CentOS 4.4 及 Linux 下最常用最有效的安全设置

CentOS 4.4 及 Linux 下最常用最有效的安全设置

1、 CentOS或Red Had Enterprise Linux 4 的用户要要打开SElinux,方法是修改/etc/selinux/config文件中的SELINUX="" 为enforcing .它可以保证你的系统不会非正常的崩溃.有些人认为应该关闭,我强烈不推荐,当然只是将centos用来玩玩,不是用于实际服务器则无所谓了.

2、启用iptables 防火墙,对增加系统安全有许多好处.设置好防火墙的规则.

3、执行setup 关闭那些不需要的服务 ,记住少开一个服务,就少一个危险.

4、禁止Control-Alt-Delete　键盘关闭命令
在"/etc/inittab"　文件中注释掉下面这行（使用#）：
ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
改为：
#ca::ctrlaltdel:/sbin/shutdown　-t3　-r　now　
为了使这项改动起作用,输入下面这个命令：
#　/sbin/init　q

5、给"/etc/rc.d/init.d"　下script文件设置权限
给执行或关闭启动时执行的程序的script文件设置权限.
#　chmod　-R　700　/etc/rc.d/init.d/*　
这表示只有root才允许读、写、执行该目录下的script文件.

6、修改"/etc/host.conf"文件
"/etc/host.conf"说明了如何解析地址.编辑"/etc/host.conf"文件（vi　/etc/host.conf）,加入下面这行：
#　Lookup　names　via　DNS　first　then　fall　back　to　/etc/hosts.　
order　bind,hosts　
#　We　have　machines　with　multiple　IP　addresses.　
multi　on　
#　Check　for　IP　address　spoofing.　
nospoof　on　
第一项设置通过DNS解析IP地址,然后通过hosts文件解析.第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）.第三项设置说明要注意对本机未经许可的电子欺骗.

7、使"/etc/services"文件免疫
使"/etc/services"文件免疫,防止未经许可的删除或添加服务：
#　chattr　 i　/etc/services

8.阻止你的系统响应任何从外部/内部来的ping请求.
既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性.你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

9、对你的系统上所有的用户设置资源限制可以防止DoS类型攻击（denial of service attacks）
如最大进程数,内存数量等.例如,对所有用户的限制象下面这样：
vi /etc/security/limits.conf

下面的代码示例中,所有用户每个会话都限制在 10 MB,并允许同时有四个登录.第三行禁用了每个人的内核转储.第四行除去了用户 bin 的所有限制.ftp 允许有 10 个并发会话（对匿名 ftp 帐号尤其实用）；managers 组的成员的进程数目限制为 40 个.developers 有 64 MB 的 memlock 限制,wwwusers 的成员不能创建大于 50 MB 的文件.

清单 3. 设置配额和限制

* hard rss 10000
* hard maxlogins 4
* hard core 0
bin -
ftp hard maxlogins 10
@managers hard nproc 40
@developers hard memlock 64000
@wwwusers hard fsize 50000

要激活这些限制,您需要在 /etc/pam.d/login 底部添加下面一行： session required /lib/security/pam_limits.so.

10、注释掉不需要的用户和用户组.
vipw
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务，公司网站：http://www.lingzhong.cn 为了给广大客户了解更多的技术信息，本技术文章收集来源于网络,凌众科技尊重文章作者的版权，如果有涉及你的版权有必要删除你的文章，请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息，谢谢!