Linux安全基础

一、 帐户密码策略 

a) 密码长度需要 8 位以上（强制） 

b) 密码应同时使用英文，数字和符号（强制） 

c) 密码应 3 个月修改一次（强制） 

d) 之前 3 个已使用的密码不能再使用 

e) 若用户连续输错密码 3 次应暂时停用账号 30 分钟 （强制） 

f) 允许用户更改密码 

g) 密码过期前 7 天提醒更改 

实现方法(注意红色更改部分)：

1)、修改/etc/login.defs文件内容对应变量值如下：

PASS_MAX_DAYS   90

PASS_MIN_DAYS   0

PASS_MIN_LEN    8

PASS_WARN_AGE   7

2)、修改/etc/pam.d/system-auth文件内容如下：

#%PAM-1.0

# This file is auto-generated.

# User changes will be destroyed the next time authconfig is run.

auth        required      pam_env.so

auth        required      pam_tally.so onerr=fail deny=3 unlock_time=1800

auth        sufficient    pam_unix.so nullok try_first_pass

auth        requisite     pam_succeed_if.so uid >= 500 quiet

auth        required      pam_deny.so

account     required      pam_unix.so

account     sufficient    pam_succeed_if.so uid < 500 quiet

account     required      pam_permit.so

account     required      pam_tally.so

password    requisite     pam_cracklib.so retry=3 minlen=8 lcredit=-1 ucredit=-1 dcredit=-1 ocredit=-1 difok=3

password    sufficient    pam_unix.so md5 shadow nullok try_first_pass use_authtok remember=3

password    required      pam_deny.so

session     optional      pam_keyinit.so revoke

session     required      pam_limits.so

session     [success=1 default=ignore] pam_succeed_if.so service in crond quiet use_uid

session     required      pam_unix.so

二、SSH 端口由 22 更改为 2222

 方法：将/etc/ssh/sshd_config文件Port前注释去掉，将原来22更改为2222。

SSH 无密码登录
看过很多SSH无密码登录 的文章， 不是觉得操作麻烦就是不误， 而且记不住的时候每次都要找，现在把它记录在这里，以后用着方便:

step1.   a$ ssh-keygen -t rsa    一路回车
step2.   a$ scp ~/.ssh/id_rsa.pub b:~/.ssh/a.pub    //输入密码
step3.   b$ cat ~/.ssh/a.pub >> ~/.ssh/authorized_keys
大功告成。之后在使用a机向b机复制文件的时候就不用再输入密码了

             

三、 防火墙安全策略 

所有 Linux 服务器使用同一 iptables 脚本，默认只开启 ssh 端口 2222。 

四、审计策略 

Linux 系统默认的审计策略。 

五、内核参数调整 

##网络优化 

#优化系统套接字缓冲区 

net.core.rmem_max=16777216 

net.core.wmem_max=16777216 

#优化 TCP 接收／发送缓冲区 

net.ipv4.tcp_rmem=4096 87380 16777216 

net.ipv4.tcp_wmem=4096 65536 16777216 

#优化网络设备接收队列 

net.core.netdev_max_backlog=3000 

##优化 TCP 协议栈 

#打开 TCP SYN cookie 选项，有助于保护服务器免受SyncFlood 攻击 。 

net.ipv4.tcp_syncookies=1 

#打开 TIME-WAIT 套接字重用功能，对于存在大量连接的Web服务器非常有效。 

net.ipv4.tcp_tw_recycle=1 

net.ipv4.tcp_tw_reuse=1 

#减少处于 FIN-WAIT-2 连接状态的时间，使系统可以处理更多的连接。 

net.ipv4.tcp_fin_timeout=30 

#减少 TCP KeepAlive 连接侦测的时间， 

net.ipv4.tcp_keepalive_time=1800 

#增加 TCP SYN 队列长度，使系统可以处理更多的并发连接。 

net.ipv4.tcp_max_syn_backlog=8192 

# Turn off tcp_window_scaling 

net.ipv4.tcp_window_scaling = 0 

# Turn off the tcp_sack 

net.ipv4.tcp_sack = 0 

#Turn off tcp_timestamps 

net.ipv4.tcp_timestamps = 0 

net.ipv4.ip_local_port_range = 1024 65000 

六、Linux破解root密码

今天用虚拟机VM装centos，但是没有提示我输入密码，没有root密码，进入不了系统

解决方法如下

1、重新启动

2、在出现图形界面的时候按e

3、选择第2行,kenel ……………………

按e进入

编辑模式

在尾部加入空格和   1

如：kernel /boot/vmlinux  =/   1

回车

退出

7）在第二项上，按b,引导进入

进入之后输入：/usr/sbin/passwd

输入两次新的root密码就可以。

http://www.linuxso.com/

 装网络上众多关于LINUX基本安全的文档整理归类如下

一、基本
安装时，最好隔离网络进行系统安装。 

1、 避免分区溢出
对/var用单独分区，用来存放日志和邮件，以避免root分区被溢出。因为如果用root分区记录如log文件，就有可能因为拒绝服务产生大量日志或垃圾邮件，从而导致系统崩溃。/home单独分一个区，特别是可以产生大量日志的程序，单独分一个区。

2、 设置Bios密码，以防通过在Bios中改变启动顺序，而可以从软盘启动。这样可以阻止别人试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios改动其中的设置。

3、 为单用户引导加上密码
在“/etc/lilo.conf”文件中加入三个参数：time-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。 

a)： 编辑lilo.conf文件（vi /etc/lilo.conf）,假如或改变这三个参数： 
boot=/dev/hda 
map=/boot/map 
install=/boot/boot.b 
time-out=00 #把这行该为00 
prompt 
Default=linux 
##########加入这行
restricted 
##########加入这行并设置自己的密码
password=<password>; 
image=/boot/vmlinuz-2.2.14-12 
label=linux 
initrd=/boot/initrd-2.2.14-12.img 
root=/dev/hda6 
read-only 

b)：因为"/etc/lilo.conf"文件中包含明文密码，所以要把它设置为root权限读取。 
[root]# chmod 600 /etc/lilo.conf 

c)：更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。 
[root]# /sbin/lilo -v 

d）：使用“chattr”命令使"/etc/lilo.conf"文件变为不可改变。 
[root]# chattr +i /etc/lilo.conf 

4、禁止Control-Alt-Delete 键盘关闭命令 
在"/etc/inittab" 文件中注释掉下面这行： 
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now 
为了使这项改动起作用，输入下面这个命令： 
[root]# /sbin/init q

 零二年的夏天 回复于：2004-07-19 13:01:06

引导程序的安全还要有grub啊。
呵呵，如果没有物理安全，什么都白费了。

楼主是否抛砖引玉？:D

 wingger 回复于：2004-07-19 13:04:54

二、隐藏系统的信息
1、在确省的情况下，当登陆到LINUX系统上，系统回打印出LINUX系统的版本，名称内核服务等信息。所以我们需要修改让他只显示一个login：登陆符号 
编辑/etc/rc.d/rc.local,在下面的文件行前加上注释符号#，把输出信息的行注释掉： 
#This will overwrite /etc/issue at every boot.so,make any changes you 
#want to make to /etc/issue here or you will lose them when you reboot. 
#echo "">;/etc/issue 
#echo "$R">;>;/etc/issue 
#echo "Kernel $(uname -r) on $a $(uname -m)">;>;/etc/issue 
# 
#cp -f /etc/issue/etc/issue.net 
#echo >;>; /etc/issue 

(2):删除/etc目录下的issue.net和issue文件。 
[boot]#rm -f /etc/issue 
[boot]#rm -f /etc/issue.net 
[root]# touch /etc/issue 
[root]# touch /etc/issue

2、当有人远程登陆时，禁止显示系统欢迎信息。你可以通过修改“/etc/inetd.conf”文件来达到这个目的。 
把/etc/inetd.conf文件下面这行： 
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd 
修改为: 
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h 
在最后加“-h”可以使当有人登陆时只显示一个login:提示，而不显示系统欢迎信息。

3、历史命令 
Bash shell在“~/.bash_history”（“~/”表示用户目录）文件中保存了500条使用过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个“.bash_history”文件。
bash shell应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。 
（1）“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。把“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行的值设为一个较小的数。编辑profile文件（vi /etc/profile），把下面这行改为： 
HISTFILESIZE=30 //设为30
HISTSIZE=30 //不要把HISTSIZE置零，那样就不能使用上下健来调用历史命令了
这表示每个用户的“.bash_history”文件只可以保存30条旧命令。 

（2）在"/etc/skel/.bash_logout" 文件中添加下面这行"rm -f $HOME/.bash_history" 。这样，当用户每次注销时，“.bash_history”文件都会被删除。

 wingger 回复于：2004-07-19 13:06:54

引用： 原帖由 "零二年的夏天" 发表：
引导程序的安全还要有grub啊。
呵呵，如果没有物理安全，什么都白费了。

楼主是否抛砖引玉？:D


呵呵，有什么不全的地方，还望大家添加了，
这里我没有考虑到物理安全 :P  :P  :P

 弱智 回复于：2004-07-19 13:10:22

嗬嗬，同样这篇，楼主翻译的比purge翻译的要地道。
http://www.chinaunix.net/jh/4/274901.html

 wingger 回复于：2004-07-19 13:10:33

三、口令和用户帐号管理
1、 密码
（1）修改密码长度：
[boot]#vi /etc/login.defs/--把 PASS_MIN_LEN 5 改为 PASS_MIN_LEN 8

（2）使用“/usr/sbin/authconfig”工具打开shadow功能，对password加密。如果你想把已有的密码和组转变为shadow格式，可以分别使用“pwcov,grpconv”命令。

（3）系统会自动注销root，#vi /etc/profile/--在"HISTFILESIZE="后面加入： 
TMOUT=3600 3600，表示60*60=3600秒，也就是1小时。这样，如果系统中登陆的用户在一个小时内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。 改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。

2、 关闭或删除所有不用的缺省用户和组账户
[root]# userdel username /--删除你系统上的用户
[root]# groupdel username /--删除你系统上的组用户帐号
[root]# useradd username /--增加用户帐号
[root]# passwd username/--改变用户口令
用户（adm,lp,sync,shutdown,halt,mail,news,uucp,operator,games,gopher,ftp等）
组（adm,lp,mail,news,uucp,games,slipusers,dip,ppusers,popusers等）

用chattr命令给下面的文件加上不可更改属性。 
[root]# chattr +i /etc/passwd 
[root]# chattr +i /etc/shadow 
[root]# chattr +i /etc/group 
[root]# chattr +i /etc/gshadow

3、 限制用户权限
（1）取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令。 
[root]# rm -f /etc/security/console.apps/<servicename>; /--<servicename>;是你要注销的程序名。

（2）不允许从不同的控制台进行root登陆 
编辑"/etc/securetty"文件，再不需要登陆的TTY设备前添加“#”标志，来禁止从该TTY设备进行root登陆。

（3）禁止任何人通过su命令改变为root用户 
su(Substitute User替代用户)命令允许你成为系统中其他已存在的用户。
[boot]#vi /etc/pam.d/su 
########在开头添加下面两行： 
auth sufficient /lib/security/pam_rootok.so debug 
auth required /lib/security/Pam_wheel.so group=wheel 
这表明只有"wheel"组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组，以使它可以使用su命令成为root用户

4、禁止不使用的SUID/SGID程序 
如果一个程序被设置成了SUID root，那么普通用户就可以以root身份来运行这个程序。网管应尽可能的少使用SUID/SGID 程序，禁止所有不必要的SUID/SGID程序。 

查找root-owned程序中使用's'位的程序： 
[root]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls -lg {} \; 

用下面命令禁止选中的带有's'位的程序： 
[root]# chmod a-s [program]

 wingger 回复于：2004-07-19 13:12:51

文章里有一些我也不是很明白，欢迎讨论

像删除帐号啊，关闭服务什么，没有经验的最好先找好资料

在测试机上使用过正常，才能用于服务上，这点切记

补充一些可能用得上的命令
为了查找所有可写的文件和目录，用下面的命令： 
[root@deep]# find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; >;
 ww-files-results 
[root@deep]# find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; >; 
ww-directories-results 

用下面的命令查找没有拥有者的文件： 
[root@deep]# find / -nouser -o -nogroup >; unowed-results 

用下面的命令查找所有的.rhosts文件： 
[root@deep]# find /home -name .rhosts >; rhost-results


find命令的使用方法可以查找手册，这里有什么不对的地方，欢迎指出，谢谢


 wingger 回复于：2004-07-19 13:21:11

四、关闭不必要的服务或端口 

然后用“sighup”命令升级“inetd.conf”文件。 (我对这句不太明白，没试过的说）
（1）、[Root]# chmod 600 /etc/inetd.conf /--只允许root来读写该文件。
确定“/etc/inetd.conf”文件所有者为root。 

（2）、#vi /etc/inetd.conf，取消不需要的服务如：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth,gophper,rsh,rlogin,rexec,ntalk等等。把不需要的服务关闭可以使系统的危险性降低很多。 
(要先确认不需要哪些服务，还有关联服务才能关闭，做任何事之前，要先试验过，并有记操作记录的习惯）

（3）、[root]# killall -HUP inetd /--给inetd进程发送一个信号关闭不需要的服务（这句话是不是这意思啊？）

（4）、[root]# chattr +i /etc/inetd.conf/--把inetd.conf文件设为不可修改 
[root]# chattr -i /etc/inetd.conf /--取消不可修改


2、阻止你的系统响应任何从外部/内部来的ping请求。 
既然没有人能ping通你的机器并收到响应，你可以大大增强你的站点的安全性。 
你可以加下面的一行命令到/etc/rc.d/rc.local，以使每次启动后自动运行。 
echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all

 零二年的夏天 回复于：2004-07-19 13:29:11

楼主提醒的很好！
曾经注释掉了ftp，发觉我的ftp服务器无论如何也不能配置成功，后来发觉居然是这个用户的问题。
关于那些用户可以注释，那些不可以似乎并不一定，这还要依赖于您的服务需要。论坛里曾经就用户问题作过讨论：
http://bbs.chinaunix.net/forum/viewtopic.php?t=182847&highlight=用户

关于安全服务部分也还有很多要讨论的，请大家广泛参与啊！:D

 wingger 回复于：2004-07-19 13:30:12

五、关键文件或目录权限
1、对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadown._、 
inetd.conf、services和lilo.conf 等可修改其属性，防止意外修改和被普通用户查看。如将inetd 文件属性改为600 ： 
# chmod 600 /etc/inetd.conf 
这样就保证文件的属主为root，然后还可以将其设置为不能改变： 
# chattr +i /etc/inetd.conf 
这样，对该文件的任何改变都将被禁止
# chattr -i /etc/inetd.conf
取消禁止更修属性

2、给"/etc/rc.d/init.d" 下的文件设置权限 
给执行或关闭启动时执行的程序的所有目录设置许可权限 
[root]# chmod -R 700 /etc/rc.d/init.d/* 
这样便仅有root可以读、写或执行上述所有脚本文件。

 wingger 回复于：2004-07-19 13:43:26

六、安全设置
1、TCP_WRAPPERS 
（1）#vi /etc/hosts.deny，加入
# Deny access to everyone. 
ALL: ALL@ALL, PARANOID 
这表明除非该地址在允许访问的主机列表中，否则阻塞所有的服务和地址。 

（2）#vi /etc/hosts.allow，加入允许访问的主机列表，如： 
ftp: 202.54.15.99 foo.com 

（3）# tcpdchk /--检查你的tcp wrapper设置

2、防止ping 
echo 1>;/proc/sys/net/ipv4/icmp_echo_ignore_all 

3、禁止提供finger 服务 
使用finger命令可以显示本地或远程系统中目前已登录用户的详细信息，黑客可以利用这些信息，增大侵入系统的机会。为了系统的安全，最好禁止提供finger服务。如下： 
从/usr/bin下删除finger 命令； 
如果要保留 finger服务，应将finger文件换名，或修改其权限，使得只允许root用户执行finger命令

4、NFS 服务器： 
由于NFS 服务器漏洞比较多，你一定要小心。
如果要使用NFS 网络文件系统服务，那么确保你的/etc/exports具有最严格的存取权限设置，不意味着不要使用任何通配符，不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports 并且加： 
/dir/to/export host1.mydomain.com （ro，root_squash ） 
/dir/to/export host2.mydomain.com （ro，root_squash ） 
其中/dir/to/export是你想输出的目录，host.mydomain.com 是登录这个目录的机器名，ro意味着mount 成只读系统，root_squash 禁止root写入该目录。最后为了让上面的改变生效，运行exportfs命令
[boot]# /usr/sbin/exportfs -a 

5、防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击（denial of service attacks）。如最大进程数，内存数量等。 编辑/etc/security/limits.con加如下几行： 
　 * hard core 0 
　 * hard rss 5000 
　 * hard nproc 20
编辑/etc/pam.d/login文件检查这一行是否存在。 
session required /lib/security/pam_limits.so 
上面的命令禁止调试文件，限制进程数为50，且限制内存使用 为5MB。 
 
5、安全补丁（一般情况下，新的软件包都修正原来的安全问题）
在http://www.redhat.com/corp/support/errata/

可以找到补丁。 
在redhat6.1以后的版本带有一个工具up2date，它能够测定哪些rpm包需要升级，然后自动从redhat的站点下载
首先检查是否安装: 
rpm -q up2date 
rpm -q rhn_register 
然后注册: 
up2date - -register 

然后升级: 
up2date (图形界面) 
up2date - -nox (字符界面) 

可以配置: 
up2date - - configure 
up2date - - nox - - configure
并完成安装。

 wingger 回复于：2004-07-19 13:52:56

引用： 原帖由 "零二年的夏天" 发表：
楼主提醒的很好！
曾经注释掉了ftp，发觉我的ftp服务器无论如何也不能配置成功，后来发觉居然是这个用户的问题。
关于那些用户可以注释，那些不可以似乎并不一定，这还要依赖于您的服务需要。论坛里曾经就用户问题..........


有讨论过最好了，我还想到哪找些关于用户的资料呢 :lol:  :lol:  :lol: 

七、必备的日志管理 
1、禁止一般权限的用户去查看日志文件。 #more /var/log/secure |grep refused
2、 安装一个icmp／tcp日志管理程序，如iplogger，来观察那些可疑的多次的连接尝试(加icmp flood3或一些类似的情况)。完整的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的注册失败记录，很可能是入侵者正在尝试该用户的口令。 
如：记录每一个ftp连接日志，可以通过修改/etc/ftpaccess或者/etc/inetd.conf
如：修改inetd.conf的例子： 
ftp　 stream　 tcp　 nowait　 root　 /usr/sbin/tcpd　 in.ftpd -l -L -i -o 
-l　每一个ftp连接都写到syslog 
-L　纪录用户的每一个命令 
-i　文件received,纪录到xferlog 
-o　文件transmitted,记录到xferlog


总之，一个好的安全管理员是不应该忘了他的日志的。日志可以提供很多信息，不仅仅是安全信息，如错误，安装信息等，要学会从日志中得到的提示去查找和解决问题。当然，日志问题要考虑多方面，如果太详细的话，可能日记数量太庞大而且不方便查找。具体看需求了

 wingger 回复于：2004-07-19 14:07:11

八、其它
1、使用安全工具软件或防火墙保护系统： 

2、防范网络嗅探： 
　　关闭不必要的服务和服口，尤其是PING。很多网络扫描工具都是使用PING来探测主机状态的，关掉PING后，会认为主机不可到达了。
现在的工具可能又升级了  :?:  :?:  :?: 

3、对正在进行的攻击
终止正进行的攻击 假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。

查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件hosts.deny中。

 wingger 回复于：2004-07-19 14:09:53

引用： 原帖由 "弱智" 发表：
嗬嗬，同样这篇，楼主翻译的比purge翻译的要地道。
http://www.chinaunix.net/jh/4/274901.html


不是我翻译的，只能算是整理

 aspbiz 回复于：2004-07-19 15:03:22

还可以。

 天外闲云 回复于：2004-07-19 23:47:42

linux系统安全基础，讲得很详细，从物理安全，到版本选择等基本安全到网络安全，数据加密，入侵检测、审核与恢复，数据保护都谈到了，手上有一本基本上国内90%的黑客攻不进你的系统。

就算被攻下，因为有完整的备份恢复方案，也没什么问题。

强烈推荐。

 text2002 回复于：2004-07-20 09:37:35

大侠们没有什么补充的吗？。。

 wingger 回复于：2004-07-20 09:43:33

引用： 原帖由 "天外闲云" 发表：
linux系统安全基础，讲得很详细，从物理安全，到版本选择等基本安全到网络安全，数据加密，入侵检测、审核与恢复，数据保护都谈到了，手上有一本基本上国内90%的黑客攻不进你的系统。

就算被攻下，因为有完整的备..........


书名？作者？出版社是什么

 xmyjm 回复于：2004-07-20 16:31:10

好文，手上正准备装一台LINUX服务器。谢了

 zerohv 回复于：2004-07-21 13:03:04

《LINUX黑客大曝光》也不错的。

 wyezl 回复于：2004-07-27 13:22:59

很适用啊，俺存了一份，谢了。

 gunguymadman 回复于：2004-07-29 09:38:31

引用： 原帖由 "wingger" 发表：


书名？作者？出版社是什么

http://www.china-pub.com/search/search_result.jsp?zuozhe=&yizhe=&pub=&shuhao=&congshuming=&yuanshuming=&yuanpub=&chubanriqi1=&chubanriqi2=&typeid=&lib=&zhe=&shuming=linux+%CF%B5%CD%B3%B0%B2%C8%AB%BB%F9%B4%A1
是这本吧   我猜得

 wingger 回复于：2004-10-29 09:19:31

UP

近日准备上LINUX系统，安全方面还是首要问题。

 wingger 回复于：2004-10-29 09:20:46

引用： 原帖由 "天外闲云" 发表：
linux系统安全基础，讲得很详细，从物理安全，到版本选择等基本安全到网络安全，数据加密，入侵检测、审核与恢复，数据保护都谈到了，手上有一本基本上国内90%的黑客攻不进你的系统。

就算被攻下，因为有完整的备..........


引用： 原帖由 "gunguymadman" 发表：

http://www.china-pub.com/search/search_result.jsp?zuozhe=&yizhe=&pub=&shuhao=&congshuming=&yuanshuming=&yuanpub=&chubanriqi1=&chubanriqi2=&typeid=&lib=&zhe=&shuming=linux+%CF%B5%CD%B3%B0%B2%C8%AB%BB%..........


天外闲云：是否是gunguymadman所说的这一本

 wingger 回复于：2004-10-29 09:32:42

顺便说一下自己的，相信网络上也有很多提到

1、保证物理安全
2、安装时最好断开网络，只安装必须的服务；
3、、安装后对系统默认的目录，帐号，和服务进行检查，看看是否符合安全规范，不必要的帐号和服务必须禁用或降低其权限。
(这些在前面有部分叙述,呵呵)
4、考虑应用方面的安全问题，如WEB应用，为了防DDOS攻击，应该限制最大并发进程数等
5、到网上看看发行商有没有发布对系统或应用的某些漏洞的安全补丁；
6、在基本安全设置安全，就得考虑外部设备来保证系统安全了，一个是使用防火墙，还有一个是病毒方面的防护；
7、系统的备份和恢复问题也应当考虑，如果在系统崩溃的进候，对系统进行最快时间内恢复。
8、使用过程中，必须关注有没有新的漏洞出现，若有，就得把补丁打上或进行必要的更改；

这时我个人在使用系统中的一些看法，不过好像是老调重谈了，有什么错误和不足之处，望大家指出并补充

 kunlunsnow 回复于：2004-10-29 14:22:30

文章不错，虽然已经看过，重新温习一下感觉还是不错的，多谢楼主了。
好东西要大家共同分享，呵呵。

 ecloud 回复于：2004-10-29 14:39:32

有点老了，好多东西现在已经不怎么用了，比如inetd.conf，up2date
另外觉得有些做法有点多余，没有什么针对性
现在的网络上的主要安全问题来自于rootkit和各种flood
可以学习一下OpenBSD的做法，给httpd等各种服务尽量的chroot，/var挂成noexec的




原文链接： http://linux.chinaunix.net/bbs/viewthread.php?tid=369572
转载请注明作者名及原文出处