系统安全策略.doc

系统安全配置1 系统密码文件的安全/etc/shadow 不允许复制/etc/passwd 有些linux中有，必需开启shadow比如：#chmod 744 /etc/passwd #chmod go-rwx /etc/shadow -rw-r-r- 1 root root 2430 10-09 18:08 /etc/passwd-r- 1 root root 1923 10-09 18:08 /etc/shadow2 关闭多余的控制台#vi /etc/inittab 使用俩个控制台，把其他的都给禁掉3 关闭IPV6,关闭其模块#vi /etc/sysconfig/networkNETWORKING_IPV6=no4 禁止普通用户开关机#vi /etc/inittab 注释ca:ctrlaltdel;/sbin/shutdown t3 r now（禁止热启动）5 禁止ping#echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all6 禁止源路由#echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route (系统默认是禁止的)7 防止SYN攻击SYN攻击大家都知道，就是A给B发包，正常的包是三次握手，但是A给B之后最后一次不进行确认。然后一直不停的给B发包，B接收后确认延迟默认30秒，但是A会一直给B发包，以致阻塞掉路由。echo 1 /proc/sys/net/ipv4/tcp_syncookies8 限制系统进程数量1. Linux对于每个用户，系统限制其最大进程数。可以在用户根目录下的“.bashrc”文件或者实际使用与“.bashrc”功能相当的shell的脚本中加入这种限制。2. 为提高性能，可以设置超级用户root的最大进程数为无限#vi /root/.bashrc 加入ulimit -u unlimited3. #ulimit a 显示当前所有的资源限制9 减少磁盘的IOlinux文件默认有3个时间：atime, 对此文件的访问时间ctime, 此文件的inode发生变化的时间mtime, 此文件的修改时间# vi /etc/fstab例如：/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 010 优化shell修改命令history纪录#sed “s/1000/100/g” i /etc/profile#soruce /etc/profile11 关闭所有不必要的服务使用netstat tunl 命令查看系统已监听的服务12 设置用户及口令的安全删除不必要的用户13 修改缺省的密码长度修改文件/etc/login.defs,把PASS_MIN_LEN 5 改为 PASS_MIN_LEN 8#sed “s/PASS_MIN_LEN 5/PASS_MIN_LEN 8/g” i /etc/login.defs14 自动注销账号的登录#vi /etc/profile 加入TMOUT=300或者#echo “TMOUT=300” /etc/profile登录用户5分钟内没有动作，将注销本次登录15 防止动作泄密在/etc/skel/.bash_logout文件中添加这行rm -f $HOME/.bash_history16 设置口令文件chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。#chattr +i /etc/passwd#chattr +i /etc/shadow#chattr +i /etc/group#chattr +i /etc/gshadow17 限制su命令任何人能够su作为root，可以编辑/etc/pam.d/su文件，增加如下两行：auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=isd这时，仅isd组的用户可以su作为root。此后，如果您希望用户admin能够su作为root，可以运行如下命令： # usermod -G10 admin 18 防止IP欺骗编辑host.conf文件并增加如下几行来防止IP欺骗攻击。order bind，hosts multi off nospoof on 19 防止DOS攻击对系统所有的用户设置资源限制可以防止DoS类型攻击，如最大进程数和内存使用数量#vi /e