“安全第一”對于linux管理界乃至計算機也都是一個首要考慮的問題。加密的安全性依賴于密碼本身而非算法!而且����,此處說到的安全是指數(shù)據(jù)的完整性,由此�,數(shù)據(jù)的認證安全和完整性高于數(shù)據(jù)的私密安全,也就是說數(shù)據(jù)發(fā)送者的不確定性以及數(shù)據(jù)的完整性得不到保證的話�,數(shù)據(jù)的私密性當無從談起!
1. 禁止系統(tǒng)響應任何從外部/內部來的ping請求攻擊者一般首先通過ping命令檢測此主機或者IP是否處于活動狀態(tài) ,如果能夠ping通 某個主機或者IP�,那么攻擊者就認為此系統(tǒng)處于活動狀態(tài),繼而進行攻擊或破壞�。如果沒有人能ping通機器并收到響應,那么就可以大大增強服務器的安全性�,linux下可以執(zhí)行如下設置,禁止ping請求:
[root@localhost ~]#echo “1”> /proc/sys/net/ipv4/icmp_echo_ignore_all默認情況下“icmp_echo_ignore_all”的值為“0”��,表示響應ping操作。
可以加上面的一行命令到/etc/rc.d/rc.local文件中�����,以使每次系統(tǒng)重啟后自動運行���。
2.禁止Control-Alt-Delete組合鍵重啟系統(tǒng)
在linux的默認設置下�,同時按下Control-Alt-Delete鍵�,系統(tǒng)將自動重啟,這是很不安全的���,因此要禁止Control-Alt-Delete組合鍵重啟系統(tǒng)�,只需修改/etc/inittab文件:
代碼如下:
[root@localhost ~]#vi /etc/inittab
找到此行:ca::ctrlaltdel:/sbin/shutdown -t3 -r now在之前加上“#”
然后執(zhí)行:
代碼如下:
[root@localhost ~]#telinit q
3.限制Shell記錄歷史命令大小
默認情況下��,bash shell會在文件$HOME/.bash_history中存放多達1000條命令記錄(根據(jù)系統(tǒng)不同����,默認記錄條數(shù)不同)。系統(tǒng)中每個用戶的主目錄下都有一個這樣的文件��。
這么多的歷史命令記錄�����,肯定是不安全的,因此必須限制該文件的大小�。
可以編輯/etc/profile文件,修改其中的選項如下:
HISTSIZE=30
表示在文件$HOME/.bash_history中記錄最近的30條歷史命令����。如果將“HISTSIZE”設置為0,則表示不記錄歷史命令����,那么也就不能用鍵盤的上下鍵查找歷史命令了。
4.刪除系統(tǒng)默認的不必要用戶和組
Linux提供了各種系統(tǒng)賬戶�,在系統(tǒng)安裝完畢���,如果不需要某些用戶或者組����,就要立即刪除它�,因為賬戶越多,系統(tǒng)就越不安全��,越容易受到攻擊��。
刪除系統(tǒng)不必要的用戶用下面命令
代碼如下:
[root@localhost ~]# userdel username
刪除系統(tǒng)不必要的組用如下命令:
代碼如下:
[root@localhost ~]# groupdel groupname
Linux系統(tǒng)中可以刪除的默認用戶和組有:
刪除的用戶,如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等��。
刪除的組,如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等。
5. 關閉selinux
SELinux是 Security-Enhanced Linux的簡稱�����,是一種內核強制訪問控制安全系統(tǒng)���,目前SELinux已經(jīng)集成到Linux 2.6內核的主線和大多數(shù)Linux發(fā)行版上����,由于SELinux與現(xiàn)有Linux應用程序和Linux內核模塊兼容性還存在一些問題��,因此建議初學者先關閉selinux��,等到對linux有了深入的認識后�����,再對selinux深入研究不遲!
查看linux系統(tǒng)selinux是否啟用�,可以使用getenforce命令:
代碼如下:
[root@localhost ~]# getenforce
Disabled
關閉selinux,在redhat系列發(fā)行版中����,可以直接修改如下文件:
代碼如下:
[root@localhost ~]#vi /etc/sysconfig/selinux# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
# enforcing - SELinux security policy is enforced.
# permissive - SELinux prints warnings instead of enforcing.
# disabled - SELinux is fully disabled.
SELINUX=enforcing
# SELINUXTYPE= type of policy in use. Possible values are:
# targeted - Only targeted network daemons are protected.
# strict - Full SELinux protection.
SELINUXTYPE=targeted
將SELINUX=enforcing修改為SELINUX=disabled, 重啟系統(tǒng)后將會停止SElinux。
6.設定tcp_wrappers防火墻
Tcp_Wrappers是一個用來分析TCP/IP封包的軟件���,類似的IP封包軟件還有iptables��,linux默認都安裝了此軟件�,作為一個安全的系統(tǒng),Linux本身有兩層安全防火墻�,通過IP過濾機制的iptables實現(xiàn)第一層防護,iptables防火墻通過直觀地監(jiān)視系統(tǒng)的運行狀況��,阻擋網(wǎng)絡中的一些惡意攻擊�,保護整個系統(tǒng)正常運行,免遭攻擊和破壞�。關于iptables的實現(xiàn),將在下個章節(jié)詳細講述���。如果通過了第一層防護����,那么下一層防護就是tcp_wrappers了���,通過Tcp_Wrappers可以實現(xiàn)對系統(tǒng)中提供的某些服務的開放與關閉、允許和禁止�,從而更有效地保證系統(tǒng)安全運行。
Tcp_Wrappers的使用很簡單�����,僅僅兩個配置文件:/etc/hosts.allow和/etc/hosts.deny(1) 查看系統(tǒng)是否安裝了Tcp_Wrappers
[root@localhost ~]#rpm -q tcp_wrappers 或者[root@localhost ~]#rpm -qa | grep tcp
tcp_wrappers-7.6-37.2
tcpdump-3.8.2-10.RHEL4
如果有上面的類似輸出,表示系統(tǒng)已經(jīng)安裝了tcp_wrappers模塊����。如果沒有顯示,可能是沒有安裝��,可以從linux系統(tǒng)安裝盤找到對應RPM包進行安裝���。
(2)tcp_wrappers防火墻的局限性
