|
的系統(tǒng)文件
使用 +i 屬性鎖定service ���、passwd���、grub.conf 文件(將不能正常添加系統(tǒng)用戶)
# chattr +i /etc/service /etc/passd /boot/grub.conf
解除/etc/passwd文件的 +i 鎖定屬性
# lsattr /etc/passwd //查看文件的屬性狀態(tài)
# chattr -i /etc/passwd
? 應(yīng)用程序和服務(wù)
1. 關(guān)閉不必要的系統(tǒng)服務(wù)
2. 禁止普通用戶執(zhí)行init.d目錄中的腳本
# chmod -R o-rwx /etc/init.d
或
# chmod -R 750 /etc/init.d
3. 禁止普通用戶執(zhí)行控制臺(tái)程序
/etc/security/console.apps/目錄下每一文件對(duì)應(yīng)一個(gè)系統(tǒng)程序,如果不希望普通用戶調(diào)用這些控制臺(tái)程序���,可以將對(duì)應(yīng)的配置文件移除
# cd /etc/security/console.apps/
# tar jcpvf /etc/conhlp.pw.tar.bz2 poweroff halt reboot - - remove
4. 去除程序文件中非必需的set-uid 或 set-gid 附加權(quán)限
查找系統(tǒng)中設(shè)置了set-uid或set-gid權(quán)限的文件���,并結(jié)合 –exec 選項(xiàng)顯示這些文件的詳細(xì)權(quán)限屬性
# find / -type f perm +6000 -exec ls -lh { } \ ;
去掉程序文件的suid/sgid位權(quán)限
# chmod a-s /tmp/back.vim
編寫shell腳本���,檢查系統(tǒng)中新增加的帶有suid或者sgid位權(quán)限的程序文件
(1) 在系統(tǒng)處于干凈狀態(tài)時(shí),建立合法suid/sgid文件的列表���,作為是否有新增可疑suid文件的比較依據(jù)
# find / -type f -prem +6000 > /etc/sfilelist
# chmod 600 /etc/sfilelist
(2) 建立chksfile腳本文件���,與sfilelist比較,輸出新增的帶suid/sgid屬性的文件
# vi /usr/sbin/chksfile
#!/bin/bash
OLD_LIST=/etc/sfilelist
for i in ` find / -type -prem +6000 `
do
grep -F “$i” $OLD_LIST > /dev/null
[ $? -ne 0 ] && ls -lh $i
done
# chmod 700 /usr/bin/chkfile
(3) 執(zhí)行chkfile腳本���,檢查是否有新增suid/sgid文件
# cp /bin/touch /bin/mytouch //建立測(cè)試用程序文件
# chmod 4755 /bin/mytouch
# chksfile //執(zhí)行程序腳本���,輸出檢查結(jié)果
系統(tǒng)引導(dǎo)和登錄安全優(yōu)化開關(guān)機(jī)安全控制
1. 調(diào)整BIOS引導(dǎo)設(shè)置
將第一優(yōu)先引導(dǎo)設(shè)備設(shè)為當(dāng)前系統(tǒng)所在硬盤,其他引導(dǎo)設(shè)置為Disabled.為BIOS設(shè)置管理員密碼���,安全級(jí)別調(diào)整為setup
2. 防止用戶通過Ctrl+Alt_Del熱鍵重啟系統(tǒng)
# vi /etc/inittab
# ca : :ctrlaltdel :/sbin/shutdown -t3 -r now //注掉該行
# init -q //使配置文件立即生效
? GRUB引導(dǎo)菜單加密
在grub.conf文件中設(shè)置明文密碼
# vi /boot/grub/grub.conf
password 123456 //僅在需要變更grub引導(dǎo)參數(shù)時(shí)才需要提供密碼
tiltle Red Enterprise Linux Server (2.6.18-8.el5)
root ( hd0,0 )
password 1234 //進(jìn)入系統(tǒng)時(shí)輸入的密碼
在grub.conf文件中設(shè)置md5加密的密碼字符串
# vi mima
wang
wang
# grub-md5-crypt < mima >> /boot/grub/grub.conf
? 終端登錄控制
1. 即時(shí)禁止普通用戶登錄
# touch /etc/nologin //通過/etc/nologin文件即時(shí)禁止普通用戶登錄系統(tǒng)
2. 控制服務(wù)器開放的tty終端
# vi /etc/inittab
1. 控制允許root用戶登錄的tty終端
# vi /etc/securetty
1. 更改系統(tǒng)登錄提示���,隱藏內(nèi)核版本信息
通過修改/etc/issue、/etc/issue.net文件(分別對(duì)應(yīng)本地登錄���、網(wǎng)絡(luò)登錄)
# vi /etc/issue
Welcome to server
# cp -f /etc/issue /etc/issue.net
2. 使用pam_access認(rèn)證控制用戶登錄地點(diǎn)
Pam_access認(rèn)證讀取/etc/security/access.conf配置文件���,該文件由權(quán)限���、用戶、來源���,組成���,用冒號(hào)進(jìn)行分隔
權(quán)限 :加號(hào) + 或 減號(hào) - ,分別表示允許���、拒絕
用戶 : 用戶名部分���,多個(gè)用戶名用空格分開���,組使用@組名的形式表示���。ALL表示所有用戶
來源 :表示用戶從哪個(gè)終端或遠(yuǎn)程主機(jī)登錄,多個(gè)來源地點(diǎn)用空格分開
例:禁止除了root以外的用戶從tty1終端登錄系統(tǒng)
# vi /etc/pam.d/login //在PAM配置文件login中添加認(rèn)證支持
account required pam_access.so
# vi /etc/security/access.conf
- : ALL EXCEPT root : tty1
例:禁止root用戶從192.168.1.0/24 ���、 172.16.0.0/8 網(wǎng)絡(luò)中遠(yuǎn)程登錄
# vi /etc/pam.d/sshd //在PAM配置文件sshd中添加認(rèn)證支持
account required pam_access.so
# vi /etc/security/access.conf
- : root : 192.168.1.0/24 172.16.0.0/8
億恩科技地址(ADD):鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP):450008 傳真(FAX):0371-60123888
聯(lián)系:億恩小凡
QQ:89317007
電話:0371-63322206
本文出自:億恩科技【www.riomediacenter.com】
服務(wù)器租用/服務(wù)器托管中國五強(qiáng)���!虛擬主機(jī)域名注冊(cè)頂級(jí)提供商!15年品質(zhì)保障���!--億恩科技[ENKJ.COM]
|
香港服務(wù)器租用
美國服務(wù)器租用
電信骨干機(jī)房
聯(lián)通骨干機(jī)房
0371-60135900
