| Linux是被广泛应用的系统,其系统安全性日益重要。针对Linux的安全问题,下面介绍Linux目前主要的安全增强措施和操作。
|
|
|
|
|
| 对于系统中的某些关键性文件,如inetd.conf、services和lilo.conf等可修改其属性,防止意外修改和被普通用户查看。
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| SUID可以使普通用户以root权限执行某个程序,因此应严格控制系统中的此类程序。找出root所属的带s位的程序:
|
|
|
|
|
|
|
|
|
|
|
| 在/etc/lilo.conf文件中增加选项,从而使LILO启动时要求输入口令,以加强系统的安全性。具体设置如下:
|
|
|
|
|
| 此时需注意,由于在LILO中口令是以明码方式存放的,所以还需要将lilo.conf的文件属性设置为只有root可以读写:
|
|
|
|
|
| 当然,还需要进行如下设置,使lilo.conf的修改生效:
|
|
|
|
|
|
|
| 口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度至少为8。为此,需修改文件/etc/login.defs中的参数PASS_MIN_LEN。同时应限制口令的使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS。
|
|
|
|
|
| 在Linux中可通过/etc/hosts.allow和/etc/hosts.deny这两个文件允许和禁止远程主机对本地服务的访问。
|
|
|
|
|
|
|
| 则所有服务对所有外部主机禁止,除非由hosts.allow文件指明允许。
|
|
|
| (2)编辑hosts.allow文件,可加入下列行:
|
|
|
|
|
| 则将允许IP地址为202.XXX.XXX和主机名为YYY.com的机器作为客户访问FTP服务。
|
|
|
| (3)设置完成后,可用tcpdchk检查设置是否正确。
|
|
|
|
|
| 如果用户离开时忘记注销账户,则可能给系统安全带来隐患。可修改/etc/profile文件,保证账户在一段时间没有操作后,自动从系统注销。
|
|
|
| 编辑文件/etc/profile,在“HISTFILESIZE=”行的下一行增加如下一行:
|
|
|
|
|
|
|
|
|
| 编辑/etc/skel/.bash_logout文件,增加如下行:
|
|
|
|
|
| 这样使得系统中的用户在注销时都会删除其命令记录。如果只需要针对某个特定用户,如root用户进行设置,则可只在该用户的主目录下修改/$HOME/.bash_history文件,增加相同的一行即可。
|
|
|
