debian system securing

摘自： http://www.debian.org/doc/manuals/securing-debian-howto/ch-sec-services.en.html

 

让你的DEBIAN系统更加的安全

 

一：securing ssh

 

vi /etc/ssh

 

说明：编辑配置文件

 

listenaddress 192.168.0.1

 

说明：监听本机指定的ip地址

 

PermitRootLogin no

 

说明：不允许任何时候root登录。如果有人想要通过ssh变为root用户。

 

port 666 or listenaddress 192.168.0.1:666

 

说明：端口监听

 

permitemptypasswords no

 

说明：是否允许空密码登录

 

allowusers alex ref me@somewhere

 

说明：允许通过ssh登录的用户.alex, ref .后面的是对只允许通过somewhere这台机器登录的me用户使用ssh.

 

passwordautherntications yes

 

说明：这更加的安全，它仅仅允许放在~/.ssh/authorized_keyswen文件中通过ssh-keys登录的用户。

 

protocol 2

 

说明：强制使用协议2.

 

banner /etc/some_file

 

说明：选择banner的文件

 

vi /etc/pam.d/ssh

 

说明：通过pam认证

 

auth  requeied pam_listfile.so sense=allow onerr=fail item=user file=/etc/loginusers

 

说明：你可以通过pam_listfile或者pam_wheel限制访问ssh服务器。你可以添加上面的到/etc/pam.d/ssh。其中file=/etc/loginusers为可以访问的用户。

 

1.1 chrooting ssh

 

现在openssh并不提供任何方式使得当前连接的用户自动的chroot。但是这里有一个项目你可以看看。 http://chrootssh.sourceforge.net。你可以使用pam_chroot模块。

 

1.2 ssh clients

 

如果你使用ssh客户端登录ssh服务器请确保两者协议一致。

 

1.3 仅仅允许传输文件而不允许和shell交互

 

1.3.1 不允许用户登录ssh服务器

 

1.3.2 使用scponly或rssh给用户一个限制的shell。

 

 

二.安全的ftp

 

如果你使用的ftp没有通过ssl或者ssh隧道封装。你应该chroot ftp 到你的ftp家目录，这样ftp客户只能自己家目录的文件。

 

vi /etc/proftpd.conf

 

defaultRoot ~

 

denyfilter \*.*/

 

/etc/init.d/proftpd restart

 

三：x windows 系统的安全

 

3.1 最安全的办法。如果你不需要通过别的电脑使用x.关掉绑定它的tcp端口6000.

 

#startx --nolisten tcp

 

如果你运行的是xfree3.3.6

 

vi /etc/X11/xinit/xserverrc

 

#!bin/sh

exec /usr/bin/X11/X -dpi 100 --nolisten tcp

 

如果你使用的是XDM

 

vi /etc/X11/xdm/Xserver

 

：0 local /user/bin/X11/X vt7 --dpi 100 --nolisten tcp

 

如果你使用的是Gdm

 

vi /etc/gdm/gdm.conf

 

DisallowTCP=ture

 

设置锁屏幕的timeout

 

vi /etc/X11/app-defaults/XScreenserver

 

*lock: False

 

默认是ture

 

3.1.1 检查你的显示管理

 

如果你希望仅仅本地鸡的管理显示管理，请确保XDMCP(x dispaly maneger control protocol)选项是关闭的。

 

在XDM

 

vi /etc/X11/xdm/xdm-config

 

displaymanager.requestport:0

 

FOR GDM

 

[xdmcp]

enable=false

 

..