©2010-2026 宁波自信网络信息技术有限公司 版权所有
客服电话:0574-28810668 投诉电话:18658249818
浙ICP备2021020529号-1 | 浙B2-20240490
关注我们 :
1、linux系统安全详细设置 一、BIOS安全(硬件上的安全) 1.最基本最简单的安全配置,保障计算机硬件配置等不被别人更改。给BIOS设置密码,防止改变启动顺序从软盘或光盘启动。防止特殊的启动盘启动用户的系统,进入rescue或其他模式,改变或删除当前配置等。 2.禁止使用ctrl+alt+delete重起机器 编辑/etc/inittab文件,注释掉下面一行. ca::ctrlaltdel:/sbin/shutdown -t3 -r now 改成:(使用#) # ca::ctrlaltdel:/sbin/shutdown -t3 -r now 二、帐号安全 口令是系统
2、的第一道防线,目前大多数攻击都是从截获口令或猜测口令等口令攻击开始的。/etc 目录下主要存放系统的配置文件,应对这个目录下的几个文件进行修改。1./etc/login.defs文件是login程序的配置文件,口令的长度和口令的有效期等可以在这里设置。 [root@ ~]# vi /etc/login.defs ... PASS_MAX_DAYS 9999 密码被用最多天数 PASS_MIN_DAYS 0 密码被用最少天数 PASS_MIN_LEN 5 系统默认密码长度5,我们可以该成8或更多. PASS_WARN_AGE 7 密码有效期
3、警告,超过7天将提示用户更换新的密码. ... 2./etc/profile文件是环境变量设置文件。在此文件设置环境变量将对所有用户生效。我们要在此文件设置自动注销帐户的时间及命令的历史记录数。 [root@tp ~]# vi /etc/profile ... HOSTNAME=`/bin/hostname` HISTSIZE=1000 这里1000代表用户操作命令的历史记录,应尽量小一些,设置成0也可以。tmout=600 添加此行,如果系统用户在600秒(10分钟)内不做任何操作,将自动注销这个用户。 3./etc/passwd文件存放系统用户名,用户标识(UID),组标识(
4、GID)等的地方。我们要在这里找到并清除没有设置口令的用户,同时还要清除一些特别帐号(因为可能会存在潜在的危险)。 [root@tp ~]# vi /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin ... wh::500:501::/home/wh:/bin/bash 仔细观察上面的一行(wh用户),在第二项,两个冒号中间什么都没有,而上面的的用户(如root用户)都是x,这表明此用户没有密码,要么添加密码,要么删掉。 4.特别帐号的处理 如果不启动用sendmail,删除如
5、下用户 [root@tp wh]# userdel adm [root@tp wh]# userdel lp [root@tp wh]# userdel sync [root@tp wh]# userdel shudown [root@tp wh]# userdel halt [root@tp wh]# userdel mail 如果不用X windows服务器.可有删除 [root@tp wh]# userdel news [root@tp wh]# userdel uucp [root@tp wh]# userdel operator [root@tp wh]# us
6、erdel games 如果不允许匿名FTP帐号登陆,可删除 [root@tp wh]# userdel gopher [root@tp wh]# userdel ftp 三、重要文件的安全设置. 首先要了解两个命令 1.chmod:改变文件的属主 2.chattr:改变文件属性 我们要做的是将与安全相关的重要文件的所有者改成root,并给相应的权限,还有就是改变文件的属性让它禁止被修改。以下是与安全相关的重要文件:(其实,只要是不想让其他用户更改的文件都可以这么做) 1./etc/passwd,passwd-,passwd.OLD,group,group- 用户,组的
7、ID等信息文件. 2./etc/shadow,shadow-,gshadow,gshadow- 用户,组密码加密文件. 3./etc/xinetd.conf 网络守护进程主配置文件 4./etc/inittab 系统在启动是会读取这个文件里的内容. 5./etc/services 防止未经许可的删除或添加服务 6./etc/rc.d/rc.sysinit 系统启动是需要读取的文件, 7./etc/rc.d/init.d/* 以一个文件为例,其它都一样 [root@tp etc]# chattr +i passwd 当chattr +i时就是禁止对文件进行修改,当我们要添
8、加用户时,就会有麻烦,因为passwd文件禁止修改写入.所以我们还要改掉它的属性.chattr –i。修改文件的所有者的命令是chown。 四、防止攻击的安全设置 1.限制用户滥用系统资源,主要包括资源最大进程数,内存使用量等.这样可以防止DOS类型攻击,需要编辑文件 [root@tp /]# vi /etc/security/limits.conf ... (这三行是添加的) * hard core 0 禁止创建core文件 * hard rss 5000 其他用户(除root)最多使用5M内存 * hard nproc 20 最多进程数限制在20 注:*
9、表示所有登陆到linux的用户. # End of file [root@tp /]# vi /etc/pam.d/login ... 在文件末尾加入下面一行 session required /lib/security/pam_limits.so 2.限制控制台的访问 [root@tp /]# vi /etc/securetty ... 注释掉除tty1以外的控制台终端,这时root仅可在tty1终端登录。 tty1 # tty2 # tty3 # tty4 # tty5 # tty6 3.禁止外来ping请求. [root@tp /]# vi /etc/r
10、c.d/rc.local ... 在最后加入一行 echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 4.防止IP地址欺骗 [root@tp /]# vi /etc/host.conf 加入如下几行 order bind,hosts multi off nospoof on 5.禁止su命令进入root [root@tp pam.d]# vi /etc/pam.d/su ... 在下面加入如下两行 auth sufficient /lib/security/pam_rootok.so debug auth requir
11、ed /lib/security/pam_wheel.so group=xxx 这表示只有xxx组的用户可以su成root. 6.使用TCP_WRAPPER 在默认情况下linux系统允许所有请求,可用TCP_WRAPPER增强安全性,在/etc/hosts.deny写入"ALL:ALL"禁止所有请求 [root@tp etc]# vi /etc/hosts.deny # # hosts.deny This file describes the names of the hosts which are # *not* allowed to use
12、 the local INET services, as decided # by the '/usr/sbin/tcpd' server. # # The portmap line is redundant, but it is left to remind you that # the new secure portmap uses hosts.deny and hosts.allow. In particular # you should know that NFS uses portmap! "ALL:ALL" 把允许访问的客户或服务添加到/
13、etc/hosts.allow,冒号左边为服务,冒号右边为授权的机器。 [root@tp etc]# vi /etc/hosts.allow # # hosts.allow This file describes the names of the hosts which are # allowed to use the local INET services, as decided # by the '/usr/sbin/tcpd' server. # vsftp:211.101.46.253 注:仅允许IP地
14、址为211.101.46.253的机器访问FTP服务器。 7.删减登录信息 [root@tp ~]# rm -f /etc/issue [root@tp ~]# rm -f /etc/ [root@tp ~]# touch /etc/issue [root@tp ~]# touch /etc/ 五、确保开启服务的安全性 首先看一下自己系统开启了多少服务。 [root@tp ~]# ps -eaf | wc -l 进程个数 我们可以通过查看当前运行的进程来了解一下系统打开了哪些服务: [root@tp ~]# ps -aux Warning: ba
15、d syntax, perhaps a bogus '-'? See /usr/share/doc/procps-3.2.3/FAQ :以上为系统提示,可忽略 USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND root 1 0.0 0.2 2592 560 ? S 21:02 0:00 init[3] root 2 0.0 0.0 0 0 ? SN 21:02
16、0:00 [ksoftirqd/0] root 3 0.0 0.0 0 0 ? S< 21:02 0:00 [events/0] root 4 0.0 0.0 0 0 ? S< 21:02 0:00 [khelper] root 5 0.0 0.0 0 0 ? S< 21:02 0:00 [kacpid] root 20 0.0 0.0 0 0 ? S< 21:02
17、0:00 [kblockd/0] root 30 0.0 0.0 0 0 ? S 21:02 0:00 [pdflush] root 31 0.0 0.0 0 0 ? S 21:02 0:00 [pdflush] root 33 0.0 0.0 0 0 ? S< 21:02 0:00 [aio/0] root 21 0.0 0.0 0 0 ? S 21:02 0:00
18、 [khubd] root 32 0.0 0.0 0 0 ? S 21:02 0:00 [kswapd0] root 107 0.0 0.0 0 0 ? S 21:02 0:00 [kseriod] root 181 0.0 0.0 0 0 ? S< 21:03 0:00 [kmirrord] root 182 0.0 0.0 0 0 ? S< 21:03 0:00 [kmi
19、r_mon]
root 190 0.0 0.0 0 0 ? S 21:03 0:00 [kjournald]
root 1085 0.0 0.1 2604 444 ? S 20、0]
root 1769 0.0 0.0 0 0 ? S 21:03 0:00 [kjournald]
root 2250 0.0 0.2 2668 632 ? Ss 21:03 0:00 syslogd -m 0
root 2254 0.0 0.1 3352 472 ? Ss 21:03 0:00 klogd -x
rpc 2274 0.0 0.2 2220 572 ? Ss 21:03 0:00 portmap 21、
rpcuser 2294 0.0 0.2 2108 756 ? Ss 21:03 0:00 rpc.statd
root 2322 0.0 0.3 5344 992 ? Ss 21:03 0:00 rpc.idmapd
root 2399 0.0 0.3 2612 816 ? S 21:03 0:00 /usr/sbin/smartd
root 2409 0.0 0.2 3176 540 ? Ss 21:03 0:00 /usr/ 22、sbin/acpid
root 2440 0.0 1.4 11192 3680 ? Ss 21:03 0:00 cupsd
root 2497 0.0 0.6 5044 1712 ? Ss 21:03 0:00 /usr/sbin/sshd
root 2526 0.0 0.3 2760 876 ? Ss 21:03 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
root 2536 0.0 0.2 1 23、788 528 ? Ss 21:03 0:00 gpm -m /dev/input/mice -t imps2
htt 2565 0.0 0.1 1960 316 ? Ss 21:03 0:00 /usr/sbin/htt -retryonerror 0
htt 2566 0.0 1.1 8256 3024 ? S 21:03 0:00 htt_server -nodaemon
canna 2578 0.0 6.8 19932 17628 ? Ss 21 24、03 0:00 /usr/sbin/cannaserver -syslog -u canna
root 2590 0.0 0.4 7428 1204 ? Ss 21:03 0:00 crond
xfs 2628 0.0 1.3 5692 3332 ? Ss 21:03 0:00 xfs -droppriv -daemon
root 2638 0.0 0.2 2092 640 ? SNs 21:03 0:00 anacron -s
root 2647 0. 25、0 0.2 3712 740 ? Ss 21:03 0:00 /usr/sbin/atd
dbus 2657 0.0 0.5 13296 1324 ? Ssl 21:03 0:00 dbus-daemon-1 --system
root 2668 0.0 0.4 3156 1040 ? Ss 21:03 0:00 cups-config-daemon
root 2679 0.0 1.7 6540 4424 ? Ss 21:03 0:00 hald
r 26、oot 2688 0.0 0.5 2916 1288 ? Ss 21:03 0:00 login -- root
root 2689 0.0 0.1 1528 404 tty2 Ss+ 21:03 0:00 /sbin/mingetty tty2
root 2690 0.0 0.1 2048 404 tty3 Ss+ 21:03 0:00 /sbin/mingetty tty3
root 2691 0.0 0.1 3488 404 tty4 Ss+ 2 27、1:03 0:00 /sbin/mingetty tty4
root 2692 0.0 0.1 2368 404 tty5 Ss+ 21:03 0:00 /sbin/mingetty tty5
root 2693 0.0 0.1 3296 404 tty6 Ss+ 21:03 0:00 /sbin/mingetty tty6
root 3136 0.0 0.5 5920 1396 tty1 Ss+ 21:05 0:00 -bash
root 3574 0.0 0.8 840 28、0 2276 ? Ss 21:05 0:00 sshd: root@pts/0
root 3576 0.0 0.5 6896 1388 pts/0 Ss 21:05 0:00 -bash
root 3608 0.0 0.4 6584 1216 pts/0 S+ 21:05 0:00 ntsysv
root 4019 0.0 0.8 8408 2276 ? Rs 21:09 0:00 sshd: root@pts/1
root 4021 0.0 0.5 29、6912 1388 pts/1 Ss 21:09 0:00 -bash
root 4084 0.0 0.2 2852 748 pts/1 R+ 21:17 0:00 ps -aux
以上进程或服务都是开机自动加载的。还可以用其它命令来看一下:
[root@tp ~]# ntsysv (tab键切换,退出)
…………
显示结果中那些前面有*号的就是开机自动启动的服务,和windows系统中一样,没用的服务可以关掉。运行的服务越少,系统就越安全。
查看哪些服务正在运行的命令还有:
[root@tp ~]# netsta 30、t -an
Active Internet connections (servers and established)
Proto Recv-Q Send-Q Local Address Foreign Address State
tcp 0 0 0.0.0.0:32768 0.0.0.0:* LISTEN
tcp 0 0 0.0.0.0:111 0.0.0.0:* 31、 LISTEN
tcp 0 0 0.0.0.0:113 0.0.0.0:* LISTEN
tcp 0 0 127.0.0.1:631 0.0.0.0:* LISTEN
tcp 0 0 :::80 :::* LISTEN
tcp 32、 0 0 :::22 :::* LISTEN
tcp 0 0 :::443 :::* LISTEN
tcp 0 880 ::ffff:192.168.0.1:22 ::ffff:192.168.0.5:2683 ESTABLISHED
udp 0 0 0.0.0.0:32768 33、 0.0.0.0:*
udp 0 0 0.0.0.0:111 0.0.0.0:*
udp 0 0 0.0.0.0:631 0.0.0.0:*
udp 0 0 0.0.0.0:764 0.0.0.0:* 34、
带有LISTEN的代表正在开启的端口,开启的服务。
以下linux系统的启动过程做一个简单介绍。首先进入下面目录,
[root@tp ~]# cd /etc/rc.d
[root@tp rc.d]# ls
init.d rc rc0.d rc1.d rc2.d rc3.d rc4.d rc5.d rc6.d rc.local rc.sysinit
如果你的系统是图形化界面启动的话,则运行级别是5,自启动服务配置文件目录是rc5.d。多用户模式非图形界面启动,运行级别是3,配置文件目录是rc3.d。是什么模式就进入相应目录,例如: 35、
[root@tp rc.d]# cd rc3.d
[root@tp rc3.d]# ls
K01yum K16rarpd K35cyrus-imapd K50snmptrapd K84bgpd K96ipmi S13irqbalance S55sshd K02NetworkManager K20bootparamd K35dhcpd K50tux K84ospf6d K99readahead S13portmap
S56rawdevices K03rhnsd K20netdump-server K35smb K50vsftpd K84ospfd K99readahead_early
36、
S14nfslock S56xinetd K05atd K20nfs K35vncserver K54dovecot K84ripd S00microcode_ctl
S15mdmonitor S85gpm K05innd K20rstatd K35winbind K61ldap K84ripngd S01sysstat
S18rpcidmapd S87iiim K05saslauthd K20rusersd K36dhcp6s K65kadmin K85mdmpd S05kudzu
S19rpcgssd S90canna K10dc_server K20rwhod K36lisa K 37、65kprop K85zebra S06cpuspeed S25netfs
S90crond K10psacct K24irdaK36mysqld K65krb524 K87auditd S08arptables_jf S26apmd
S95anacron K10radiusd K25squid K36postgresql K65krb5kdc K87multipathd S08ip6tables
S26lm_sensors S97messagebus K10xfs K28amd K45arpwatch K73ypbind K88opensm S08iptables S28autofs 38、S98cups-config-daemon K12dc_client K30sendmail K45named K74nscd K89iscsi S09isdn S40smartd S98haldaemon K12FreeWnn K30spamassassin K46radvd K74ntpd K89netplugd S09pcmcia S44acpid S99local K12mailman K34dhcrelay K50netdump K74ypserv K90bluetooth
S10network S54hpoj K15httpd K34yppasswdd K50snmpd K74y 39、pxfrd K94diskdumpS12syslog S55cups
linux在开机时会读取/etc/rc.d/rc*.d(*是运行级别)
终止K开头的服务,开启S开头的服务。通过ntsysv命令所做的更改都会在这里体现出来。重点是要决定开启和关闭哪些服务。
下面列出每项服务的具体功能,可以根据自己的需要来决定。
amd:自动安装NFS(网络文件系统)守侯进程
apmd:高级电源管理
arpwatch:记录日志并构建一个在LAN接口上看到的以太网地址和IP地址对数据库
atd 运行用户用At命令调度的任务。也在系统负荷比较低时 运行批处理任务。
autofs:自动安装管理进程 40、automount,与NFS相关,依赖于NIS
bootparamd:引导参数服务器,为LAN上的无盘工作站提供引导所需的相关信息
crond:Linux下的计划任务
dhcpd:启动一个DHCP(动态IP地址分配)服务器
gated:网关路由守候进程,使用动态的OSPF路由选择协议
gpm gpm为文本模式下的Linux程序如mc(Midnight Commander)提供了
鼠标的支持。它也支持控制台鼠标的拷贝,粘贴操作以及弹出式菜单。
httpd:WEB服务器
inetd:支持多种网络服务的核心守候程序
innd:Usenet新闻服务器
keytable 该程序的功能 41、是转载您在/etc/sysconfig/keyboards里说明的键盘
映射表,该表可以通过kbdconfig工具进行选 择。您应该使该程序
处于激活状态。
ldap LDAP代表Lightweight Directory Access Protocol, 实现了目录
访问协议的行业标准。
linuxconf:允许使用本地WEB服务器作为用户接口来配置机器
lpd:打印服务器
mars-nwe:mars-nwe文件和用于Novell的打印服务器
mcserv Midnight Commander服务进程允许远程机器上的用户通过Midnight
commander文件管理器操作 42、本机文件。服务进程用PAM来验证用户,
需要给出“用户名/口令”以通过验证
named:DNS服务器
netfs:安装NFS、Samba和NetWare网络文件系统
network:激活已配置网络接口的脚本程序
nfs:打开NFS服务
nscd:nscd(Name Switch Cache daemon)服务器,用于NIS的一个支持服务,它高速缓存用户口令和组成成员关系
pcmcia pcmcia主要用于支持笔记本电脑
portmap:RPC portmap管理器,与inetd类似,它管理基于RPC服务的连接
postgresql:一种SQL数据库服务器
random 保存 43、和恢复系统的高质量随机数生成器,这些随机数是系统一些随
机行为提供的
routed:路由守候进程,使用动态RIP路由选择协议
rstatd:一个为LAN上的其它机器收集和提供系统信息的守候程序
ruserd:远程用户定位服务,这是一个基于RPC的服务,它提供关于当前记录到LAN上一个机器日志中的用户信息
rwalld:激活rpc.rwall服务进程,这是一项基于RPC的服务,允许用户给每个注册到LAN机器上的其他终端写消息
rwhod:激活rwhod服务进程,它支持LAN的rwho和ruptime服务
sendmail:邮件服务器sendmail
smb:Samba文件共享/打 44、印服务
snmpd:本地简单网络管理候进程
squid:激活代理服务器squid
syslog:一个让系统引导时起动syslog和klogd系统日志守候进程的脚本
webmin webmin是基于web的集系统管理与网络管理于一身的强大管理工具。
利用webmin的强大功能,用户可以通过web浏览器来方便地设置自己的服务器、dns、samba、nfs、本地/远程文件系统以及许多其他的系统配置。
xfs:X Window字型服务器,为本地和远程X服务器提供字型集
xntpd:网络时间服务器
ypbind:为NIS(网络信息系统)客户机激活ypbind服务进程
yppasswdd 45、NIS口令服务器
ypserv:NIS主服务器
gpm:鼠标管理服务
identd:AUTH服务,在提供用户信息方面与finger类似
六、安全日志
这里只介绍如何通过日志来查看那些可疑的用户登陆过机器,并不详细介绍日志其它方面的知识。以下是三个重要的日志文件:
/var/log/wtmp 记录每个用户登陆和退出时间的永久记录。
/var/run/utmp 记录当前登陆到系统的每个用户信息。
/var/log/lastlog 每个用户最后一次登陆的信息(最新的信息)
wtmp和utmp都是二进制文件,它们要用命令来查看内容。
1.命令who可查看utmp文件当前的每 46、个用户的信息,它默认输出包括用户名,终端类型,登陆时间及远程登录主机IP。
如下:
[root@tp log]# who
root pts/0 May 4 22:10 (192.168.0.5)
如果指明了文件,则显示自wtmp文件被创建以来所有登陆的用户信息。
[root@tp log]# who /var/log/wtmp
root tty1 May 4 20:44
root pts/0 May 4 20:52 (211.101.46.195)
root tty1 May 4 47、 21:05
root pts/0 May 4 21:05 (211.101.46.195)
root pts/1 May 4 21:09 (192.168.0.5)
root pts/0 May 4 21:38 (192.168.0.5)
root pts/0 May 4 22:10 (192.168.0.5)
2.命令w,查看utmp文件并显示当前系统中每个用户和它所运行的进程信息.
如:
[root@tp log]# w
23:00:48 up 54 min, 1 user 48、 load average: 0.00, 0.00, 0.00
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
root pts/0 192.168.0.5 22:10 0.00s 0.03s 0.00s w
3.users,显示当前当前登陆的用户数量.如,
[root@tp log]# users
root root
这表明两个root用户在同时登陆这台机器.
4.last命令,用来显示wtmp文件第一次创建以来所有登陆过的用户.
如:
[root 49、@tp log]# last
root pts/1 192.168.0.5 Fri May 4 23:01 - 23:02 (00:00)
root pts/0 192.168.0.5 Fri May 4 22:10 still logged in
reboot system boot 2.6.9-34.EL Fri May 4 22:07 (00:59)
root pts/0 192.168.0.5 Fri May 4 21:38 - down (00:27)
reboot system boot 2.6.9-34.EL Fri May 4 21:36 (00:29)
root pts/1 192.168.0.5 Fri May 4 21:09 - down (00:25)
root pts/0 211.101.46.195 Fri May 4 21:05 - down (00:29)
root tty1
©2010-2026 宁波自信网络信息技术有限公司 版权所有
客服电话:0574-28810668 投诉电话:18658249818
浙ICP备2021020529号-1 | 浙B2-20240490
关注我们 :
