linux服务器安全
作者 佚名技术
来源 Linux系统
浏览
发布时间 2012-04-28
| 录,host.mydomain.com是登录这个目录的机器名,ro意味着mount成只读系统,root_squash禁止root写入该目录.为了使改动生效,运行如下命令. [root@server /]# /usr/sbin/exportfs -a 2.Inetd设置  要确认/etc/inetd.conf的所有者是root,且文件权限设置为600.设置完成后,可以使用"stat"命令进行检查.[root@server /]# chmod 600 /etc/inetd.conf 然后,编辑/etc/inetd.conf禁止以下服务. ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth 如果您安装了ssh/scp,也可以禁止掉Telnet/FTP.为了使改变生效,运行如下命令: [root@server /]# killall -HUP inetd 默认情况下,多数Linux系统允许所有的请求,而用TCP_WRAPPERS增强系统安全性是举手之劳,您可以修改/etc/hosts.deny和 /etc/hosts.allow来增加访问限制.例如,将/etc/hosts.deny设为"ALL: ALL"可以默认拒绝所有访问.然后在/etc/hosts.allow文件中添加允许的访问.例如,"sshd: 192.168.1.10/255.255.255.0 gate.openarch.com"表示允许IP地址192.168.1.10和主机名gate.openarch.com允许通过SSH连接. 配置完成后,可以用tcpdchk检查: [root@server /]# tcpdchk tcpchk是TCP_Wrapper配置检查工具,它检查您的tcp wrapper配置并报告所有发现的潜在/存在的问题. 3.登录终端设置 /etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,您可以编辑/etc/securetty且注释掉如下的行. # tty1 # tty2 # tty3 # tty4 # tty5 # tty6 这时,root仅可在tty1终端登录. 4.避免显示系统和版本信息. 如果您希望远程登录用户看不到系统和版本信息,可以通过一下操作改变/etc/inetd.conf文件: telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd - 加-h表示telnet不显示系统信息,而仅仅显示"login:". 5.不允许root用户登录服务器 [root@server /]# vim /etc/ssh/sshd_config 修改:PermitRootLogin no 四、防止攻击 1.阻止ping 如果没人能ping通您的系统,安全性自然增加了. [root@server /]# vim /etc/sysctl.conf 添加:net.ipv4.icmp_echo_ignore_all = 1 [root@server /]# sysctl -p 2.防止IP欺骗 编辑host.conf文件并增加如下几行来防止IP欺骗攻击. order bind,hosts multi off nospoof on 3.防止DoS攻击 对系统所有的用户设置资源限制可以防止DoS类型攻击.如最大进程数和内存使用数量等.例如,可以在 [root@server /]# vim /etc/security/limits.conf中添加如下几行: * hard core 0 * hard rss 5000 * hard nproc 20 然后  编辑/etc/pam.d/login文件检查下面一行是否存在.session required /lib/security/pam_limits.so 上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB. |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
你可能对下面的文章感兴趣
上一篇: linux--chmod下一篇: linux 备份与恢复分区表
关于linux服务器安全的所有评论
