[root@deep]# tcpdchk
13. “/etc/aliases”文档
aliases文档假如管理错误或管理得太粗心了就会造成安全隐患。例如:很多的软件产商都把“decode”这个别名放在aliases文档里。这样做的目的是为了方便通过email传送二进制文档。在发送邮件的时候,用户把二进制文档用“uuencode”转成ASCII文档,然后把结果发给接受端的“decode”。由这个别名让邮件信息通过“/usr/bin/uuencode”程式把二进制文档重新转换成ASCII文档。假如允许“decode”出现在aliases文档中,能够想象将会有什么样的安全隐患。
把定义“decode”这个别名的行从aliases文档中删除。同样的,每一个会运行程式的别名都要好好查看一下,很有可能要把他们删除掉。要使改变生效,还必须运行:
[root@deep]# /usr/bin/newaliases
编辑aliases文档(vi /etc/aliases),删除或注释掉下面这些行:
# Basic system aliases -- these MUST be present.
MAILER-DAEMON: postmaster
postmaster: root
# General redirections for pseudo accounts.
bin: root
daemon: root
#games: root ??remove or comment out.
#ingres: root ??remove or comment out.
nobody: root
#system: root ??remove or comment out.
#toor: root ??remove or comment out.
#uucp: root ??remove or comment out.
# Well-known aliases.
#manager: root ??remove or comment out.
#dumper: root ??remove or comment out.
#operator: root ??remove or comment out.
# trap decode to catch security attacks
#decode: root
# Person who should get root's mail
#root: marc
别忘了运行“/usr/bin/newaliases”使改变生效。
14. 防止sendmail被没有授权的用户滥用
最新版的sendmail(8.9.3)整合了很强大的防止垃圾邮件(anti-spam)的功能,能够防止邮件服务器被没有授权的用户滥用。要实现这个功能能够通过编辑“/etc/sendmail.cf”文档,改变配置文档以阻止那些发垃圾邮件的人。
编辑sendmail.cf文档(vi /etc/sendmail.cf),把这一行:
O PrivacyOptions=authwarnings
改为:
O PrivacyOptions=authwarnings,noexpn,novrfy
这些改变能够防止发垃圾邮件的人使用sendmail中的“EXPN”和“VRFY”命令。这些命令经常被没有授权的人使用。参考本书sendmail配置这一节以获得更多这方面的信息。
编辑sendmail.cf文档(vi /etc/sendmail.cf),把这一行:
O SmtpGreetingMessage=$j Sendmail $v/$Z; $b
改为:
O SmtpGreetingMessage=$j Sendmail $v/$Z; $b NO UCE C=xx L=xx
这将改变sendmail接受连接时所显示的提示信息。您要把“C=xx L=xx”中的“xx”改成您所在的国家和地区编码。例如:我是这样写的“C=CA L=QC”,代表加拿大,魁北克。这个改变不会对sendmail有什么影响,但是news.admin.net-abuse.email新闻组的人建议这么做,主要是为了预防法律上的问题。
15. 使系统对ping没有反应
防止您的系统对ping请求做出反应,对于网络安全很有好处,因为没人能够ping您的服务器并得到任何反应。TCP/IP协议本身有很多的弱点,黑客能够利用一些技术,把传输正常数据包的通道用来偷偷地传送数据。使您的系统对ping请求没有反应能够把这个危险减到最小。用下面的命令:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
运行完这个命令后,系统对ping就没有反应了。能够把这一行加到“/etc/rc.d/rc.local”文档中去,这样当系统重新启动的时候,该命令就会自动运行。对ping命令没有反应,至少能够把绝大多数的黑客排除到系统之外,因为黑客不可能知道您的服务器在哪里。重新恢复对ping的响应,能够用下面的命令:
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all"
16. 不要显示系统提示信息
假如您不想让远程登录的用户看到系统的提示信息,您能够改变“/etc/inetd.conf”文档中的telnet配置:
telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
在末尾加上“-h”参数能够让daemon不显示任何系统信息,只显示登录提示。当然,只有在服务器上装了telnet服务器才有这样做的必要。
17. “/etc/host.conf”文档
Linux用解析器(resolver)库把主机名翻译成IP地址。“/etc/host.conf”文档定义主机名是怎样解析的。“/etc/host.conf”文档中的那些项告诉解析器库用什么服务,以什么顺序解析主机名。
编辑host.conf文档(vi /etc/host.conf)加入下面这些行:
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
order选项指明的是选择服务的顺序。上面“order bind, hosts”说的是解析器库解析文档名的时候先查询域名服务器,然后再查看“/etc/hosts”文档。因为性能和安全上的原因,最好将解析器库的查找顺序设成先查域名服务器(bind)。当然也要先安装了DNS/BIND软件,否则这样配置根本没有任何作用。
multi选项决定在“/etc/hosts”文档中出现的主机能不能有多个IP地址(多个网络界面)。具备多个IP网络界面的主机被称为具备多个网络界面(multiomed),因为同时有多个IP地址也就意味着这台主机有多个网络界面。例如:网关服务器就有多个IP地址,必须把这个选项设成ON。
nospoof选项指明不允许IP伪装。IP伪装是把自己伪装成别的电脑去欺骗其他的电脑,获得他的信任。这种攻击方法把自己伪装成别的服务器,并且和其他客户机、服务器和大型数据存储系统建立网络连接或其他类型的网络活动。不管对任何类型的服务器,这个选项都要设成ON。
18. 路由协议
路由和路由协议会导致一些问题。IP原路径路由(IP source routing),也就是IP包包含到达底目的地址的周详路径信息,是很危险的,因为根据RFC 1122规定目的主机必须按原路径返回这样的IP包。假如黑客能够伪造原路径路由的信息包,那么他就能截取返回的信息包,并且欺骗您的电脑,让他觉得正在和他交换信息的是能够信任的主机。我强烈建议您禁止IP原路径路由以避免这个安全漏洞。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
