一、系统安全记录文件

操作系统内部的记录文件是检测是否有网络入侵【luò rù qīn】的重要【de chóng yào】线索。如果您的系统🤫是直接连到Internet，您发现有很多人对您【rén duì nín】📫的系统🤫做【zuò】Telnet/FTP登录尝试🔧，可以运💐行【háng】“#more /var/log/secure grep refused”来检查系统所【xì tǒng suǒ】受到的🌈攻击【gōng jī】😤，以便采【yǐ biàn cǎi】🎶取相应🗣的对策，如使用【rú shǐ yòng】SSH来替换【lái tì huàn】🌄Telnet/rlogin等🖖。

二、启动和登录安全性

1．BIOS安全IXPUB

设置【shè zhì】BIOS密码且【mì mǎ qiě】修改引👧导次序禁止从👉软盘启动系统【dòng xì tǒng】🍀。

2．用户口令

用户口🕌令是Linux安全的一个基🥑本起点，很多人【hěn duō rén】使用的用户口🕌令过于🍓简单【jiǎn dān】🎤，这等于🚐给侵入者敞开【zhě chǎng kāi】了大门，虽然从【suī rán cóng】理论上说🍓，只要有【zhī yào yǒu】❤足够的【zú gòu de】🐖时间和【shí jiān hé】👹资源可以利用🎙，就没有不能破🆓解的【jiě de】用户口🕌令，但选取得当的口令是🦋难于破🎷解的【jiě de】。较好的用户口🕌令是那些只有他自己🤕容易记【róng yì jì】得并理【dé bìng lǐ】解的【jiě de】一串字符【chuàn zì fú】，并且绝对不要【duì bú yào】在任何地方写【dì fāng xiě】出来【chū lái】。

3．默认账号

应该禁【yīng gāi jìn】止所有默认的【mò rèn de】被操作【bèi cāo zuò】系统本🚰身启动❗的并且【de bìng qiě】🦌不必要的账号，当您第📊一次安装系统时就应🔨该这么做🌭，Linux提供了很多默认账号【rèn zhàng hào】，而账号越多【yuè duō】，系统就越容易【yuè róng yì】🗂受到攻击【jī】🛤。

可以用下面的命令删除账号。

［root@server /］# userdel 用户名【yòng hù míng】🌍

或者用以下的命令删除组用户账号。

［root@server /］# groupdel username

4．口令文件

chattr命令给【mìng lìng gěi】下面的🎐文件加上不可🦓更改属【gèng gǎi shǔ】😍性，从而防止非授【zhǐ fēi shòu】权用户获得权🚡限【xiàn】。

［root@server /］# chattr +i /etc/passwd

［root@server /］# chattr +i /etc/shadow

［root@server /］# chattr +i /etc/group

［root@server /］# chattr +i /etc/gshadow

5．禁止【jìn zhǐ】🥜Ctrl+Alt+Delete重新启动机器【dòng jī qì】命令🕑

修改🕷/etc/inittab文件，将“ca：：ctrlaltdel:/sbin/shutdown -t3 -r now”一行注释掉🦕。然后重新设置😲/etc/rc.d/init.d/目录下【mù lù xià】😎所有文【suǒ yǒu wén】件的许可权限，运行如【yùn háng rú】下命令【xià mìng lìng】：

［root@server /］# chmod -R 700 /etc/rc.d/init.d/*

这样便⬇仅有【jǐn yǒu】root可以读【kě yǐ dú】💤、写或执行上述💾所有脚【suǒ yǒu jiǎo】本文件。

6．限制su命令

如果您🛶不想任【bú xiǎng rèn】何人能💘够su作为🌏root，可以编【kě yǐ biān】辑/etc/pam.d/su文件，增加如【zēng jiā rú】下两行：

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=isd

这时，仅【jǐn】isd组的用户🌗可以su作为【zuò wéi】🏸root。此后【cǐ hòu】，如果您⏹希望用🌥户🌗admin能够su作为【zuò wéi】🏸root，可以运【kě yǐ yùn】行如下【háng rú xià】命令🤭：

［root@server /］# usermod -G10 admin

7．删减登录信息

默认情【mò rèn qíng】况下【kuàng xià】，登录提示信息👈包括Linux发行版【fā háng bǎn】🕧、内核版本名和服务器【fú wù qì】主机名【zhǔ jī míng】等【děng】。对于一【duì yú yī】🐽台安全【tái ān quán】💠性要求🕖较高的机器来说这样泄漏了【xiè lòu le】过多的🙅信息👈。可以编辑/etc/rc.d/rc.local将输出🙎系统信🥖息的如下行注⤵释掉。

# This will overwrite /etc/issue at every boot. So， make any changes you

# want to make to /etc/issue here or you will lose them when you reboot.

# echo “” 》 /etc/issue

# echo “$R” 》》 /etc/issue

# echo “Kernel $（uname -r） on $a $（uname -m）” 》》 /etc/issue

# cp -f /etc/issue /etc/issue.net

# echo 》》 /etc/issue

然后，进行如下操作：

［root@server /］# rm -f /etc/issue

［root@server /］# rm -f /etc/issue.net

［root@server /］# touch /etc/issue

［root@server /］# touch /etc/issue.net

8.设置Grub密码

［root@server share］# grub-md5-crypt

Password： //输入密码

Retype password： //输入确【shū rù què】🏬认密码

$1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0

vim /boot/grub/grub.conf

添加一【tiān jiā yī】行🔶：password $1$LlZDJ/$VxlsjlcR9vvWcI/YRHPpm0

三、限制网络访问

1．NFS访问如😧果您使【guǒ nín shǐ】用🥏NFS网络文件🐜系统【xì tǒng】服务🐿，应该确保您的🗣/etc/exports具有最【jù yǒu zuì】严格的访问权【fǎng wèn quán】限设置【xiàn shè zhì】🎡，也就是意味着😥不要使用🥏任何通配符、不允许【bú yǔn xǔ】root写权限【xiě quán xiàn】并且只能安装😙为只读【wéi zhī dú】文件🐜系统【xì tǒng】。编辑文🤵件🐜/etc/exports并加入如下两【rú xià liǎng】行【háng】。

/dir/to/export host1.mydomain.com（ro，root_squash）

/dir/to/export host2.mydomain.com（ro，root_squash）

/dir/to/export 是您想输出的目录【lù】🥞，host.mydomain.com是登录【shì dēng lù】这个目录【lù】🥞的机器名🥦，ro意味着mount成只读【chéng zhī dú】🛡系统🐛，root_squash禁止root写入该【xiě rù gāi】目录【lù】🥞。为了使【wéi le shǐ】改动生效，运行如【yùn háng rú】下命令🅾。

［root@server /］# /usr/sbin/exportfs -a

2．Inetd设置

首先要确认/etc/inetd.conf的所有【de suǒ yǒu】😘者是【zhě shì】root，且文件权限设置为【zhì wéi】600。设置完成后【chéng hòu】🦈，可以使用“stat”命令进⚡行检查🕛。

［root@server /］# chmod 600 /etc/inetd.conf

然后【rán hòu】，编辑😖/etc/inetd.conf禁止以【jìn zhǐ yǐ】🏩下服务。

ftp telnet shell login exec talk ntalk imap pop-2 pop-3 finger auth

如果您⛽安装了【ān zhuāng le】🚌ssh/scp，也可以【yě kě yǐ】禁止掉Telnet/FTP。为了使改变生效🤽，运行如下命令【xià mìng lìng】：

［root@server /］# killall -HUP inetd

默认情【mò rèn qíng】况下，多数Linux系统允许🎼所有的请求【qǐng qiú】，而用【ér yòng】🚥TCP_WRAPPERS增强系【zēng qiáng xì】统安全性是举🌌手之劳【shǒu zhī láo】⬛，您可以修改/etc/hosts.deny和🕡 /etc/hosts.allow来增加访问【fǎng wèn】🤝限制🥨。例如【lì rú】🦓，将/etc/hosts.deny设为【shè wéi】📆“ALL： ALL”可以默认拒绝🐆所有访【suǒ yǒu fǎng】⛳问🤝。然后在/etc/hosts.allow文件中【wén jiàn zhōng】添加允许🎼的访问【fǎng wèn】🤝。例如【lì rú】🦓，“sshd： 192.168.1.10/255.255.255.0 gate.openarch.com”表示允许🎼IP地址【dì zhǐ】192.168.1.10和🕡主机名gate.openarch.com允许🎼通过【tōng guò】SSH连接⬅。

配置完成后，可以用tcpdchk检查：

［root@server /］# tcpdchk

tcpchk是🔔TCP_Wrapper配置检【pèi zhì jiǎn】查工具【chá gōng jù】，它检查【tā jiǎn chá】您的tcp wrapper配置并报告所有发现的潜在🌊/存在的【cún zài de】📸问题🏀。

3．登录终端设置

/etc/securetty文件指定了允许root登录的tty设备，由【yóu】🏙/bin/login程序读取【qǔ】，其格式是一个🎠被允许的名字【de míng zì】列表，您可以【nín kě yǐ】😴编辑【biān jí】/etc/securetty且注释🚁掉如下【diào rú xià】🛀的行💷。

# tty1

# tty2

# tty3

# tty4

# tty5

# tty6

这时，root仅可在tty1终端登录。

4．避免显示系统和版本信息。

如果您希望远🗞程登录【chéng dēng lù】用户看不到系统和版🤛本信息【běn xìn xī】🎀，可以通【kě yǐ tōng】过一下【guò yī xià】🖕操作改变/etc/inetd.conf文件：

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -

加【jiā】-h表示telnet不显示⚡系统信💊息【xī】，而仅仅【ér jǐn jǐn】😁显示⚡“login：”。

5.不允许root用户登录服务器

［root@server /］# vim /etc/ssh/sshd_config

修改【xiū gǎi】🐁：PermitRootLogin no

四、防止攻击

1．阻止【zǔ zhǐ】ping 如果没🌰人能ping通您的【tōng nín de】系统，安全性🦖自然增【zì rán zēng】🎼加了。

［root@server /］# vim /etc/sysctl.conf

添加【tiān jiā】🎟：net.ipv4.icmp_echo_ignore_all = 1

［root@server /］# sysctl -p

2．防止IP欺骗

编辑【biān jí】🎪host.conf文件并【wén jiàn bìng】增加如下几行【xià jǐ háng】🚩来防止🥫IP欺骗攻击。

order bind，hosts

multi off

nospoof on

3．防止DoS攻击

对系统所有的用户设🍱置资源【zhì zī yuán】😳限制可以防止DoS类型攻击【jī】🔡。如最大【rú zuì dà】进程数和内存❇使用数量等【liàng děng】。例如【lì rú】🍹，可以在

［root@server /］# vim /etc/security/limits.conf中添加如下几🎂行【háng】：

* hard core 0

* hard rss 5000

* hard nproc 20

然后必须编辑🥏/etc/pam.d/login文件检查下面一行是【yī háng shì】🎈否存在【fǒu cún zài】。

session required /lib/security/pam_limits.so

上面的【shàng miàn de】🍂命令禁止调试文件【wén jiàn】，限制进程数为50并且限【bìng qiě xiàn】🎍制内存使用为🔥5MB。