linux安全问答

 

一、如何限制对系统资源的过度使用？
（1）、编辑/etc/security/limits.conf文件，在其中加入或改变下面这些内容：
* hard core 0 //禁止创建core文件
* hard rss 5000 //表示除root用户之外，其他用户都只能最多使用5M内存
* hard nproc 20 //表示系统同时运行的进程限制为20
通过修改limits.conf文件中的上述内容，就可以限制登录到该系统上的用户，对进程、 core文件和内存的过度使用情况。其中，星号“*”表示所有登录到系统中的用户。
（2）、编辑“/etc/pam.d/login”文件，在文件末尾加入下面所示的内容，以便上述设置的内容生效：
session required /lib/security/pam_limits.so
二、如何禁止服务器上的IP原路径路由？
用VI编辑器打/etc/rc.d/rc.local文件，将下列所示的命令加入该文件中，就可以禁止服务器上的原路径路由：
for r in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $r
done
三、如何限制口令的长度？
用vi编译器打开/etc/login.defs文件，找到其中的“PASS_MIN_LEN 5”这一行，将内容改为“PASS_MIN_LEN 8”，就可以将系统默认的最小口令长度为5位，增加到最小为8位。
四、如何减少历史命令列表的数量？
使用过的最近命令列表保存在“~/.bash_history”文件中，要减少命令列表的保存数量，可以通过vi编辑器编辑“/etc/profile”文件，然后修改下面所示两项的值为允许的数值即可：
HISTFILESIZE=
HISTSIZE=
五、如何设置NFS文件系统的访问权限？
这可以通过在“/etc/exports”文件中设置允许被导出目录的相应权限即可达到目的。例如，如果要设置最严格的访问权限，也就是不允许使用任何通配符，以及不允许root用户的写权限，且只能将目录挂载为只读文件系统，用vi编辑器打开“/etc/exports”文件，加入下列所示的内容即可：
/要被导出的目录（如/home/ly） 允许挂载此目录的主机域名（如liuyuan@nf）(ro, root_squash)
其中ro表示mount为只读文件系统，root_squash表示禁止root对该目录的写权限。重新保存“/etc/exports”文件后，运行下列命令使用修改生效：
/usr/sbin/exportfs �Ca
六、Liunx系统下如何禁止telnet、FTP等服务？
1.
编辑/etc/inetd.conf文件，在其中就可以禁用包括telnet、FTP、imap、talk及finger等在内的服务。
2.
用chmod 600 /etc/inetd.conf命令修改该文件的权限。
3.
再运行killall �CHUP inet使修改生效。
另一种方法就是使用TCP会绕程度来限制对本机上述服务的访问：
1.
修改/etc/hosts.deny为“ALL: ALL”拒绝所有对本机的访问。
2.
然后在/etc/hosts.allow中分别添加允许访问的服务与对应主机的IP行。如：telnet:192.168.1.2/255.255.255.0 liuyuan。
3.
可以用tcpdchk来检查这两个文件设置的正确性。
七、如何限制root帐户允许登录的字符终端？
用vi编辑器打开/etc/securetty文件，然后再不允许登录的字符终端注释掉即可，注释的方式可以在字符终端的前面加入“#”符合即代表这只是一个说明。
八、Linux系统下如何防止IP欺骗？
用vi编辑器编辑host.conf文件，在其中添加下列所示的几行，就可以防止IP欺骗：
order bing, hosts
multi off
nospoof on
九、如何禁止普通用户在字符终端下使用shutdown、reboot和halt等程序？
以root权限，在字符终端下，使用下列命令来删除普通帐户不需要使用的控制台应用程序：
Rm �Cf /etc/security/