浅谈Linux的安全设置.doc

資料來源：/ShowArt.php3?ID=3403資料說明：這是一篇由大陸網站LinuxByte.Net所刊登出來的東東，原本是簡體，我將之轉為繁體，並將兩岸不同的用語給本地化了，這篇文章比較適合Redhat6.x版的用戶使用，當然也適合7.x版，但因6.x與7.x版原來在結構上就有很大的差異，並不保證一定能夠使用！淺談Linux的安全設置 2002-02-19 22:00 發佈者：netbull 閱讀次數：1676 陳康鵬 如今系統的安全變的越來越重要了，這裏我想把我平時比較常使用的一些linux下的基本的安全措施寫出來和大家探討一下，讓我們的Linux系統變得可靠。 1、BIOS的安全設置 這是最基本的了，也是最簡單的了。一定要給你的BIOS設置密碼，以防止通過在BIOS中改變啓動順序，而可以從軟碟啓動。這樣可以阻止別有用心的試圖用特殊的開機片啓動你的系統，還可以阻止別人進入BIOS改動其中的設置，使機器的硬體設置不能被別人隨意改動。 2、LILO的安全設置 LILO是LInux LOader的縮寫，它是LINUX的啓動模組。可以通過修改“/etc/lilo.conf”文件中的內容來進行配置。在/etc/lilo.conf文件中加如下面兩個參數：restricted,password。這三個參數可以使你的系統在啓動lilo時就要求密碼驗證。 第一步：編輯lilo.conf文件（vi /etc/f）,假如或改變這三個參數： boot=/dev/hda map=/boot/map install=/boot/boot.b prompt timeout=00 #把這行該爲00，這樣系統啓動時將不在等待，而直接啓動LINUX message=/boot/message linear default=linux restricted #加入這行 password= #加入這行並設置自己的密碼 image=/boot/vmlinuz-2.4.2-2 label=linux root=/dev/hda6 read-only 第二步：因爲/etc/lilo.conf文件中包含明文密碼，所以要把它設置爲root許可權讀取。 # chmod 0600 /etc/lilo.conf 第三步：更新系統，以便對“/etc/lilo.conf”文件做的修改起作用。 # /sbin/lilo -v 第四步：使用“chattr”命令使/etc/lilo.conf文件變爲不可改變。 # chattr +i /etc/lilo.conf 這樣可以在一定程度上防止對“/etc/lilo.conf”任何改變（意外或其他原因） 3、讓密碼更加安全 密碼可以說是系統的第一道防線，目前網上的大部分對系統的攻擊都是從截獲密碼或者猜測密碼開始的，所以我們應該選擇更加安全的密碼。 首先要杜絕不設密碼的帳號存在。這可以通過查看/etc/passwd文件發現。例如，存在的用戶名爲test的帳號，沒有設置密碼，則在/etc/passwd文件中就有如下一行： test:100:9:/home/test:/bin/bash 其第二項爲空，說明test這個帳號沒有設置密碼，這是非常危險的！應將該類帳號刪除或者設置密碼。 其次，在舊版本的linux中，在/etc/passwd文件中是包含有加密的密碼的，這就給系統的安全性帶來了很大的隱憂，最簡單的方法就是可以用暴力破解的方法來獲得密碼。可以使用命令/usr/sbin/pwconv或者/usr/sbin/grpconv來建立/etc/shadow或者/etc/gshadow文件，這樣在/etc/passwd文件中不再包含加密的密碼，而是放在/etc/shadow文件中，該文件只有超級用戶root可讀！ 第三點是修改一些系統帳號的Shell變數，例如uucp,ftp和news等，還有一些僅僅需要FTP功能的帳號，一定不要給他們設置/bin/bash或者/bin/sh等Shell變數。可以在/etc/passwd中將它們的Shell變數置空，例如設爲/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令來更改username的Shell爲/dev/null。這樣使用這些帳號將無法Telnet遠端登錄到系統中來！ 第四點是修改預設的密碼長度：在你安裝linux時默認的密碼長度是5個位元組。但這並不夠，要把它設爲8。修改最短密碼長度需要編輯login.defs文件（vi/etc/login.defs），把下面這行 PASS_MIN_LEN 5 改爲 PASS_MIN_LEN 8 login.defs文件是login程式的配置文件。 4、自動登出帳號的登錄 在unix系統中root帳號是具有最高特權的。如果系統管理員在離開系統之前忘記登出root帳號，那將會帶來很大的安全隱憂，應該讓系統會自動登出。通過修改帳號中“TMOUT”參數，可以實現此功能。TMOUT按秒計算。編輯你的profile文件（vi /etc/profile）,在HISTFILESIZE=後面加入下面這行： TMOUT=300 300，表示300秒，也就是表示5分鐘。這樣，如果系統中登陸的用戶在5分鐘內都沒有動作，那麽系統會自動登出這個帳號。你可以在個別用戶的“.bashrc”文件中添加該值，以便系統對該用戶實行特殊的自動登出時間。 改變這項設置後，必須先登出用戶，再用該用戶登陸才能啟動這個功能。 5、取消普通用戶的控制臺訪問許可權 你應該取消普通用戶的控制臺訪問許可權，比如shutdown、reboot、halt等命令。 # rm -f /etc/security/console.apps/ 是你要登出的程式名。 6、取消並反安裝所有不用的服務 取消並反安裝所有不用的服務，這樣你的擔心就會少很多。察看“/etc/inetd.conf”文件，通過注釋取消所有你不需要的服務（在該服務專案之前加一個“#”）。然後用“sighup”命令升級“inetd.conf”文件。 第一步： 更改“/etc/inetd.conf”許可權爲600，只允許root來讀寫該文件。 # chmod 600 /etc/inetd.conf 第二步： 確定“/etc/inetd.conf”文件所有者爲root。 第三步： 編輯 /etc/inetd.conf文件（vi /etc/inetd.conf），取消下列服務（你不需要的）：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。把不需要的服務關閉可以使系統的危險性降低很多。 第四步： 給inetd進程發送一個HUP信號： # killall -HUP inetd 第五步： 用chattr命令把/ec/inetd.conf文件設爲不可修改，這樣就沒人可以修改它： # chattr +i /etc/inetd.conf 這樣可以防止對inetd.conf的任何修改（以外或其他原因）。唯一可以取消這個屬性的人只有root。如果要修改inetd.conf文件，首先要是取消不可修改性質： # chattr -i /etc/inetd.conf 別忘了該後再把它的性質改爲不可修改的。 7、TCP_WRAPPERS 使用TCP_WRAPPERS可以使你的系統安全面對外部入侵。最好的策略就是阻止所有的主機（/etc/hosts.deny文件中加入ALL: ALLALL, PARANOID ），然後再在/etc/hosts.allow 文件中加入所有允許訪問的主機列表。 第一步： 編輯hosts.deny文件（vi /etc/hosts.deny），加入下面這行 # Deny access to everyone. ALL: ALLALL, PARANOID 這表明除非該位址包在允許訪問的主機列表中，否則阻塞所有的服務和地址。 第二步： 編輯hosts.allow文件（vi /etc/hosts.allow），加入允許訪問的主機列表，比如： ftp: 9 9和 是允許訪問ftp服務的ip地址和主機名稱。 第三步： tcpdchk程式是tepd wrapper設置檢查程式。它用來檢查你的tcp wrapper設置，並報告發現的潛在的和真實的問題。設置完後，運行下面這個命令： # tcpdchk 8、修改“/etc/host.conf”文件 “/etc/host.conf”說明了如何解析地址。編輯“/etc/host.conf”文件（vi /etc/host.conf），加入下面這行： # Lookup names via DNS first then fall back to /etc/hosts. order bind,hosts # We have machines with multiple IP addresses. multi on # Check for IP address spoofing. nospoof on 第一項設置首先通過DNS解析IP地址，然後通過hosts文件解析。第二項設置檢測是否“/etc/hosts”文件中的主機是否擁有多個IP位址（比如有多個乙太口網卡）。第三項設置說明要注意對本機未經許可的電子欺騙。 9、使“/etc/services”文件免疫 使“/etc/services”文件免疫，防止未經許可的刪除或添加服務： # chattr +i /etc/services 10、不允許從不同的控制臺進行root登陸 /etc/securetty文件允許你定義root用戶可以從那個TTY設備登陸。你可以編輯/etc/securetty文件，再不需要登陸的TTY設備前添加“#”標誌，來禁止從該TTY設備進行root登陸。 在/etc/inittab文件中有如下一段話： # Run gettys in standard runlevels 1:2345:respawn:/sbin/mingetty tty1 2:2345:respawn:/sbin/mingetty tty2 #3:2345:respawn:/sbin/mingetty tty3 #4:2345:respawn:/sbin/mingetty tty4 #5:2345:respawn:/sbin/mingetty tty5 #6:2345:respawn:/sbin/mingetty tty6 系統默認的可以使用6個控制臺，即Alt+F1,Alt+F2.，這裏在3，4，5，6前面加上“#”，注釋該句話，這樣現在只有兩個控制臺可供使用，最好保留兩個。然後重新啓動init進程，改動即可生效！ 11、使用PAM（可插拔認證模組）禁止任何人通過su命令改變爲root用戶su(Substitute User替代用戶)命令允許你成爲系統中其他已存在的用戶。如果你不希望任何人通過su命令改變爲root用戶或對某些用戶限制使用su命令，你可以在su配置文件（在/etc/pam.d/目錄下）的開頭添加下面兩行： 編輯su文件(vi /etc/pam.d/su)，在開頭添加下面兩行： auth sufficient /lib/security/pam_rootok.so auth required /lib/security/pam_wheel.so group=wheel 這表明只有wheel組的成員可以使用su命令成爲root用戶。你可以把用戶添加到“wheel”組，以使它可以使用su命令成爲root用戶。添加方法可以用這個命令：chmod -G10 username 。 12、Shell logging Bash shell在“/.bash_history”（“/”表示用戶目錄）文件中保存了500條使用過的命令，這樣可以使你輸入使用過的長命令變得容易。每個在系統中擁有賬號的用戶在他的目錄下都有一個“.bash_history”文件。bash shell應該保存少量的命令，並且在每次用戶登出時都把這些歷史命令刪除。 第一步： “/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行確定所有用戶的“.bash_history”文件中可以保存的舊命令條數。強烈建議把把“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行的值設爲一個較小的數，比如30。編輯profile文件（vi/etc/profile），把下面這行改爲： HISTFILESIZE=30 HISTSIZE=30 這表示每個用戶的“.bash_history”文件只可以保存30條舊命令。 第二步： 網管還應該在/etc/skel/.bash_logout 文件中添加下面這行rm -f $HOME/.bash_history 。這樣，當用戶每次登出時，“.bash_history”文件都會被刪除。 編輯.bash_logout文件(vi /etc/skel/.bash_logout) ，添加下面這行： rm -f $HOME/.bash_history 13、禁止Control-Alt-Delete鍵盤關閉命令 在/etc/inittab 文件中注釋掉下面這行（使用#）： ca:ctrlaltdel:/sbin/shutdown -t3 -r now 改爲： #ca:ctrlaltdel:/sbin/shutdown -t3 -r now 爲了使這項改動起作用，輸入下面這個命令： # /sbin/init q 14、給/etc/rc.d/init.d 下script文件設置許可權 給執行或關閉啓動時執行的程式的script文件設置許可權。 # chmod -R 700 /etc/rc.d/init.d/* 這表示只有root才允許讀、寫、執行該目錄下的script文件。 15、隱藏系統資訊 在預設情況下，當你登陸到linux系統，它會告訴你該linux發行版的名稱、版本、內核版本、伺服器的名稱。對於黑客來說這些資訊足夠它入侵你的系統了。你應該只給它顯示一個“login:”提示符。 首先編輯/etc/rc.d/rc.local 文件，在下面顯示的這些行前加一個“#”，把輸出資訊的命令注釋掉。 # This will overwrite /etc/issue at every boot. So