红帽LINUX6.2SERVER安全设置.doc

红帽红帽 LINUX6 2SERVER 安全设置安全设置 首先声明一点 这里所说的安全设置都是建立在前面的基础上 也就是说这里的安全 设置并不是通用的 如我并没有提供 NFS 服务 所以就不会对 etc exports 进行设置 如果 安装了什么其他的服务 请自行解决相关安全问题 再说一下 我的习惯是注释而不删除 因为这样你能在以后知道你更改了什么 这是 个好习惯吧 安全权限体制是基于密码的 一个用户的密码过于简单就能使别有用心者侵入你的系 统 并不要以为他干不了什么 以 xxxx 信息港提供个人主页空间这台机为例 如果一个权 限很小很小的工作帐号给破译 那就能用这个密码进入系统 就能拿到任何在这台主机上 的 htdocs 目录和 UsweDir 假定是按默认 public html 目录 设定目录下的东东 也就是说 home public html 下的东东可以给别人拿走分析 如 PHP 这类的是不给别 人看源码的 辛辛苦苦写的东东不想给别人吧 呵呵 因如要通过 Apache 提供服务 就必须至少把所有放置网页的目录设权限设为 701 也 就是任何人都有可执行权限 一般的方法甚至设为 755 这直接就能读了 根本不用分析 URL 一句话说明这个问题 源代码是保护不了的 对 apache 的根也是对个人主页存放目录也是 如是 CGI 只有用 C 写的 CGI 才行 所以 一 我选择限定最小密码长度 当然是越长越好 呵呵 但我都不习惯用十位以上的 密码 惯例是设为八位 打开 etc login defs 把 PASS MIN LEN 5 这行把 5 改为 8 还有许多有用的设置 具体看此文件上几行的 说明 二 root 密码的重要性自不用提了 我的做法是首先限定 root 只许本地登录 只许在 tty1 登录 网上 telnet 的可以使用 su 转为 root 再限定 su 转 root 的用户组 这的安全点就可以多步设卡 我是这样设的 设一 个组 我选 super 组 只有里面的组员可以 su root 其余的就是知道 root 密码也 su 不了 必须知道两个密码才能取得 root 权限 当然这是在不考虑缓冲区溢出和其他更改自身 UID 和 GID 的攻击法 这个后面有相应对策 1 打开 etc securetty 把除 tty1 外全部注释掉 这样就只有 tty1 能用 root 登录 2 打开 etc pam d su 下面是我机上的文件 加入加 那两行 可不是文件里的 PAM 1 0 你不用理 vi 时就明白了 PAM 1 0 auth sufficient lib security pam rootok so debug auth required lib security pam wheel so group super auth required lib security pam pwdb so shadow nullok account required lib security pam pwdb so password required lib security pam cracklib so password required lib security pam pwdb so shadow use authtok nullok session required lib security pam pwdb so session optional lib security pam xauth so 在这我用的是 super 这个组 你可以改的 我的 super 组 ID 值是 33 我故意设在中间的 不想给别人猜出的 呵呵 然后 usrmod G33 shadow 把我的登录的普通帐号 shadow 加入 super 也只有 shadwo 才能 su root 了 限定 tty 这个最好留到后面做 因为做服务器过程中 要安很多软件要安 要做很多 设置 用普通用户再转 root 有点累 呵呵 真的 我这样是想写的有条理点 走形式主义 了 三 本地安全 这个非常重要 本想放在最前面说的 衡量了一下 站在全局观来说 这只是一个局 部 所以放在这 但确用重要 我能用 root 进入同学任何一台 linux 很大一部份原因在 此 只有 root 才能改 root 密码 这是常识也 幸桓鲂 拿 还有二种方式改 root 密码 一是 init 1 二是用软盘起动 到 1 模式就能更改任何人的密码 所以在这要设卡 起动时进入 1 默认设置不是需要 认证的 如果一个本地普通用户登录后是不能使用 init 1 等进入模式 1 的 所以只有在机 器起动时无论起动哪项都要认证权限 通过 lilo 可以做到 首先在 bios 里设置不能通过软盘起动 bios 也要设密码 再在 etc lilo conf 里写上一行 password 密码 这是明文的 所以确保万一 chown 0 0 etc lilo conf 确保是 root 的 chmod 600 etc lilo conf 除 root 外谁也不能看 lilo v chattr i etc lilo conf 如果没有写错 lilo 我想很久不会改这个文件 给它一个不可更 改标志 这两个密码某种意义上和 root 密码是一样重要的 四 把系统预置的帐号能不要的全删掉 反正大部份都用不到 删吧 如果提供匿名 ftp ftp 这个不要删 放心删吧 反正是 帐号越少越好 五 etc inetd conf 打开它 把除 ftp telnet 以外的全注释掉 其实这也不是最好的方法 但先用着吧 如按这几份贴的过程 你现在是没有提供 ftp 服务的 不用理安 要不按后面安 wu ftp 2 6 1 时 又要来改这了 再 telnet 后加个 h telnet 时不显示登录系统信息 ls l etc inetd conf 看看不是 root 的 如不是 chown 0 0 etc inetd conf chmod 600 etc inetd conf 六 尽量不外泄系统信息 除了上面那个 telnet h 外 再把 etc rc d rc local 关于写 etc issue etc 写入信 息的语句注释掉 如果你没有向 rc local 里写过东东 就把里面的东东全注释掉就行 再删掉或替换掉 etc 删掉了 telnet 时就只有一个 login 了 换成欢迎词是 个好办法 谁要 我收集了很多有性格的耶 七 etc rc d init d chown R 0 0 etc rc d initd chmod R 700 etc rc d init d 如果以后再加入新的 script 也要确认所有者和 700 权限 八 更好的挂装文件系统 nosuid 就是在这个分区里不能有 suid 和 sgid nodev 不充许有特殊块设备 noexec 不充许有任何可执行的二进制文件 关于我的 chroot 分区上的 natime 留到优化那篇说吧 这是我的 etc fstab dev hda11 ext2 defaults 1 1 dev hda4 back ext2 defaults 1 2 dev hda5 boot ext2 defaults 1 2 dev hda8 apacheroot ext2 defaults nosuid noatime 1 2 dev hda7 home ext2 nosuid nodev noexec 1 2 dev hda10 tmp ext2 nosuid nodev noexec 1 2 dev hda6 usr ext2 defaults 1 2 dev hda9 var ext2 defaults 1 2 none proc proc defaults 0 0 none dev pts devpts gid 5 mode 620 0 0 dev hda1 swap swap defaults 0 0 九 find 是好东东 找 开头的 特殊 目录和文件名 如果你想放东东在别人的机上 又不是别人知道 怎 么做 find name print xdev 找任何人都有写权限的文件和目录 find type f perm 2 o perm 020 exec ls lg find type d perm 2 o perm 020 exec ls ldg 找没有所有者的文件 find nouser o nogroup 找 rhosts find home name rhosts 找 s 位 find type f perm 04000 o perm 02000 exec ls lg 把找出的一些带 S 的用 chmod a s 去掉 S 我去掉的有 usr bin 下的有 chage gpasswd wall chfn chsh newgrp write usr sbin 的有 usernetctl traceroute bin 的有 mount umount 和 sbin netreport 你最好像我一样导出一个记录 不然你都不知改了什么 有些程序是需要 s 位的 如 passwd 要用的话 把上面的拷到一个文件里 然后 chmod 755 就行了 任意帐号都可执行的 再要求高点 做成 cron 定时任务吧 如果有空 我贴一个上来 唉 下星期考试 十 etc aliases 这个只看过介绍 接触不多 没地方用嘛 但还是解决掉这个隐患才好 因为文件有点长 所以我不贴上来了 除这几行外全部注释 MAILER DAEMON postmaster postmaster root bin root daemon root nobody root 十一 如果你是多用户系统 有家伙滥用系统资源以这种方式 D o S 请修改 etc secrit y limits conf 因为我的机器能淡的飞出鸟来 硬件也太差了点这步我没有做 我是想到有这种可能 所以找到这种方法 呵呵 打开文件 soft core 0 意为禁止生成 core 文件 hard rss 10000 每用户最大可用 10M 内存 hard nproc 20 20 个进程 可根据需要修改 如修改了还要修改 etc pam d security pam limits so 把 session requ