# chattr -i /etc/inetd.conf
别忘了该后再把他的性质改为不可修改的。
7、TCP_WRAPPERS
使用TCP_WRAPPERS能够使您的系统安全面对外部入侵。最好的策略就是阻止任何的主机("/etc/hosts.deny"文档中加入"ALL: ALL@ALL, PARANOID" ),然后再在"/etc/hosts.allow" 文档中加入任何允许访问的主机列表。
第一步:
编辑hosts.deny文档(vi /etc/hosts.deny),加入下面这行
# Deny access to everyone.
ALL: ALL@ALL, PARANOID
这表明除非该地址包在允许访问的主机列表中,否则阻塞任何的服务和地址。
第二步:
编辑hosts.allow文档(vi /etc/hosts.allow),加入允许访问的主机列表,比如:
ftp: 202.54.15.99 foo.com
202.54.15.99和 foo.com是允许访问ftp服务的ip地址和主机名称。
第三步:
tcpdchk程式是tepd wrapper配置检查程式。他用来检查您的tcp wrapper配置,并报告发现的潜在的和真实的问题。配置完后,运行下面这个命令:
# tcpdchk
8、修改“/etc/host.conf”文档
“/etc/host.conf”说明了如何解析地址。编辑“/etc/host.conf”文档(vi /etc/host.conf),加入下面这行:
# Lookup names via DNS first then fall back to /etc/hosts.
order bind,hosts
# We have machines with multiple IP addresses.
multi on
# Check for IP address spoofing.
nospoof on
第一项配置首先通过DNS解析IP地址,然后通过hosts文档解析。第二项配置检测是否“/etc/hosts”文档中的主机是否拥有多个IP地址(比如有多个以太口网卡)。第三项配置说明要注意对本机未经许可的电子欺骗。
9、使“/etc/services”文档免疫
使“/etc/services”文档免疫,防止未经许可的删除或添加服务:
# chattr i /etc/services
10、不允许从不同的控制台进行root登陆
"/etc/securetty"文档允许您定义root用户能够从那个TTY设备登陆。您能够编辑"/etc/securetty"文档,再无需登陆的TTY设备前添加“#”标志,来禁止从该TTY设备进行root登陆。
在/etc/inittab文档中有如下一段话:
# Run gettys in standard runlevels
1:2345:respawn:/sbin/mingetty tty1
2:2345:respawn:/sbin/mingetty tty2
#3:2345:respawn:/sbin/mingetty tty3
#4:2345:respawn:/sbin/mingetty tty4
#5:2345:respawn:/sbin/mingetty tty5
#6:2345:respawn:/sbin/mingetty tty6
系统默认的能够使用6个控制台,即Alt F1,Alt F2...,这里在3,4,5,6前面加上“#”,注释该句话,这样现在只有两个控制台可供使用,最好保留两个。然后重新启动init进程,改变即可生效!
11、使用PAM(可插拔认证模块)禁止任何人通过su命令改变为root用户su(Substitute
User替代用户)命令允许您成为系统中其他已存在的用户。假如您不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令,您能够在su配置文档(在"/etc/pam.d/"目录下)的开头添加下面两行:
编辑su文档(vi /etc/pam.d/su),在开头添加下面两行:
auth sufficient /lib/security/pam_rootok.so
auth required /lib/security/Pam_wheel.so group=wheel
这表明只有"wheel"组的成员能够使用su命令成为root用户。您能够把用户添加到“wheel”组,以使他能够使用su命令成为root用户。添加方法能够用这个命令:chmod -G10 username 。
12、Shell logging Bash
shell在“~/.bash_history”(“~/”表示用户目录)文档中保存了500条使用过的命令,这样能够使您输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个“.bash_history”文档。bash
shell应该保存少量的命令,并且在每次用户注销时都把这些历史命令删除。
第一步:
“/etc/profile”文档中的“HISTFILESIZE”和“HISTSIZE”行确定任何用户的“.bash_history”文档中能够保存的旧命令条数。强烈建议把把“/etc/profile”文档中的“HISTFILESIZE”和“HISTSIZE”行的值设为一个较小的数,比如30。编辑profile文档(vi/etc/profile),把下面这行改为:
HISTFILESIZE=30
HISTSIZE=30
这表示每个用户的“.bash_history”文档只能够保存30条旧命令。
第二步:
网管还应该在"/etc/skel/.bash_logout" 文档中添加下面这行"rm -f $HOME/.bash_history" 。这样,当用户每次注销时,“.bash_history”文档都会被删除。
编辑.bash_logout文档(vi /etc/skel/.bash_logout) ,添加下面这行:
rm -f $HOME/.bash_history
13、禁止Control-Alt-Delete键盘关闭命令
在"/etc/inittab" 文档中注释掉下面这行(使用#):
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
改为:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
为了使这项改变起作用,输入下面这个命令:
# /sbin/init q
14、给"/etc/rc.d/init.d" 下script文档配置权限
给执行或关闭启动时执行的程式的script文档配置权限。
# chmod -R 700 /etc/rc.d/init.d/*
这表示只有root才允许读、写、执行该目录下的script文档。
15、隐藏系统信息
在缺省情况下,当您登陆到linux系统,他会告诉您该linux发行版的名称、版本、内核版本、服务器的名称。对于黑客来说这些信息足够他入侵您的系统了。您应该只给他显示一个“login:”提示符。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
