linux 安全

1． 不要让自己的文件或目录可被他人写

u  如果不信任本地用户，将umask设置为022；

u  确保自己的.profile文件除自己外对他人都不可读写；

u  暂存目录最好不用于存放重要文件；

u  确保HOME目录对任何人不可写；

u  UUCP 传输的文件应加密，并尽快私人化。

 

 

2． 若不想要其他用户读自己的文件或目录，就要使自己的文件和目录不允许任何人读。

u  将umask设置为006/007；

u  如不允许同组用户存取自己的文件或目录，将umask设置为077；

u  暂存文件按当前umask设置，存放重要数据到暂存文件的程序就被改写成能确保暂存文件对其他用户不可读；

u  确保HOME目录对每个用户不可读；

 

 

3． 具有潜在安全风险的服务

u  Wu-ftpd 是ftp软件，通常是有用的，但如果用户不需要ftp服务的话最好把它关掉。

u  echo 、echo-udp、daytime、daytime-udp、chargen、chargen-udp等服务重要是做调试用的，实际意义不大，可以关掉。

u  telnet 服务是最常用的，但也是很不安全的，最好用ssl telnet 或ssh代替，如果用户不从网络登陆，应该将其关闭。

u  Finger 可以让远端用户获得大量有关用户的信息，但是这个服务也不安全，会泄露很多信息，风险太大，应该关掉。

u  Sendmail 是e-mail软件，最好用qmail或smail替代，这两者都比较安全，如果不做邮件服务器应该将其关闭。

u  Httpd 是运行web服务的进程，问题也比较多，如果用户的服务器不做web服务器，应该关掉它。

u  Innd 是运行新闻组的服务进程，如果用户的服务器不做usenet服务器，应该将其关闭。

u  R 字开头的命令，如rexec、rhnsd、rlogin、rsh、rstatd、rsync、rusersd、rwalld等，都是berkeley远程命令，他们的只要作用是使一台计算机上的某个用户以相同的账户远程执行另一台计算机上的一个程序。但是r命令已经被证实是存在安全风险的，另外。rlogin命令在网络上发送的口令是以明文形式传送的，如果比入侵者探听到，会造成严重的安全分问题，应该将其关掉。建议使用ssh命令代替r命令。

u  rwhod 允许远程用户查看有谁登陆了系统。这个服务有很大的安全风险，应该关闭。

u  Snmp 是简单网络协议，这个协议已经被证实是不安全的，当发送口令时，snmp发送的是明文形式，应该关闭snmpd进程。

u  Talk 和ntalk者两个服务使得两个类unix用户能够彼此通信，就像目前的qq等，所以可以关闭。