network Service Security)74.1服务过滤Filtering84.2/etc/inetd.conf94.3R 服务94.4Tcp_wrapper94.5/etc/hosts.equiv 文献104.6 /etc/services104.7/etc/aliases114.8 NFS114.9Trivial ftp

2、 (tftp)114.10 Sendmail114.11 finger124.12UUCP124.13World Wide Web (WWW) httpd134.14FTP安全问题135系统设立安全(System Setting Security)145.1限制控制台使用145.2系统关闭Ping145.3关闭或更改系统信息155.4 /etc/securetty文献155.5 /etc/host.conf文献155.6禁止IP源途径路由155.7资源限制165.8 LILO安全165.9 Control-Alt-Delete 键盘关机命令175.10日记系统安全175.11修正脚本文献在“/

3、etc/rc.d/init.d”目录下权限176文献系统安全(File System Security)186.1文献权限186.2控制mount上文献系统186.3备份与恢复197其他197.1使用防火墙197.2使用第三方安全工具197.3参照网站191概述近几年来Internet变得更加不安全了。网络通信量日益加大,越来越多重要交易正在通过网络完毕,与此同步数据被损坏、截取和修改风险也在增长。 只要有值得盗窃东西就会有想办法窃取它人。Internet今天比过去任何时候都更真实地体现出这一点,基于Linux系统也不能挣脱这个“普遍规律”而独善其身。因而,先进系统应当拥有完善安全办法,应当足

4、够结实、可以抵抗来自Internet侵袭,这正是Linux之因此流行并且成为Internet骨干力量重要因素。但是,如果你不恰本地运用Linux安全工具,它们反而会埋下隐患。配备拙劣安全系统会产生许多问题,本文将为你解释必要掌握Linux安全知识。本文讲述了如何通过基本安全办法,使Linux系统变得可靠。2 安装使系统处在单独(或隔离)网络中。以防止未受保护系统连接到其他网络或互联网中受到也许袭击安装完毕后将下面软件卸载pumpapmdlsapnptoolsredhat-logosmt-stkernel-pcmcia-csSetserialredhat-releseejectlinuxconf

5、kudzugdbcgetty_psraidtoolspciutilsmailcapsetconsolegnupg用下面命令卸载这些软件:rootdeep#rpm e softwarename卸载它们之前最佳停掉三个进程:rootdeep# /etc/rc.d/init.d/apmd stoprootdeep# /etc/rc.d/init.d/sendmail stoprootdeep# /etc/rc.d/init.d/kudzu stop3 顾客帐号安全Password and account security3.1 密码安全方略l 口令至少为6位,并且涉及特殊字符l 口令不要太简朴,不要

6、以你或者关于人有关信息构成密码,例如生日、电话、姓名拼音或者缩写、单位拼音或者英文简称等等。l 口令必要有有效期l 发既有人长时间猜测口令,需要更换口令3.2 检查密码与否安全可以使用如下几种工具检查自己密码与否安全:l JOHN,crack等暴力猜测密码工具l 在线穷举工具,涉及Emailcrk、流光等3.3 Password Shadowingl 使用shadow来隐藏密文(当前已经是默认配备)l 定期检查shadow文献,如口令长度与否为空。#awk -F:length($2)=0 print $1 /etc/shadowl 设立文献属性和属主3.4 管理密码l 设立口令有效最长时限 (

7、编辑/etc/login.defs文献)l 口令最短字符(如linux默以为,可以通过编辑/etc/login.defs修改)l 只容许特定顾客使用su命令成为root。编辑/etc/pam.d/su文献,在文献头部加上:auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheelRed hat 7.0中su文献已做了修改,直接去掉头两行注释符就可以了rootdeep# usermod -G10 admin来将顾客加入wheel组3.5 其他l 清除不必

8、要系统帐户rootdeep# userdel admrootdeep# userdel lprootdeep# userdel syncrootdeep# userdel shutdownrootdeep# userdel haltrootdeep# userdel newsrootdeep# userdel uucprootdeep# userdel operatorrootdeep# userdel games (如果不使用 X Window,则删除)rootdeep# userdel gopherrootdeep# userdel ftp (如果不使用ftp服务则删除)l 尽量不要在pa

9、sswd文献中包括个人信息,防止被finger之类程序泄露。l 修改shadow,passwd,gshadow文献不可变化位rootdeep# chattr +i /etc/passwdrootdeep# chattr +i /etc/shadowrootdeep# chattr +i /etc/grouprootdeep# chattr +i /etc/gshadowl 不要使用.netrc文献,可以预先生成$HOME/.netrc。设立为0000。touch /.rhosts ;chmod 0 /.rhosts l 使用ssh来代替telnetd,ftpd.pop等通用服务。老式网络服务程

10、序,如:ftp、pop和telnet在本质上都是不安全,由于它们在网络上用明文传送口令和数据。4 网络服务安全(Network Service Security)Linux系统对外提供强大、多样服务,由于服务多样性及其复杂性,在配备和管理这些服务时特别容易出错误,此外,提供这些服务软件自身也存在各种漏洞,因此,在决定系统对外开放服务时,必要紧记两个基本原则:l 只对外开放所需要服务,关闭所有不需要服务。对外提供服务越少,所面临外部威胁越小。l 将所需不同服务分布在不同主机上,这样不但提高系统性能,同步便于配备和管理,减小系统安全风险。在上述两个基本原则下,还要进一步检查系统服务功能和安全漏洞。

11、这里针对主机所提供服务进行相应基本安全配备,某些惯用服务安全配备请参照有关文档。4.1服务过滤Filteringl 在SERVER上禁止这些服务l 如果一定要开放这些服务,通过防火墙、路由指定信任IP访问。l 要保证只有真正需要服务才被容许外部访问,并合法地通过顾客路由器过滤检查。特别在下面服务不是顾客真正需要时候,要从路由器上将其过滤掉NAME PORT PROTOCOL echo 7 TCP/UDP systat 11 TCP netstat 15 TCP bootp 67 UDP tftp 69 UDP link 87 TCP supdup 95 TCP sunrpc 111 TCP/U

12、DP news 144 TCP snmp 161 UDP xdmcp 177 UDP exec 512 TCP login 513 TCP shell 514 TCP printer 515 TCP biff 512 UDP who 513 UDP syslog 514 UDP uucp 540 TCP route 520 UDP openwin TCP nfs 2049 UDP/TCP x11 6000 to 6000+n TCP 注意:有些UDP服务可以导致DOS袭击和远程溢出,如rpc.ypupdated rpcbindrpc.cmsd 100068rpc.statd 100024 rp

13、c.ttdbserver 100083sadmind 100232/10 l 配备完毕后来,运用网络扫描器模仿入侵者从外部进行扫描测试。如运用nmap4.2 /etc/inetd.confl 保证文献权限设立为600l 保证文献属主设立为rootl 注释掉所有不需要服务,需要重新启动inetd进程l 使用netstat an命令,查看本机所提供服务。保证已经停掉不需要服务4.3 R 服务不必使用R服务l 关闭R服务,Red hat 6.2在/etc/inetd.conf文献中注释如下服务,并且重新启动inetd服务。Red hat 7.0在/etc/xinetd.d目录中删除exec512TC

14、PRlogin513TCPRshell514TCPl 预先生成$HOME/.rhosts,/etc/hosts.equiv文献,并且设立为0000,防止被写入”+ +”。(袭击者经常使用类似符号链接或者运用ROOTSHELL写入,并且远程打开受保护主机R服务)必要使用R服务l 使用更安全版本r服务。如Wietse Venemalogdaemon程序等。l 在路由或者防火墙上禁止外部网络访问受保护主机512,513 and 514 (TCP)端口。l 使用TCP WRAPPERS设立可访问受保护主机R服务信任机器。4.4 Tcp_wrapper 该软件作用是在Unix平台上过滤TCP/UDP服务

15、,它当前已被广泛用于监视并过滤发生在主机上ftp、telnet、rsh、rlogin、tftp、finger等原则TCP/UDP服务。当系统安装TCP_wrapper之后,in.conf文献中 /usr/sbin/in.telnetdin.telnetd会被TCP_wrapper附带tcpd程序取代。该程序截获来自客户端服务祈求、记录祈求发生时间和IP地址,并按访问控制进行检查。当本次连接顾客、祈求源IP等信息符合管理员预设值时,才将该次祈求传递给系统in.telnetd,由系统in.telnetd完毕后续工作;若连接不符合规定,该连接祈求将被回绝。同样,ftp、rsh等TCP/UDP服务均可

16、被tcpd取代,由tcpd充当二传手。l 使用PARANOID 模式,用此参数后需要在/etc/hosts文献中加上容许使用telnet或ftp服务客户端名字和IP地址l 在/etc/hosts.deny中设立为all:all,默认所有不容许Access is denied by default.# Deny access to everyone.ALL:ALLALL,PARANOID #Matches any host whose name does not match its address,seebellow.l 在/etc/hosts.allow中设立容许服务和地址如:sshd:208

17、.164.186.1 l 使用tcpdchk检查l UDP服务使用tcpwrapper时要使用/etc/inetd.conf中nowait选项。4.5 /etc/hosts.equiv 文献不必使用/etc/hosts.equiv文献l 从系统中删除此文献l 预先生成/etc/hosts.equiv文献,并且设立为0000,防止被写入”+ +”。(袭击者经常使用类似符号链接或者运用ROOTSHELL写入,并且远程打开受保护主机R服务)必要使用/etc/hosts.equiv文献l 保证此文献中可信赖主机为必要。l 预先生成/etc/hosts.equiv文献,并且设立为0000,防止被写入”+

18、 +”。(袭击者经常使用类似符号链接或者运用ROOTSHELL写入,并且远程打开受保护主机R服务)l 如果使用NIS或者NIS+话,此文献中组应当是容易管理。l 信赖主机必要保证可靠l 信赖主机使用全名,如例如 l 任何时候都不应当浮现”+”字符,由于这样会使任何一台主机上任何顾客都可以不加口令地访问系统l 文献中不要使用! 和#符号,由于在该文献中那并不表达注释信息l 文献开始字符不应当为-.,请查阅C8l 保证该文献访问权限被设立成600。l 文献属主保证为ROOT。l 在每次安装补丁程序或操作系统之后,都应当重新检查该文献夹设立状况4.6 /etc/servicesl 保证文献权限设立为

19、600l 保证文献属主设立为rootl 如果需要提供某些常用服务,如telnetd等,可以在此修改端口此文献为端标语和服务相应关系,给此文献加上保护,避免没有授权修改和删除rootdeep# chattr +i /etc/services4.7 /etc/aliasesl 修改/etc/aliases文献,注释掉decode games,ingress,system,toor,manager,.”.等l 使用/usr/bin/newaliases命令激活新配备l 保证文献权限设立为755l 保证文献属主设立为root4.8 NFSNFS文献系统应注意如下几方面安全l 在外部路由上过滤端口111

20、、2049 (TCP/UDP),不容许外部访问。l 检查更新状况。l 检查 /etc/exports 输出途径权限,拟定只有root能修改,all user只能readl 用exportfs 去增长或删除directoriesexportfs -o access=engineering,ro=dancer /usrexportfs -u /usrl 如果你机器没有NIS(YP server)服务,当更改资料时记得修改/etc/passwd/etc/group/etc/hosts/etc/ethersl 不容许export出去包括本地入口目录l 拟定对方机器是完全可信赖。使用全名l 保证输出列表

21、没有超过256个字符。l 使用showmount e命令查看自己export设立l 将/etc/exports权限设立为644,属主为rootl 使用noexec,nodev.nosuid等选项控制mount文献系统,在/etc/fstab中设立。4.9 Trivial ftp (tftp)无论何种状况下都不应当启动这个服务进程。4.10 Sendmailsendmail提供了许多在编译期间选取功能特性。普通状况下,按照其缺省配备,即可满足普通顾客需要。但是,理解研究其提供特性,可以实现对sendmail许多功能更为精确配备使用。从网络安全角度考虑,通过合理地配备关于特性,可以在提供服务和保证

22、安全之间找到更为精确平衡点(配备特性办法是将需要特性加入到相应系统.mc文献中,然后运用工具m4生成最后sendmail.cf文献。当前最新版本是sendmail8.11.1.(.org)l 最新发行包l promiscuous_relay:该特性打开任意转发功能,也即关闭8.9带来邮件转发方面安全增强控制。此特性使用会对电子邮件服务滥用留下许多隐患,建议除非特别状况,不要使用此特性。l accept_unqualified_senders:缺省状况下,该特性被关闭,即当MAIL FROM:参数中地址表白属于网络连接,但是却不包括合法主机地址时,sendmail将回绝继续通信。打开此特性则不再

23、依照MAIL FROM:参数回绝接受邮件。建议不可容易使用该特性。l loose_relay_check :普通状况下,当邮件使用了源路由功能,例如user%siteothersite,如果othersite属于转发邮件范畴,则sendmail将分离othersite,继续检查site与否属于转发范畴.使用该特性将变化上述缺省操作.建议不要容易使用该特性l accept_unresolvable_domains :普通状况下,当MAIL FROM:参数中主机地址某些无法解析,即无法鉴定为合法主机地址时,sendmail将回绝连接.使用该特性将变化上述操作. 在某些状况下,例如,邮件服务器位于防

24、火墙背面,无法正常解析外部主机地址,但是依然但愿可以正常接受邮件时,也许需要运用该特性.l blacklist_recipients :打开接受黑名单功能。接受黑名单可以涉及顾客名、主机名、或其他地址。l relay_entire_domain :缺省配备下,sendmail只为在转发控制数据库(access db)中定义为RELAY主机提供转发邮件服务. 该特性使用,将使sendmail为本地区内(由$=m类定义)所有主机上面顾客提供转发功能l sendmail受限shell程序smrsh可以防止内部顾客恶意操作。l 防止系统信息泄漏,如修改banner,禁止expn,vrfy命令l 建议配

25、备为需要smtp认证功能。l 其她有关mailserverqmail:.orgpostfix:.orgqpop:Imail:4.11 fingerl 不应当启动这个服务进程。l 如果一定要使用,请使用最新版本。4.12 UUCPl 建议不要使用l 删除所有rhosts文献(目录下)l 保证.cmds 文献属主为rootl 对登陆进行限制l 保证文献没有被设立为所有人可写4.13 World Wide Web (WWW) httpdl 使用你选取最新版本l 不要使用顾客运营httpdl 在chroot环境中运营httpdl 尽量不要使用脚本l 对脚本进行安全审计l 链接使用静态库l 过滤危险字符

26、,如n r (.,/;!)|&$ /proc/sys/net/ipv4/icmp_echo_ignore_all可以将这一行加到/etc/rc.d/rc.local文献中去,这样系统重启动后会自动执行恢复系统Ping响应:rootdeep#echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all5.3关闭或更改系统信息关闭telnet系统信息Red Hat 6.2中,编辑/etc/inetd.conftelnet stream tcp nowait root /usr/sbin/tcpd in.telnetd h加上参数-h可以关闭telnet信息Red H

27、at 7.0中,编辑/etc/xinetd.d/telnet加上server_args = -h,可以关闭telnet信息/etc/rc.d/rc.local中关闭或修改系统信息/etc/issue和/etc/中包括本地登录和网络登录时提示系统信息,对它们进行更改可以变化系统信息,或直接删除,并在/etc/rc.d/rc.local文献中注释有关行:#echo /etc/issue#echo $R /etc/issue#echo Kernel $(uname -r) on $a $(uname -m) /etc/issue#cp -f /etc/issue /etc/#echo /etc/is

28、sue5.4 /etc/securetty文献/etc/securetty文献规定root从哪个TTY设备登录,列出是容许tty设备,将不容许tty设备行注释掉.5.5 /etc/host.conf文献/etc/host.conf定义主机名如何解析,使用什么服务,什么顺序解析# Lookup names via DNS first then fall back to /etc/hosts.order bind,hosts# We have machines with multiple IP addresses.multi on# Check for IP address spoofing.no

29、spoof onorder指定选取服务顺序multi指定主机能不能有各种IP地址,ON代表容许nospoof指定不容许IP伪装,此参数必要设立为ON5.6禁止IP源途径路由容许IP源途径路由(IP source routing)会使得黑客可以欺骗你计算机,截取信息包.强烈建议禁止,使用如下命令:for f in /proc/sys/net/ipv4/conf/*/accept_source_route;doecho 0 $fdone将accept_source_route设立为0,并将上述命令加到/etc/rc.d/rc.local中去,每次重启动将自动执行5.7资源限制为了避免回绝服务袭击,

30、需要对系统资源使用做某些限制。一方面,编辑/etc/security/limits.conf,加入或变化如下* hard core 0 (禁止创立core文献)* hard rss 5000 (除root外,其她顾客最多使用5M内存)* hard nproc 20 (最多进程数限制为20)编辑/etc/pam.d/login,在文献末尾加上:session required /lib/security/pam_limits.so对TCP SYN Cookie保护:(防止SYN Flood袭击)rootdeep# echo 1 /proc/sys/net/ipv4/tcp_syncookies5

31、.8 LILO安全在“/etc/lilo.conf”文献中添加3个参数:time-out、restricted 和 password。这些选项会在启动时间(如“linux single”)转到启动转载程序过程中,规定提供密码。环节1编辑lilo.conf文献(/etc/lilo.conf),添加和更改这三个选项:boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #change this line to 00prompt Default=linux restricted #add this linepassword= #ad

32、d this line and put your password image=/boot/vmlinuz-2.2.14-12 label=linux initrd=/boot/initrd-2.2.14-12.img root=/dev/hda6 read-only 环节2由于其中密码未加密,“/etc/lilo.conf”文献只对根顾客为可读。rootkapil /# chmod 600 /etc/lilo.conf (不再为全局可读)环节3作了上述修改后,更新配备文献“/etc/lilo.conf”。Rootkapil /# /sbin/lilo -v (更新lilo.conf文献)环节

33、4尚有一种办法使“/etc/lilo.conf”更安全,那就是用chattr命令将其设为不可:rootkapil /# chattr +i /etc/lilo.conf它将制止任何对“lilo.conf”文献更改,无论与否故意。5.9 Control-Alt-Delete 键盘关机命令编辑“/etc/inittab”文献,只要在下面行前面加“”,改为注释行。ca:ctrlaltdel:/sbin/shutdown -t3 -r now 改为:#ca:ctrlaltdel:/sbin/shutdown -t3 -r now 然后,为使更改生效,在提示符下输入:rootkapil /# /sbin

34、/init q5.10日记系统安全为了保证日记系统完整性,防止黑客删除日记,需要对日记系统进行安全配备。本专项将有专门文档来讲述日记系统安全。5.11修正脚本文献在“/etc/rc.d/init.d”目录下权限对脚本文献权限进行修正,脚本文献用以决定启动时需要运营所有正常过程启动和停止。添加:rootkapil/# chmod -R 700 /etc/rc.d/init.d/* 这句指是,只有根顾客容许在该目录下使用 Read、Write,和 Execute 脚本文献。6 文献系统安全(File System Security)6.1文献权限 l 去掉不必要suid程序,可以通过脚本查看roo

35、tdeep# find / -type f ( -perm -04000 -o -perm -0 ) -exec ls lg ;通过下面命令来去掉不需要程序s位rootdeep# chmod a-s /usr/bin/commandnamel 重要配备文献如/etc/passwd,/etc/shadow,/etc/inetd.conf等设立为0755,并设立为不可更改l /etc,/usr/etc,/bin,/usr/bin,/sbin,/usr/sbin,/tmp and/var/tmp属主是root,并且设立粘滞。l /dev目录下没有特殊文献。l 查找任何人可写文献和目录rootdeep

36、# find / -type f ( -perm -2 -o -perm -20 ) -exec ls -lg ;rootdeep# find / -type d ( -perm -2 -o -perm -20 ) -exec ls -ldg ;l 查找异常文献,如.文献,文献等find / -name . -print xdevfind / -name .* -print -xdev | cat -vl 检查没有属主文献。Find / -nouser o nogroupl 检查在/dev目录以外尚有无特殊块文献find / ( -type b -o -type c ) -print | gr

37、ep -v /dev/l 使用checksum md5 或者PGP来效验文献6.2控制mount上文献系统可以使用noexec,nodev,nosuid来控制mount上文献系统.在/etc/fstab中设立,例如:将/dev/sda11 /tmp ext2 defaults 1 2/dev/sda6 /home ext2 defaults 1 2改为:/dev/sda11 /tmp ext2 nosuid,nodev,noexec 1 2/dev/sda6 /home ext2 nosuid,nodev 1 2noexec表达不容允许执行,nodev表达不容许块设备,nosuid表达不容许s

38、uid位6.3备份与恢复定期对文献系统进行备份,可以将损失减小到最小限度。Linux下有各种办法进行备份,如:dd,cpio,tar,dump等7 其他7.1使用防火墙防火墙是网络安全重要方面,咱们将另有专项来详细阐述防火墙,涉及防火墙原理,linux 2.2内核下IPChains实现,linux 2.4内核下netfilter实现,商业防火墙产品应用等。7.2使用第三方安全工具Linux下有诸多较好安全工具,例如:Tripwire,SSH,Sudo,Tcpdump,nmap,nessus,snort,sniffit 咱们将安排专项来详细讲述这些非常实用安全工具。7.3参照网站Patches: Exploits:

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2024 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服