用下面的命令在您的服务器上禁止IP原路径路由:
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done
把上面的命令加到“/etc/rc.d/rc.local”文档中去,您就不用在系统重新启动之后再把这些命令敲一遍。注意,上面的命令将禁止任何的网络界面(lo、ethN、pppN,等等)的原路径路由包。假如您打算安装书中介绍的IPCHAINS防火墙,就不必用这些命令了,因为在防火墙的脚本文档中已包含这些命令了。
19. 使TCP SYN Cookie保护生效
“SYN Attack”是一种拒绝服务(DoS)的攻击方式,会消耗掉系统中的任何资源,迫使服务器重新启动。拒绝服务(这种攻击方式用巨大的信息流来消耗系统的资源,以至于服务器不能够响应正常的连接请求)是很容易被黑客利用的。在2.1系列的内核中,syn cookie只是个可选项,并没有使其生效。想要使其生效必须用下面的命令:
[root@deep]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies
把这个命令加入“/etc/rc.d/rc.local”文档中,等下次系统重新启动的时候就不必重新敲一遍了。假如打算安装IPCHAINS防火墙,您就没有必要用这个命令,因为他已包含在防火墙的脚本文档里了。
20. 防火墙
安全问题的另一个解决方案是把电脑主机和内部电脑间的信息传送同外部的网络隔离开,只让内部网络和外部网络之间的信息交流,通过一个安全的网关进行。这样一个网关叫做防火墙,在下面的一些章节我们会用很大的篇幅介绍防火墙。
21. “/etc/services”文档
端口号和标准服务之间的对应关系在RFC 1700 “Assigned Numbers"中有周详的定义。“/etc/services”文档使得服务器和客户端的程式能够把服务的名字转成端口号,这张表在每一台主机上都存在,其文档名是“/etc/services”。只有“root”用户才有权限修改这个文档,而且在通常情况下这个文档是没有必要修改的,因为这个文档中已包含了常用的服务所对应的端口号。为了提高安全性,我们能够给这个文档加上保护以避免没有经过授权的删除和改变。为了保护这个文档能够用下面的命令:
[root@deep]# chattr i /etc/services
22. “/etc/securetty”文档
“/etc/securetty”文档允许您规定“root”用户能够从那个TTY设备登录。登录程式(通常是“/bin/login”)需要读取“/etc/securetty”文档。他的格式是:列出来的tty设备都是允许登录的,注释掉或是在这个文档中不存在的都是不允许root登录的。
注释掉(在这一行的开头加上#号)任何您想不让root登录的tty设备。
编辑securetty文档(vi /etc/securetty)象下面相同,注释掉一些行:
tty1
#tty2
#tty3
#tty4
#tty5
#tty6
#tty7
#tty8
上面这样做的意思是只允许root在tty1上登录。我建议只允许root在一个tty设备上登录,假如从其他tty上登录,用“su”命令把身份转成“root”。
23. 特别的帐号
禁止操作系统中不必要的预置帐号(每次升级或安装完都要检查一下)。Linux系统中就提供这样一些您可能无需的预置帐号。假如确实无需这些帐号,就把他们删掉。系统中有越多的帐号,就越容易受到攻击。
我们假定您已在系统中使用shadow口令。假如不是这样,最好在系统中加上shadow口令的支持,因为这样系统会更安全。假如您是按照上一章介绍的方法安装服务器,那么在“安全验证配置”这一步就已选上“Enable Shaow Passwords”这个选项了。
* 在系统中删除一个用户能够用这个命令:
[root@deep]# userdel username
* 在系统中删除一个组能够用这个命令:
[root@deep]# groupdel username
第一步
用下面的命令删除一些不必要的用户:
[root@deep]# userdel adm
[root@deep]# userdel lp
[root@deep]# userdel sync
[root@deep]# userdel shutdown
[root@deep]# userdel halt
[root@deep]# userdel news
[root@deep]# userdel uucp
[root@deep]# userdel operator
[root@deep]# userdel games (假如不用X Window服务器,能够删除这个用户)
[root@deep]# userdel gopher
[root@deep]# userdel ftp (假如没安装匿名ftp服务器,能够删除这个用户)
第二步
输入下面的命令删除一些不必要的组:
[root@deep]# groupdel adm
[root@deep]# groupdel lp
[root@deep]# groupdel news
[root@deep]# groupdel uucp
[root@deep]# groupdel games (delete this group if you don't use X Window Server).
[root@deep]# groupdel dip
[root@deep]# groupdel pppusers
[root@deep]# groupdel popusers (delete this group if you don't use pop server for email).
[root@deep]# groupdel slipusers
第三步
在系统中加入必要的用户:
* 在系统中添加用户,用这个命令:
[root@deep]# useradd username
* 给系统中的用户添加或改变口令,用这个命令:
[root@deep]# passwd username
例如:
[root@deep]# useradd admin
[root@deep]# passwd admin
这些命令的输出是这样的:
Changing password for user admin
New UNIX password: somepasswd
passwd: all authentication tokens updated successfully
第四步
“不许改变”位能够用来保护文档使其不被意外地删除或重写,也能够防止有些人创建这个文档的符号连接。删除“/etc/passwd”、“/etc/shadow”、“/etc/group”或“/etc/gshadow”都是黑客的攻击方法。
给口令文档和组文档配置不可改变位,能够用下面的命令:
[root@deep]# chattr i /etc/passwd
[root@deep]# chattr i /etc/shadow
[root@deep]# chattr i /etc/group
[root@deep]# chattr i /etc/gshadow
注意:假如将来要在口令或组文档中增加或删除用户,就必须先清除这些文档的不可改变位,否则就不能做任何改变。假如没有清除这些文档的不可改变位,安装那些会自动在口令文档和组文档中加入新用户的rpm软件包的时候,在安装过程中就会出现出错的提示。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
