1.最小化安全系統(tǒng)，刪除不必要的軟件，關(guān)閉不必要的服務(wù)。

# ntsysv

以下僅列出需要啟動(dòng)的服務(wù)，未列出的服務(wù)一律推薦關(guān)閉，必要運(yùn)行的服務(wù)再逐個(gè)打開(kāi)。

atd

crond

irqbalance

microcode_ctl

network

sshd

syslog

2.刪除finger程序，具體方法如下

#rpm –e finger

3.BOIS安全設(shè)置

4.帳號(hào)安全設(shè)置

修改/etc/login.def文件

PASS_MAX_DAYS 120 ?設(shè)置密碼過(guò)期日期

PASS_MIN_DAYS 0 ?設(shè)置密碼最少更改日期

PASS_MIN_LEN 10 ?設(shè)置密碼最小長(zhǎng)度

PASS_WARN_AGE 7 ?設(shè)置過(guò)期提前警告天數(shù)

確保/etc/shadow為root只讀

確保/etc/passwd為root讀寫(xiě)

定期用密碼工具檢測(cè)用戶密碼強(qiáng)度

5./etc/exports

如果通過(guò)NFS把文件共享出來(lái)，那么一定要配置”/etc/exports”文件，使得訪問(wèn)限制盡可能的嚴(yán)格。這就是說(shuō)，不要使用通配符，不允許對(duì)根目錄有寫(xiě)權(quán)限，而且盡可能的只給讀權(quán)限。在/etc/exports文件加入：

/dir/to/export host1.mydomain.com（ro,root_squash）

/dir/to/export host2.mydomain.com（ro,root_squash）

建議最好不要使用NFS.

6.inetd.conf或xinetd.conf

如果是inetd.conf建議注釋掉所有的r開(kāi)頭的程序，exec等

7.TCP_Wrappers

在/etc/hosts.allow中加入允許的服務(wù)，在/etc/hosts.deny里加入這么一行ALL:ALL

8./etc/aliases文件

Aliases文件如果管理錯(cuò)誤或管理粗心就會(huì)造成安全隱患。把定義”decode”這個(gè)別名的行從aliases文件中刪除。

編輯aliases,刪除或注釋下面這些行：

#games: root

#ingres: root

#system: root

#toor: root

#uucp: root

#manager: root

#dumper: root

#operator: root

#decode: root

運(yùn)行/usr/bin/nesaliases重新加載。

9.防止sendmail被沒(méi)有授權(quán)的用戶濫用

編輯sendmail.cf

把PrivacyOptions=authwarnings

改為PrivacyOptions=authwarnings,noexpn,novrfy

10.不響應(yīng)ping

echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

11.使TCP SYN Cookie保護(hù)生效

Echo 1 > /proc/sys/net/ipv4/tcp_syncookies

12.刪除不必要的用戶和組用戶

刪除的用戶，如adm,lp,sync,shutdown,halt,news,uucp,operator,games,gopher等

刪除的組，如adm,lp,news,uucp,games,dip,pppusers,popusers,slipusers等

可以設(shè)置不可更改位

chattr +i /etc/passwd

chattr +i /etc/shadow

chattr +i /etc/group

chattr +i /etc/gshadow

13.防止任何人都可以用su命令成為root

編輯su文件（vi /etc/pam.d/su），加入如下兩行

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=wheel

把能su為root的用戶加入wheel組

usermod -G10 username

14.使Control+Alt+Delete關(guān)機(jī)鍵無(wú)效

編輯inittab文件，注釋掉

Ca:ctrlaltdel:/sbin/shutdown –t3 –r now

運(yùn)行/sbin/init q 使設(shè)置生效

15.創(chuàng)建所有重要的日志文件的硬拷貝

如果服務(wù)器比較重要，可以考慮把ssh,mail,引導(dǎo)信息等打印出來(lái)。在/etc/syslog.conf文件中加入一行。：

Authpriv.*;mail.*;local7.*;auth.*;daemon.info /dev/lp0

執(zhí)行/etc/rc.d/init.d/syslog restart

或者把日志發(fā)送到其它服務(wù)器保存

如

authpriv.* /var/log/secure

要把它發(fā)送到192.168.0.2,就可以這樣修改

authpriv.* @192.168.0.2 /var/log/secure

16.改變/etc/rc.d/init.d目錄下的腳本文件的訪問(wèn)許可

chmod –R 700 /etc/rc.d/init.d/*

注意：慎重修改此安全設(shè)置

17./etc/rc.d/rc.local

把此文件中無(wú)關(guān)的信息全部注釋?zhuān)蛔屓魏稳丝吹饺魏斡嘘P(guān)主機(jī)的信息。

刪除/etc下的issue和issue.net

18.帶S位的程序

可以清除s位的程序包括但不限于：

從來(lái)不用的程序；

不希望非root用戶運(yùn)行的程序；

偶爾用用，但是不介意先用su命令變?yōu)閞oot后再運(yùn)行。

find / -type f \（ -perm 04000 –o –perm -02000 \） -print

chmod a-s 程序名

19.查看系統(tǒng)隱藏文件

find / -name “。*” –print

20.查找任何人都有寫(xiě)權(quán)限的文件和目錄

find / -type f \（ -perm -2 -o perm -20 \） ls

find / -type f \（ -perm -2 –o –perm -20 \） ls

21.查找系統(tǒng)中沒(méi)有主人的文件

find / -nouser –o –nogroup

22.查找。rhosts文件

find /home -name ".rhosts"

如果有，請(qǐng)刪除它。

23.收回系統(tǒng)編譯器的權(quán)限或刪除

如： chmod 700 /usr/bin/gcc

美國(guó)服務(wù)器租用

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。