浅谈linux系统的安全加固

 

1.删除所有特殊帐号:

userdel PL      等等    删除用户

groupdel PL  等等 删除用户组

2.加密口令,使用"/usr/sbin/authconfig"工具,分别使用pwconv和grpconv打开密码的shadow功能.

3.禁止任何用户访问重要文件,进入命令行界面在提示符下输入:

#chmod 600 /etc/inetd.conf    //改变文件属性为600

#chattr +I  /etc/inetd.conf     //保证文件属主为root

#chattr –I  /etc/inetd.conf     // 对该文件的改变做限制 

4. 禁止任何用户通过su命令改变为root用户,在su配置文件即/etc/pam.d目录下的开头2行加入以下内容:

Auth  sufficient  /lib/security/pam_rootok.so debug

Auth  required  /lib/security/pam_whell.so group=wheel

5.禁止不使用的suid/sgid程序:

#find / -type f /(-perm -04000  - o –perm -02000 /) /-execls –lg {} /;

6.禁止普通用户对控制台的访问,进入命令行界面输入以下命令:

rm–f/etc/security/console.apps/halt

rm–f/etc/security/console.apps/poweroff

rm–f/etc/security/console.apps/reboot

rm–f/etc/security/console.apps/shutdown

7.系统不回应ping命令:

把echo 1>/proc/sys/net/ipv4/icmp_echo_ignore_all命令加到 /etc/rc.d/rc.local 文件中,使系统重启的时候,自动禁止回应ping.

8.保护/etc/services文件:

chattr +i /etc/services

9.删除.bash_history文件:

在/etc/skel/.bash_logout文件中添加:

rm -f $home/.bash_history使每次用户退出的时候自动删除.bash_history文件.

10.避免显示系统和版本信息

为了使远程登陆用户看不到系统和版本信息,可以通过以下操作改变/etc/inetd.conf文件:

"telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h"加-h表示telnet不显示系统信息,而仅仅显示///"login:///"。

11.防止ip欺骗:

编辑host.conf文件并增加如下内容防止ip欺骗:

order bind,hosts
multi off
nospoof on

未完待续~

 

你可能感兴趣的:(UNIX)