Linux加固

火星人 @ 2014-03-24 , reply:0
←手機掃碼閱讀


目錄:

1.BIOS
2.SSH安全
3.禁用telnet
4.禁用代碼編譯
5.ProFTP
6.TCPwrappers
7.創建一個SU組
8.root通知
9.history安全
10.歡迎信息
11.禁用所有特殊賬戶
12.chmod危險文件
13.指定允許root登陸的TTY設備
14.選擇一個安全的密碼
15.檢查Rootkit
16.安裝補丁
17.隱藏Apache信息
18.隱藏php信息
19.關閉不使用的服務
20.檢測監聽中的埠
21.關閉打開的埠和服務
22.刪除不用的rpm包
23.禁用危險的php函數
24.安裝配置防火牆
25.安裝和配置BFD
26.內核加固(sysctl.conf)
27.更改SSH埠
28./tmp /var/tmp,/dev/shm分區安全
29.PHP IDS
總結
========================================================================
介紹
這個教程將一步步的指引你,使你的Linux系統變得安全。
任何默認安裝的操作系統都是不夠安全的,本文將指引你如何建立一個
相對安全的Linux系統。
========================================================================
1.BIOS
你應該總是在系統啟動的時候設置一個BIOS密碼和禁用從CD-ROM和軟盤引導。
這將防止一些人未經允許訪問你的系統和更改BIOS設置
2.SSH安全
SSH是一個協議,利用它可以登錄到一個遠程系統或遠程執行系統命令,
默認允許root登錄,並且sshv1存在缺陷,我們應該在
sshd_config禁止root訪問和使用sshv2來讓ssh更加安全。
方法:
vi /etc/ssh/sshd_config
把協議改為2
PermitRootLogin = no
重啟sshd /etc/rc.d/init.d/sshd restart
3.禁用telnet
早期的Linux默認開啟telnet服務,telnet,ftp,rlogin都是明文傳輸的協議
是容易被嗅探到的,這就是為什麼推薦使用安全的版本(sftp,scp,ssh)的原因
如果你必須要使用telnet,那麼至少應該隱藏banner信息
方法:
修改/etc/xinetd.d/telnet
disable=yes
4.禁用代碼編譯
你可以禁用代碼編譯並且只把編譯的許可權分配給一個用戶組
方法:
添加編譯用戶組 /usr/sbin/groupadd compiler ,cd /usr/bin
把常見的編譯器所屬組賦給編譯用戶組
chgrp compiler *cc*
chgrp compiler *++*
chgrp compiler ld
chgrp compiler as
設置mysqlaccess的訪問
chgrp root mysqlaccess
設置許可權
chmod 750 *cc*
chmod 750 *++*
chmod 750 ld
chmod 750 as
chmod 755 mysqlaccess
把用戶添加到組裡
修改/etc/group
compiler:x:520:user1,user2
5.ProFTP
你可以通過修改proftpd.conf來禁止root登陸
方法:
修改/etc/proftpd.conf
Add RootLogin off
重啟proftpd /sbin/service proftpd stop
/sbin/service proftpd start
6.TCP wrappers
編輯hosts.allow和hosts.deny可以限制或允許訪問inet服務
方法:
限制訪問inet服務
修改/etc/hosts.allow
建議格式:
#Approved IP addresses
ALL:192.168.0.1
ALL:192.168.5.2
#CSV uploader machine
proftpd:10.0.0.5
#pop3 from antwhere
ipop3:ALL
修改/etc/hosts.deny
ALL:ALL EXCEPT localhostENY
7.創建SU用戶組
因為我們在SSH禁止了root用戶訪問並且禁用了telnet,所有我們應該
分配給一些用戶su許可權來獲取root特權
方法:
vi /etc/group
添加一行 wheel:x:10:root,user1,user2
chgrp wheel /bin/su
chmod o-rwx /bin/su

這裡需要注意,如果/bin/su文件被取消了s位.是不能正常su的。一般會提示密碼不正確



#chmod g+s /bin/su

解決方法是 chmod+s /bin/su


#ls -l /bin/su

-rwxr-xr-x 1 root root 39948 03-05 14:38 /bin/su

#chmod +s /bin/su

#ls -l /bin/su

-rwsr-sr-x 1 root root 39948 03-05 14:38 /bin/su




8.root通知
當一個具有root許可權的用戶登錄的時候發mail
方法:
編輯/root下的.bashrc ,當有root許可權的用戶登錄時發生email通知
echo 'ALERT - Root Shell Access (Server Name) on:' `date` `who` | mail -s




[火星人 via ] Linux加固已經有255次圍觀

http://www.coctec.com/docs/linux/show-post-140886.html