在“/etc/profile”文档中HISTFILESIZE和HISTSIZE这两行决定了系统中任何用户的“.bash_history”文档能够保存多少命令。我建议把“/etc/profile”文档中的HISTFILESIZE和HISTSIZE都设成一个比较小的值,如:20。
编辑profile文档(vi /etc/profile),把这些行改成:
HISTFILESIZE=20
HISTSIZE=20
这样每个用户家目录下的“.bash_history”就最多只能存20个命令。假如黑客试图在用户的“~/.bash_history”文档中发现一些口令,他就没有什么机会了。
29. “/etc/lilo.conf”文档
LILO是Linux上一个多功能的引导程式。他能够用于多种文档系统,也能够从软盘或硬盘上引导Linux并装入内核,还能够做为其他操作系统的“引导管理器”。
根(/)文档系统对LILO来说很重要,有下面这两个原因:第一:LILO要告诉内核到那里去找根文档系统;第二:LILO要用到的一些东西,如:引导扇区、“/boot”目录和内核就存放在根文档系统中。引导扇区包括LILO引导程式的第一部分,这个部分在引导阶段的后半部分还要装入更大的引导程式。这两个引导程式通常存在“/boot/boot.b”文档中。内核是由引导程式装入并启动的。在RedHat Linux系统中,内核通常在根目录或“/boot”目录下。
因为LILO对Linux系统很重要,所以我们要尽可能地保护好他。LILO最重要的配置文档是“/etc”目录下的“lilo.conf”文档。用这个文档我们能够配置或提高LILO程式连同Linux系统的安全性。下面是LILO程式的三个重要的选项配置。
* 加入:timeout=00
这项配置设定LILO在引导默认的系统之前,等候用户输入的时间。 C2安全等级规定这个时间间隔必须设成0,因为多重引导会使系统的安全措施形同虚设。除非想用多重引导,否则最好把这项设成0。
* 加入:restricted
当LILO引导的时候,输入参数linux single,进入单用户(single)模式。因为单用户模式没有口令验证,所以能够在LILO引导时,加上口令保护。“restricted”选项只能和“password”合起来用。注意要给每个内核都要加上口令保护。
* 加入:password=password
用单用户模式启动Linux系统的时候,系统需要用户输入这个口令。口令是大小写敏感的,而且要注意,要让“/etc/lilo.conf”文档,除了root之外,其他用户没有读的权限,这样也就看不到口令了。下面是用“lilo.conf”文档保护LILO的一个具体例子。
第一步
编辑lilo.conf文档(vi /etc/lilo.conf),加上或改变下面介绍的三个配置:
boot=/dev/sda
map=/boot/map
install=/boot/boot.b
prompt
timeout=00 ??change this line to 00.
Default=linux
restricted ??add this line.
password=password ??add this line and put your password.
image=/boot/vmlinuz-2.2.12-20
label=linux
initrd=/boot/initrd-2.2.12-10.img
root=/dev/sda6
read-only
第二步
因为“/etc/lilo.conf”配置文档里,存在没有经过加密的口令,所以只有root才能有读的权限。用下面的命令改变文档的权限:
[root@deep]# chmod 600 /etc/lilo.conf (will be no longer world readable).
第三步
使改变后的“/etc/lilo.conf”配置文档生效:
[root@deep]# /sbin/lilo -v (to update the lilo.conf file).
第四步
为了更安全一点,能够用chattr命令给“lilo.conf”文档加上不可改变的权限。
* 让文档不可改变用下面的命令:
[root@deep]# chattr i /etc/lilo.conf
这样能够避免“lilo.conf”文档因为意外或其他原因而被改变。假如想要改变“lilo.conf”文档,必须先清除他的不可改变标志。
* 清除不可改变的标记用下面的命令:
[root@deep]# chattr -i /etc/lilo.conf
30. 使Control-Alt-Delete关机键无效
把“/etc/inittab”文档中的一行注释掉能够禁止用Control-Alt-Delete关闭电脑。假如服务器不是放在一个安全的地方,这很重要。
编辑inittab文档(vi /etc/inittab)把这一行:
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
用下面的命令使改变生效:
[root@deep]# /sbin/init q
31. 创建任何重要的日志文档的硬拷贝
确保在“/var/log”目录下的不同日志文档的完整性是确保系统安全所要考虑的很重要的一个方面。假如我们在服务器上已加上了很多安全措施,黑客还是能够成功入侵,那么日志文档就是我们最后的防范措施。因此,很有必要考虑一下用什么方法才能确保日志文档的完整性。假如服务器上或网络中的其他服务器上已安装了打印机,就能够把重要的日志文档打印出来。这需要有一个能够连续打印的打印机,并用syslog把任何重要的日志文档传到“/dev/lp0”(打印设备)。黑客能够改变服务器上的文档、程式,等等,但是,把重要的日志文档打印出来之后,他就无能为力了。
例如:
记录下服务器上任何的telnet、mail、引导信息和ssh连接,并打印到连接在这台服务器上的打印机。需要在“/etc/syslog.conf”文档中加入一行。
编辑syslog.conf文档(vi /etc/syslog.conf),在文档末尾加入下面这一行:
authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0
重新启动syslog daemon使改变生效:
[root@deep]# /etc/rc.d/init.d/syslog restart
又例如:
记录下服务器上任何的telnet、mail、引导信息和ssh连接,并打印到本地网络中其他服务器上连接的打印机,要在这台接收日志文档的服务器的“/etc/syslog.cof”文档中加入一行。假如本地网中没有打印机,能够把任何的日志文档拷贝到别的服务器上,只要忽略下面第一步,把“/dev/lp0”加到其他服务器的“syslog.conf”文档中,直接跳到在其他服务器上配置“-r”参数那一步。把任何日志文档拷贝到其他电脑上,使您能够在一台电脑上管理多台电脑的日志文档,从而简化管理工作。
编辑接收日志文档的服务器(例如:mail.openarch.com)上的syslog.conf文档(vi /etc/syslog.conf),在文档的末尾加入下面这一行:
authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
