服务器安全设置学习二

一、限制网络访问

1.host设置

修改/etc/hosts.deny和/etc/hosts.allow来增加访问限制。例,将/etc/hosts.deny设为”ALL: ALL”可以默认拒绝所有访问。然后在/etc/hosts.allow文件中添加允许的访问。

例如,”sshd: 192.168.1.10/255.255.255.0  
gate.openarch.com”表示允许IP地址192.168.1.10和主机名 
gate.openarch.com允许通过SSH连接。

3.登录终端设置

/etc/securetty文件指定了允许root登录的tty设备,由/bin/login程序读取,其格式是一个被允许的名字列表,您可以编辑/etc/securetty且注释掉如下的行。

tty1
# tty2
# tty3
# tty4
# tty5
# tty6

这时,root仅可在tty1终端登录。

4.不显示系统和版本信息。

改变/etc/inetd.conf文件:

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

加-h表示telnet不显示系统信息,仅显示”login:”。

5.修改相应配置文件停止ipv6。

#vi /etc/modprobe.conf
alias net-pf-10 off
alias ipv6 off
#shutdown -r now

二、防止攻击

1.阻止ping,在/etc/rc.d/rc.local(系统自动启动文件)文件中增加一行:

#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

2.防止IP欺骗

编辑host.conf文件并增加如下几行来防止IP欺骗攻击。

order bind,hosts
multi off
nospoof on

3.防止DoS攻击

对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。例,可以在/etc/security/limits.conf中添加如下几行:

* hard core 0
* hard rss 5000 #( 本行或许没用,man limits.conf 显示 maximum resident set size (KB) (Ignored in Linux 2.4.30 and higher)
* hard nproc 50

然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。

session required /lib/security/pam_limits.so

上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB。

你可能感兴趣的:(服务器安全设置学习二)