linux 一些基本的安全措施

linky_fan

LINUX 基准安全
                            patched by linky_fan

　　系统安全记录文件 操作系统内部的记录文件是检测是否有网络入侵的重要线索。如果你的系统是直接连到Internet，你发现有很多人对你的系统做Telnet/FTP登录尝试，可以运行"#more /var/log/secure | grep refused"来检查系统所受到的攻击，以便采取相应的对策，如使用SSH来替换Telnet/rlogin等。

　　启动和登录安全性

　　1. BIOS安全
　　设置BIOS密码且修改引导次序禁止从软盘启动系统。

　　2. 用户口令
　　用户口令是Linux安全的一个基本起点，很多人使用的用户口令过于简单，这等于给侵入者敞开了大门，虽然从理论上说，只要有足够的时间和资源可以利用，就没有不能破解的用户口令。但选取得当的口令是难于破解的，较好的用户口令是那些只有他自己容易记得并理解的一串字符，并且绝对不要在任何地方写出来。

　　3. 默认账号
　　应该禁止所有默认的被操作系统本身启动的并且不必要的账号，当你第一次安装系统时就应该这么做，Linux提供了很多默认账号，而账号越多，系统就越容易受到攻击。
　　可以用下面的命令删除账号。
　　# userdel用户名
　　或者用以下的命令删除组用户账号。
　　# groupdel uname

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　4. 口令文件
　　chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。
　　# chattr +i /etc/passwd            
　　# chattr +i /etc/shadow
　　# chattr +i /etc/group
　　# chattr +i /etc/gshadow
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
以上这段仅针对使用ext3文件系统默认设置时，对于reiserfs或其他文件系统
请查看内核中关于文件系统部分的编译选项。是否打开了对于附加属性的支持。


　　5. 禁止Ctrl+Alt+Delete重新启动机器命令
　　修改/etc/inittab文件，将"ca::ctrlaltdel:/sbin/shutdown -t3 -r now"一行注释掉。然后重新设置/etc/rc.d/init.d/目录下所有文件的许可权限，运行如下命令：
　　# chmod -R 700 /etc/rc.d/init.d/*
　　这样便仅有root可以读、写或执行上述所有脚本文件。

　　6. 限制su命令
　　如果你不想任何人能够用su作为root，可以编辑/etc/pam.d/su文件，增加如下两行：
　　auth sufficient /lib/security/pam_rootok.so debug
　　auth required /lib/security/pam_wheel.so group=isd
　　这时，仅isd组的用户可以用su作为root。此后，如果你希望用户admin能够用su作为root，可以运行如下命令：
　　# usermod -G10 admin

　　7. 删减登录信息
　　默认情况下，登录提示信息包括Linux发行版、内核版本名和服务器主机名等。
对于一台安全性要求较高的机器来说这样泄漏了过多的信息。
可以编辑/etc/rc.d/rc.local将输出系统信息的如下行注释掉。
　　# This will overwrite /etc/issue at every boot. So， make any changes you
　　# want to make to /etc/issue here or you will lose them when you reboot
　　# echo "" ＞ /etc/issue
　　# echo "$R" ＞＞ /etc/issue
　　# echo "Kernel $(uname -r) on $a $(uname -m)" ＞＞ /etc/issue
　　# cp -f /etc/issue /etc/issue.net
　　# echo ＞＞ /etc/issue
　　然后，进行如下操作：
　　# rm -f /etc/issue
　　# rm -f /etc/issue.net
　　# touch /etc/issue
　　# touch /etc/issue.net

　　限制网络访问

　　1.NFS访问
　　如果你使用NFS网络文件系统服务，应该确保你的/etc/exports具有最严格的访问权限设置，也就是意味着不要使用任何通配符、不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports并加入如下两行。
　　/dir/to/export host1.mydomain.com(ro，root_squash)
　 /dir/to/export host2.mydomain.com(ro，root_squash)
　　/dir/to/export 是你想输出的目录，host.mydomain.com是登录这个目录的机器名，ro意味着mount成只读系统，root_squash禁止root写入该目录。为了使改动生效，运行如下命令。
　　# /usr/sbin/exportfs -a

　　2.xinetd设置
　　首先要确认/etc/xinetd.conf的所有者是root，且文件权限设置为600。设置完成后，可以使用"stat"命令进行检查。
　　# chmod 600 /etc/xinetd.conf
　　然后，进入/etc/xinetd.d/禁止以下服务。
　　ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth
　　如果你安装了ssh/scp，也可以禁止掉Telnet/FTP。为了使改变生效，运行如下命令：
　　#killall -HUP xinetd
　　默认情况下，多数Linux系统允许所有的请求，而用TCP_WRAPPERS增强系统安全性是举手之劳，你可以修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。例如，将/etc/hosts.deny设为"ALL: ALL"可以默认拒绝所有访问。然后在/etc/hosts.allow文件中添加允许的访问。例如，"sshd: 192.168.1.10/255.255.255.0 gate.openarch.com"表示允许IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH连接。
　　配置完成后，可以用tcpdchk检查:
　　# tcpdchk
　　tcpchk是TCP_Wrapper配置检查工具，它检查你的tcp wrapper配置并报告所有发现的潜在/存在的问题。

　　3.登录终端设置
　　/etc/securetty文件指定了允许root登录的tty设备，由/bin/login程序读取，
其格式是一个被允许的名字列表，你可以编辑/etc/securetty且注释掉如下的行。
　　# tty1
　# tty2
　　# tty3
　　# tty4
　　# tty5
　　# tty6
　　这时，root仅可在tty1终端登录。

　　4.避免显示系统和版本信息
　　如果你希望远程登录用户看不到系统和版本信息，可以通过以下操作改变/etc/inetd.conf文件：
　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
　　加-h表示telnet不显示系统信息，而仅仅显示"login:"。

　　防止攻击

　　1.阻止ping
　　如果没人能ping通你的系统，安全性自然增加了。为此，可以在/etc/rc.d/rc.local文件中增加如下一行：
　　echo 1 ＞/proc/sys/net/ipv4/
　　icmp_echo_ignore_all

　　2.防止IP欺骗
　　编辑host.conf文件并增加如下几行来防止IP欺骗攻击。
　　order bind，hosts
　　multi off
　　nospoof on

　　3.防止DoS攻击
　　对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。
例如，可以在/etc/security/limits.conf中添加如下几行：
　　* hard core 0
　　* hard rss 5000
　　* hard nproc 20
　　然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
　　session required /lib/security/pam_limits.so
　　上面的命令禁止调试文件，限制进程数为50并且限制内存使用为5MB。
　　安装补丁
　　由于各种linux厂商的分版不同，我们建议您访问相关主页获取信息
　　redhat
　　ftp://updates.redhat.com/
　　可使用下列命令安装补丁：
　　rpm -Fvh [文件名]

　　debian
　　http://www.debian.org/security/
　　您可以使用 apt 来下载最新的安全更新。把以下的一行
　　
         deb http://security.debian.org/ woody/updates main contrib non-free
   
　　加进 /etc/apt/sources.list 档内便可。
　　手工安装补丁包：
　　使用apt-get自动安装补丁包：
　　首先，使用下面的命令更新内部数据库：
　　# apt-get update

　　然后，使用下面的命令安装更新软件包：
　　# apt-get upgrade
　　手工安装：
　　首先，使用下面的命令来下载补丁软件：
　　# wget url (url是补丁下载链接地址)
　　然后，使用下面的命令来安装补丁：
　　# dpkg -i file.deb (file是相应的补丁名) 经过以上的设置，你的Linux服务器已经可以对绝大多数已知的安全问题和网络攻击具有免疫能力，但一名优秀的系统管理员仍然要时刻注意网络安全动态，随时对已经暴露出的和潜在的安全漏洞进行修补。

这只是一个基本的框架，在此之上还有sudo，用syslog－ng替换syslog加强日志的管理，用antivir 防护病毒，用nessus检测系统的安全性，用tripwire给关键目录加上看门狗，然后再加上portsentry（单机）或是snort这样ids。。。。呵呵，这样的话只要不是太懒，基本上除了DDOS没什么太好的办法之外，要把你的主机攻破会是一个非常大的挑战哟。

vyouzhi

好像在哪看过的

不过我想还得加个让/usr为只读
而且最好在/etc/fstab里改为好
还有设置好pam
除了限制su还得不能让一般的用户使用sudo，gcc等
最好还得对一般的用户设好他们能使用的shell
这也是不能让入侵者使用一般的权限编译自己程序
这也应该要注意的
这只代表自己我意见
      

linky_fan

gcc

这个东西在服务器上最好能不装就不装

vyouzhi

但有时你也得用root去装一些软件呀
比较sniffer，ids,snort之类的
还有管理流量的东东
如果都用rpm装好像有点不太好吧

linky_fan

ids之类或是流量检测的东西建议在交换机上单独开一个端口加上一台主机进行检测并且实现和防火墙的自动交互（指的是软件的iptables，这个正在研究中，看好了会写篇东东的），放在DMZ中。至于nessus或nmap等东西都可以建立在c/s架构上，对服务器这边只要加强些单机安全措施就可以了（完全可以取消root的登陆权限，改由ssh进行管理），
这里用rpm感觉够了，实在觉得某些功能好的话，可以自己在其他机子上编个rpm拿过来用嘛