linux操作系统安全系数升级

　　对所有不使用的服务,应该禁用并卸载,这样可以少些麻烦.查看“/etc/inetd.conf”文件,在不需要的项目行前加“＃”号,即改为注释语句,就可以禁用它们了.然后给 inetd 过程发送一个 SIGHUP 命令,对“inetd.conf”文件进行更新.步骤如下：

　　步骤1

　　将“/etc/inetd.conf”文件许可改为600,使其只对根用户为可读写.

　　[Root@kapil /]# chmod 600 /etc/inetd.conf

　　步骤2

　　确保“/etc/inetd.conf”文件的所有者为根用户.

　　步骤3

　　编辑 inetd.conf 文件（/etc/inetd.conf）,禁用如下服务：

　　ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等.

　　如果不打算用,禁用了这些服务可以减少风险.

　　步骤4

　　给 inetd 过程发送HUP信号：

　　[root@kapil /]# killall -HUP inetd

　　步骤5

　　将“/etc/inetd.conf”文件设为不可更改,chattr 命令可以使任何人都无法对其进行修改：

　　[root@kapil /]# chattr i /etc/inetd.conf

　　唯一可以设置或清除该属性的用户只有根用户.要修改inetd.conf文件,去掉不可更改标记：

　　[root@kapil /]# chattr -i /etc/inetd.conf

TCP_WRAPPERS

　　通过 TCP_WRAPPERS,可以使服务器更好地抵制外部侵入.最好的办法是拒绝所有主机：在“/etc/hosts.deny”文件中加入“ALL:&nbspALL@ALL, PARANOID”,然后在“/etc/hosts.allow”列出允许访问的主机.TCP_WRAPPERS 受控于两个文件,搜索时停在第一个匹配的地方.

　　/etc/hosts.allow

　　/etc/hosts.deny

　　步骤1

　　编辑 hosts.deny 文件（/etc/hosts.deny）,加入如下行：

　　# Deny access to everyone.

　　ALL:&nbspALL@ALL, PARANOID

　　语句的意思是,除非在 allow 文件中说明允许访问,所有服务、所有主机都被拒绝.

　　步骤2

　　编辑 hosts.allow 文件（/etc/hosts.allow）,例如在文件中添加如下行：

　　ftp: 202.54.15.99 foo.com

　　对于你的客户机来说：202.54.15.99为IP地址,foo.com为允许使用ftp的一个客户机.

　　步骤3

　　tcpdchk 程序是tcpd wrapper配置的检查程序.它对tcpd wrapper的配置进行检查,并报告所发现的潜在的和实际存在的问题.配置完成后,运行tcpdchk 程序：

　　[Root@kapil /]# tcpdchk

　　不要显示系统发行文件

　　当别人远程登录时,不应该显示系统发行文件.做法是在“/etc/inetd.conf”文件中更改telnet选项：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

　　改为：

　　telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

　　在末尾加“-h”标记使后台程序不显示任何系统信息,而只给用户提供一个 login: 提示符.

　　更改“/etc/host.conf”文件

　　“/etc/host.conf”文件用来指定如何解析名称的方法.编辑 host.conf 文件（/etc/host.conf）,添加如下各行：

　　# Lookup names via DNS first then fall back to /etc/hosts.

　　order bind,hosts

　　# We have machines with multiple IP addresses.

　　multi on

　　# Check for IP address spoofing.

　　nospoof on

　　第一个选项通过DNS解析主机名称,然后解析主机文件.multi 选项用于确定“/etc/hosts”文件中的主机是否有多个IP地址（多接口以太网）.

　　nospoof 选项指明该机器不允许假信息.

　　为“/etc/services”文件免疫

　　为“/etc/services”文件进行磁盘免疫,以避免对文件未经授权的删除或

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!