LINUX平安加固標(biāo)準(zhǔn)目 錄1概述52安裝53用戶(hù)帳號(hào)平安Passwordandaccountsecurity63.1密碼平安策略63.2檢查密碼是否平安63.3PasswordShadowing63.4管理密碼63.5其它74網(wǎng)絡(luò)效勞平安(NetworkServiceSecurity)74.1效勞過(guò)濾Filtering84.2/etc/inetd.conf94.3R效勞94.4Tcp_wrapper94.5/etc/hosts.equiv文件104.6/etc/services104.7/etc/aliases114.8NFS114.9Trivialftp(tftp)114.10Sendmail114.11finger124.12UUCP124.13WorldWideWeb(WWW)–d134.14FTP平安問(wèn)題135系統(tǒng)設(shè)置平安(SystemSettingSecurity)145.1限制控制臺(tái)的使用145.2系統(tǒng)關(guān)閉Ping145.3關(guān)閉或更改系統(tǒng)信息155.4/etc/securetty文件155.5/etc/host.conf文件155.6禁止IP源路徑路由155.7資源限制165.8LILO平安165.9Control-Alt-Delete鍵盤(pán)關(guān)機(jī)命令175.10日志系統(tǒng)平安175.11修正腳本文件在“/etc/rc.d/init.d〞目錄下的權(quán)限176文件系統(tǒng)平安(FileSystemSecurity)186.1文件權(quán)限186.2控制mount上的文件系統(tǒng)186.3備份與恢復(fù)197其它197.1使用防火墻197.2使用第三方平安工具197.3參考網(wǎng)站191概述近幾年來(lái)Internet變得更加不平安了。網(wǎng)絡(luò)的通信量日益加大，越來(lái)越多的重要交易正在通過(guò)網(wǎng)絡(luò)完成，與此同時(shí)數(shù)據(jù)被損壞、截取和修改的風(fēng)險(xiǎn)也在增加。

只要有值得偷竊的東西就會(huì)有想方法竊取它的人。Internet的今天比過(guò)去任何時(shí)候都更真實(shí)地表達(dá)出這一點(diǎn)，基于Linux的系統(tǒng)也不能擺脫這個(gè)“普遍規(guī)律〞而獨(dú)善其身。因此，優(yōu)秀的系統(tǒng)應(yīng)當(dāng)擁有完善的平安措施，應(yīng)當(dāng)足夠鞏固、能夠抵抗來(lái)自Internet的侵襲，這正是Linux之所以流行并且成為Internet骨干力量的主要原因。但是，如果你不適當(dāng)?shù)剡\(yùn)用Linux的平安工具，它們反而會(huì)埋下隱患。配置拙劣的平安系統(tǒng)會(huì)產(chǎn)生許多問(wèn)題，本文將為你解釋必須掌握的Linux平安知識(shí)。

本文講述了如何通過(guò)根本的平安措施，使Linux系統(tǒng)變得可靠。2安裝使系統(tǒng)處于單獨(dú)〔或隔離〕的網(wǎng)絡(luò)中。以防止未受保護(hù)的系統(tǒng)連接到其它網(wǎng)絡(luò)或互聯(lián)網(wǎng)中受到可能的攻擊安裝完成后將下面軟件卸載pump apmd lsapnptools redhat-logosmt-st kernel-pcmcia-cs Setserial redhat-releseeject linuxconf kudzu gdbc getty_ps raidtools pciutilsmailcap setconsole gnupg用下面的命令卸載這些軟件：[root@deep]#rpm–esoftwarename卸載它們之前最好停掉三個(gè)進(jìn)程：[root@deep]#/etc/rc.d/init.d/apmdstop[root@deep]#/etc/rc.d/init.d/sendmailstop[root@deep]#/etc/rc.d/init.d/kudzustop3用戶(hù)帳號(hào)平安Passwordandaccountsecurity3.1密碼平安策略口令至少為6位，并且包括特殊字符口令不要太簡(jiǎn)單，不要以你或者有關(guān)人的相關(guān)信息構(gòu)成的密碼，比方生日、、姓名的拼音或者縮寫(xiě)、單位的拼音或者英文簡(jiǎn)稱(chēng)等等。口令必須有有效期發(fā)現(xiàn)有人長(zhǎng)時(shí)間猜想口令，需要更換口令3.2檢查密碼是否平安可以使用以下幾種工具檢查自己的密碼是否平安:JOHN,crack等暴力猜想密碼工具在線窮舉工具，包括Emailcrk、流光等3.3PasswordShadowing使用shadow來(lái)隱藏密文〔現(xiàn)在已經(jīng)是默認(rèn)配置〕定期檢查shadow文件，如口令長(zhǎng)度是否為空。#awk-F:length($2)==0{print$1}/etc/shadow設(shè)置文件屬性和屬主3.4管理密碼設(shè)置口令有效最長(zhǎng)時(shí)限〔編輯/etc/login.defs文件〕口令最短字符〔如linux默認(rèn)為５，可以通過(guò)編輯/etc/login.defs修改〕只允許特定用戶(hù)使用su命令成為root。編輯/etc/pam.d/su文件，在文件頭部加上：authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=wheelRedhat7.0中su文件已做了修改，直接去掉頭兩行的注釋符就可以了[root@deep]#usermod-G10admin來(lái)將用戶(hù)參加wheel組3.5其它去除不必要的系統(tǒng)帳戶(hù)[root@deep]#userdeladm[root@deep]#userdellp[root@deep]#userdelsync[root@deep]#userdelshutdown[root@deep]#userdelhalt[root@deep]#userdelnews[root@deep]#userdeluucp[root@deep]#userdeloperator[root@deep]#userdelgames(如果不使用XWindow，那么刪除)[root@deep]#userdelgopher[root@deep]#userdelftp〔如果不使用ftp效勞那么刪除〕盡量不要在passwd文件中包含個(gè)人信息，防止被finger之類(lèi)程序泄露。修改shadow,passwd,gshadow文件不可改變位[root@deep]#chattr+i/etc/passwd[root@deep]#chattr+i/etc/shadow[root@deep]#chattr+i/etc/group[root@deep]#chattr+i/etc/gshadow不要使用.netrc文件，可以預(yù)先生成$HOME/.netrc。設(shè)置為0000。touch/.rhosts；chmod0/.rhosts使用ssh來(lái)代替telnetd,ftpd.pop等通用效勞。傳統(tǒng)的網(wǎng)絡(luò)效勞程序，如：ftp、pop和telnet在本質(zhì)上都是不平安的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)。4網(wǎng)絡(luò)效勞平安(NetworkServiceSecurity)Linux系統(tǒng)對(duì)外提供強(qiáng)大、多樣的效勞，由于效勞的多樣性及其復(fù)雜性，在配置和管理這些效勞時(shí)特別容易犯錯(cuò)誤，另外，提供這些效勞的軟件本身也存在各種漏洞，所以，在決定系統(tǒng)對(duì)外開(kāi)放效勞時(shí)，必須牢記兩個(gè)根本原那么：只對(duì)外開(kāi)放所需要的效勞，關(guān)閉所有不需要的效勞。對(duì)外提供的效勞越少，所面臨的外部威脅越小。將所需的不同效勞分布在不同的主機(jī)上，這樣不僅提高系統(tǒng)的性能，同時(shí)便于配置和管理，減小系統(tǒng)的平安風(fēng)險(xiǎn)。在上述兩個(gè)根本原那么下，還要進(jìn)一步檢查系統(tǒng)效勞的功能和平安漏洞。這里針對(duì)主機(jī)所提供的效勞進(jìn)行相應(yīng)根本平安配置，某些常用效勞的平安配置請(qǐng)參考相關(guān)文檔。4.1效勞過(guò)濾Filtering在SERVER上禁止這些效勞如果一定要開(kāi)放這些效勞，通過(guò)防火墻、路由指定信任IP訪問(wèn)。要確保只有真正需要的效勞才被允許外部訪問(wèn)，并合法地通過(guò)用戶(hù)的路由器過(guò)濾檢查。尤其在下面的效勞不是用戶(hù)真正需要時(shí)候，要從路由器上將其過(guò)濾掉NAMEPORTPROTOCOLecho7TCP/UDP systat11TCP netstat15TCP bootp67UDP tftp69UDP link87TCP supdup95TCP sunrpc111TCP/UDP news144TCP snmp161UDP xdmcp177UDP exec512TCPlogin513TCP shell514TCP printer515TCP biff512UDP who513UDP syslog514UDP uucp540TCP route520UDP openwin2000TCP nfs2049UDP/TCP x116000to6000+nTCP注意：有些UDP效勞可以導(dǎo)致DOS攻擊和遠(yuǎn)程溢出，如rpc.ypupdatedrpcbindrpcsd100068rpc.statd100024rpc.ttdbserver100083sadmind 100232/10配置完成以后，利用網(wǎng)絡(luò)掃描器模擬入侵者從外部進(jìn)行掃描測(cè)試。如利用nmap/etc/inetd.conf確保文件權(quán)限設(shè)置為600確保文件屬主設(shè)置為root注釋掉所有不需要的效勞，需要重新啟動(dòng)inetd進(jìn)程使用netstat–an命令，查看本機(jī)所提供的效勞。確保已經(jīng)停掉不需要的效勞R效勞不必使用R效勞關(guān)閉R效勞,Redhat6.2在/etc/inetd.conf文件中注釋以下效勞，并且重新啟動(dòng)inetd效勞。Redhat7.0在/etc/xinetd.d目錄中刪除exec512TCPRlogin 513 TCPRshell 514 TCP預(yù)先生成$HOME/.rhosts，/etc/hosts.equiv文件，并且設(shè)置為0000,防止被寫(xiě)入〞++〞。〔攻擊者經(jīng)常使用類(lèi)似符號(hào)鏈接或者利用ROOTSHELL寫(xiě)入，并且遠(yuǎn)程翻開(kāi)受保護(hù)主機(jī)的R效勞〕必須使用R效勞使用更平安版本的r效勞。如WietseVenema的logdaemon程序等。在路由或者防火墻上禁止外部網(wǎng)絡(luò)訪問(wèn)受保護(hù)主機(jī)的512,513and514(TCP)端口。使用TCPWRAPPERS設(shè)置可訪問(wèn)受保護(hù)主機(jī)R效勞的信任機(jī)器。Tcp_wrapper該軟件的作用是在Unix平臺(tái)上過(guò)濾TCP/UDP效勞，它目前已被廣泛用于監(jiān)視并過(guò)濾發(fā)生在主機(jī)上的ftp、telnet、rsh、rlogin、tftp、finger等標(biāo)準(zhǔn)TCP/UDP效勞。當(dāng)系統(tǒng)安裝TCP_wrapper之后，in.conf文件中/usr/sbin/in.telnetd的in.telnetd會(huì)被TCP_wrapper附帶的tcpd程序取代。該程序截獲來(lái)自客戶(hù)端的效勞請(qǐng)求、記錄請(qǐng)求發(fā)生的時(shí)間和IP地址，并按訪問(wèn)控制進(jìn)行檢查。當(dāng)本次連接的用戶(hù)、請(qǐng)求源的IP等信息符合管理員的預(yù)設(shè)值時(shí)，才將該次請(qǐng)求傳遞給系統(tǒng)in.telnetd，由系統(tǒng)in.telnetd完成后續(xù)工作；假設(shè)連接不符合要求，該連接請(qǐng)求將被拒絕。同樣，ftp、rsh等TCP/UDP效勞均可被tcpd取代，由tcpd充當(dāng)二傳手。使用PARANOID模式,用此參數(shù)后需要在/etc/hosts文件中加上允許使用telnet或ftp效勞的客戶(hù)端的名字和IP地址在/etc/hosts.deny中設(shè)置為all:all，默認(rèn)所有不允許Accessisdeniedbydefault.#Denyaccesstoeveryone.ALL:ALL@ALL,PARANOID#Matchesanyhostwhosenamedoesnotmatchitsaddress,seebellow.在/etc/hosts.allow中設(shè)置允許的效勞和地址如：使用tcpdchk檢查UDP效勞使用tcpwrapper時(shí)要使用/etc/inetd.conf中的nowait選項(xiàng)。/etc/hosts.equiv文件不必使用/etc/hosts.equiv文件從系統(tǒng)中刪除此文件預(yù)先生成/etc/hosts.equiv文件，并且設(shè)置為0000,防止被寫(xiě)入〞++〞。〔攻擊者經(jīng)常使用類(lèi)似符號(hào)鏈接或者利用ROOTSHELL寫(xiě)入，并且遠(yuǎn)程翻開(kāi)受保護(hù)主機(jī)的R效勞〕必須使用/etc/hosts.equiv文件確保此文件中可信賴(lài)主機(jī)為必須的。預(yù)先生成/etc/hosts.equiv文件，并且設(shè)置為0000,防止被寫(xiě)入〞++〞。〔攻擊者經(jīng)常使用類(lèi)似符號(hào)鏈接或者利用ROOTSHELL寫(xiě)入，并且遠(yuǎn)程翻開(kāi)受保護(hù)主機(jī)的R效勞〕如果使用NIS或者NIS+的話(huà)，此文件中的組應(yīng)該是容易管理的。信賴(lài)主機(jī)必須確保可靠信賴(lài)主機(jī)使用全名，如例如任何時(shí)候都不應(yīng)該出現(xiàn)〞+〞字符，因?yàn)檫@樣會(huì)使任何一臺(tái)主機(jī)上的任何用戶(hù)都可以不加口令地訪問(wèn)系統(tǒng)文件中不要使用'!'和'#'符號(hào)，因?yàn)樵谠撐募心遣⒉槐硎咀⑨屝畔⑽募_(kāi)始字符不應(yīng)該為'-'.，請(qǐng)查閱C8確保該文件的訪問(wèn)權(quán)限被設(shè)置成600。文件屬主確保為ROOT。在每次安裝補(bǔ)丁程序或操作系統(tǒng)之后，都應(yīng)該重新檢查該文件夾的設(shè)置情況4.6/etc/services確保文件權(quán)限設(shè)置為600確保文件屬主設(shè)置為root如果需要提供一些常見(jiàn)效勞，如telnetd等，可以在此修改端口此文件為端口號(hào)和效勞的對(duì)應(yīng)關(guān)系，給此文件加上保護(hù)，防止沒(méi)有授權(quán)的修改和刪除[root@deep]#chattr+i/etc/services/etc/aliases修改/etc/aliases文件，注釋掉"decode""games,ingress,system,toor,manager,….〞.等使用/usr/bin/newaliases命令激活新配置確保文件權(quán)限設(shè)置為755確保文件屬主設(shè)置為root4.8NFSNFS文件系統(tǒng)應(yīng)注意以下幾方面的平安在外部路由上過(guò)濾端口111、2049〔TCP/UDP〕，不允許外部訪問(wèn)。檢查ＰＡＴＣＨ更新情況。檢查/etc/exports輸出路徑的權(quán)限,確定只有root能修改,alluser只能read用exportfs去增加或刪除directoriesexportfs-oaccess=engineering,ro=dancer/usrexportfs-u/usr假設(shè)你的機(jī)器沒(méi)有NIS(YPserver)的效勞,當(dāng)更改資料時(shí)記得修改/etc/passwd

/etc/group

/etc/hosts

/etc/ethers不允許export出去包含本地入口的目錄確定對(duì)方機(jī)器是完全可信賴(lài)的。使用全名確保輸出列表沒(méi)有超過(guò)256個(gè)字符。使用showmount–e命令查看自己的export設(shè)置將/etc/exports權(quán)限設(shè)置為644，屬主為root使用noexec,nodev.nosuid等選項(xiàng)控制mount的文件系統(tǒng)，在/etc/fstab中設(shè)置。Trivialftp(tftp)無(wú)論何種情況下都不應(yīng)該啟動(dòng)這個(gè)效勞進(jìn)程。4.10Sendmailsendmail提供了許多在編譯期間選擇的功能特性。通常情況下，按照其缺省配置，即可滿(mǎn)足一般用戶(hù)的需要。但是，了解研究其提供的特性，可以實(shí)現(xiàn)對(duì)sendmail許多功能的更為準(zhǔn)確的配置使用。從網(wǎng)絡(luò)平安的角度考慮，通過(guò)合理地配置有關(guān)特性，可以在提供效勞和保證平安之間找到更為準(zhǔn)確的平衡點(diǎn)(配置特性的方法是將需要的特性參加到相應(yīng)系統(tǒng)的.mc文件中,然后利用工具m4生成最終的sendmail.cf文件。目前最新版本是sendmail.()最新的發(fā)行包promiscuous_relay：該特性翻開(kāi)任意轉(zhuǎn)發(fā)功能，也即關(guān)閉8.9帶來(lái)的郵件轉(zhuǎn)發(fā)方面的平安增強(qiáng)控制。此特性的使用會(huì)對(duì)電子郵件效勞的濫用留下許多隱患，建議除非特別情況，不要使用此特性。accept_unqualified_senders：缺省情況下，該特性被關(guān)閉，即當(dāng)MAILFROM:參數(shù)中的地址說(shuō)明屬于網(wǎng)絡(luò)連接,但是卻不包含合法的主機(jī)地址時(shí)，sendmail將拒絕繼續(xù)通信。翻開(kāi)此特性那么不再根據(jù)MAILFROM:參數(shù)拒絕接收郵件。建議不可輕易使用該特性。loose_relay_check：通常情況下,當(dāng)郵件使用了源路由功能,例如user%site@othersite,如果othersite屬于轉(zhuǎn)發(fā)郵件的范圍,那么sendmail將別離othersite,繼續(xù)檢查site是否屬于轉(zhuǎn)發(fā)范圍.使用該特性將改變上述缺省操作.建議不要輕易使用該特性accept_unresolvable_domains：通常情況下,當(dāng)MAILFROM:參數(shù)中的主機(jī)地址局部無(wú)法解析,即無(wú)法判定為合法主機(jī)地址時(shí),sendmail將拒絕連接.使用該特性將改變上述操作.在某些情況下,例如,郵件效勞器位于防火墻后面,無(wú)法正常解析外部主機(jī)地址,但是仍然希望能夠正常接收郵件時(shí),可能需要利用該特性.blacklist_recipients：翻開(kāi)接收黑名單功能。接收黑名單可以包括用戶(hù)名、主機(jī)名、或其它地址。relay_entire_domain：缺省配置下,sendmail只為在轉(zhuǎn)發(fā)控制數(shù)據(jù)庫(kù)(accessdb)中定義為RELAY的主機(jī)提供轉(zhuǎn)發(fā)郵件效勞.該特性的使用,將使sendmail為本地域內(nèi)〔由$=m類(lèi)定義〕的所有主機(jī)上面的用戶(hù)提供轉(zhuǎn)發(fā)功能sendmail的受限shell程序smrsh可以防止內(nèi)部用戶(hù)惡意操作。防止系統(tǒng)信息泄漏，如修改banner,禁止expn,vrfy命令建議配置為需要smtp認(rèn)證功能。其他相關(guān)的mailserverqmail:postfix:qpop:Imail：4.11finger不應(yīng)該啟動(dòng)這個(gè)效勞進(jìn)程。如果一定要使用，請(qǐng)使用最新的版本。UUCP建議不要使用刪除所有的rhosts文件〔ＵＵＣＰ目錄下的〕確保ds文件屬主為root對(duì)ＵＵＣＰ登陸進(jìn)行限制確保ＵＵＣＰ文件沒(méi)有被設(shè)置為所有人可寫(xiě)WorldWideWeb(WWW)–d使用你選擇的ＷＥＢＳＥＲＶＥＲ的最新版本不要使用ＲＯＯＴ用戶(hù)運(yùn)行d在chroot環(huán)境中運(yùn)行d盡量不要使用ＣＧＩ腳本對(duì)ＣＧＩ腳本進(jìn)行平安審計(jì)鏈接使用靜態(tài)庫(kù)過(guò)濾危險(xiǎn)字符，如\n\r(.,/;~!)>|^&$`<等使用s進(jìn)行關(guān)鍵業(yè)務(wù)傳送。比擬流行的webserver是netscpe的webserver和browserIETF的Web事務(wù)平安工作組維持著一個(gè)特別針對(duì)WWW平安問(wèn)題的郵寄列表.

要訂閱,可發(fā)e-mail到www-security-request@.在信息的正文里寫(xiě)上SUBSCRIBE

www-security

你的email地址主要的WWW

FAQ也包含關(guān)于Web平安的問(wèn)與答,如記錄文件管理和效勞軟件來(lái)源等.這個(gè)FAQ的最新版在:FTP平安問(wèn)題主要的ftpserverwuftp 最新版本是２６.１下載地址是.tar.gzproftp 最新版本是rc2下載地址是ncftp 最新版本是２下載地址是配置Configuration檢查所有的默認(rèn)配置選項(xiàng)確定沒(méi)有SITEEXEC問(wèn)題設(shè)置/etc/ftpusers確定禁止使用ftp的用戶(hù)使用chroot環(huán)境運(yùn)行ftpd使用自己的ls等命令參加對(duì)quota,pam等支持配置/etc/ftpaccess文件，禁止系統(tǒng)信息泄露和設(shè)置最大連接數(shù)配置／etc/ftphosts,設(shè)置允許使用ＦＴＰ的ＨＯＳＴ和ＵＳＥＲ針對(duì)不同用戶(hù)設(shè)置不同權(quán)限經(jīng)常查看ＬＯＧ記錄/var/log/xferlog配置文件屬性改為６００Anonymousftp編譯時(shí)翻開(kāi)允許匿名選項(xiàng)如果使用分布式passwords(e.g.,NIS,NIS+)，需要設(shè)置好密碼文件。匿名用戶(hù)只給讀權(quán)限〔在/etc/ftpaccess中設(shè)置〕系統(tǒng)設(shè)置平安(SystemSettingSecurity)5.1限制控制臺(tái)的使用禁止使用控制臺(tái)程序：刪除/etc/security/console.apps中的效勞[root@deep]#rm-f/etc/security/console.apps/servicename，比方：[root@deep]#rm-f/etc/security/console.apps/halt[root@deep]#rm-f/etc/security/console.apps/poweroff[root@deep]#rm-f/etc/security/console.apps/reboot[root@deep]#rm-f/etc/security/console.apps/shutdown[root@deep]#rm-f/etc/security/console.apps/xserver〔如刪除，只有root能啟動(dòng)Xserver〕禁止控制臺(tái)的訪問(wèn)：在/etc/pam.d中的所有文件中，給包含pam_console.so的行加上注釋5.2系統(tǒng)關(guān)閉Ping關(guān)閉ping，使系統(tǒng)對(duì)ping不做反響，對(duì)網(wǎng)絡(luò)平安大有好處。可以使用如下命令：[root@deep]#echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all可以將這一行加到/etc/rc.d/rc.local文件中去，這樣系統(tǒng)重啟動(dòng)后會(huì)自動(dòng)執(zhí)行恢復(fù)系統(tǒng)的Ping響應(yīng)：[root@deep]#echo0>/proc/sys/net/ipv4/icmp_echo_ignore_all5.3關(guān)閉或更改系統(tǒng)信息關(guān)閉telnet系統(tǒng)信息RedHat6.2中,編輯/etc/inetd.conftelnetstreamtcpnowaitroot/usr/sbin/tcpdin.telnetd–h加上參數(shù)-h可以關(guān)閉telnet信息RedHat7.0中,編輯/etc/xinetd.d/telnet加上server_args=-h,可以關(guān)閉telnet信息/etc/rc.d/rc.local中關(guān)閉或修改系統(tǒng)信息/etc/issue和/etc/中包含本地登錄和網(wǎng)絡(luò)登錄時(shí)提示的系統(tǒng)信息,對(duì)它們進(jìn)行更改可以改變系統(tǒng)信息,或直接刪除,并在/etc/rc.d/rc.local文件中注釋相關(guān)行:#echo"">/etc/issue#echo"$R">>/etc/issue#echo"Kernel$(uname-r)on$a$(uname-m)">>/etc/issue#cp-f/etc/issue/etc/#echo>>/etc/issue5.4/etc/securetty文件/etc/securetty文件規(guī)定root從哪個(gè)TTY設(shè)備登錄,列出的是允許的tty設(shè)備,將不允許的tty設(shè)備行注釋掉.5.5/etc/host.conf文件/etc/host.conf定義主機(jī)名怎樣解析,使用什么效勞,什么順序解析#LookupnamesviaDNSfirstthenfallbackto/etc/hosts.orderbind,hosts#WehavemachineswithmultipleIPaddresses.multion#CheckforIPaddressspoofing.nospoofonorder指定選擇效勞的順序multi指定主機(jī)能不能有多個(gè)IP地址,ON代表允許nospoof指定不允許IP偽裝,此參數(shù)必須設(shè)置為ON5.6禁止IP源路徑路由允許IP源路徑路由(IPsourcerouting)會(huì)使得黑客能夠欺騙你的計(jì)算機(jī),截取信息包.強(qiáng)烈建議禁止，使用如下命令：forfin/proc/sys/net/ipv4/conf/*/accept_source_route;doecho0>$fdone將accept_source_route設(shè)置為0，并將上述命令加到/etc/rc.d/rc.local中去，每次重啟動(dòng)將自動(dòng)執(zhí)行5.7資源限制為了防止拒絕效勞攻擊，需要對(duì)系統(tǒng)資源的使用做一些限制。首先，編輯/etc/security/limits.conf，參加或改變?nèi)缦?hardcore0〔禁止創(chuàng)立core文件〕*hardrss5000〔除root外，其他用戶(hù)最多使用5M內(nèi)存〕*hardnproc20〔最多進(jìn)程數(shù)限制為20〕編輯/etc/pam.d/login,在文件末尾加上：sessionrequired/lib/security/pam_limits.so對(duì)TCPSYNCookie的保護(hù)：〔防止SYNFlood攻擊〕[root@deep]#echo1>/proc/sys/net/ipv4/tcp_syncookies5.8LILO平安在“/etc/lilo.conf〞文件中添加3個(gè)參數(shù)：time-out、restricted和password。這些選項(xiàng)會(huì)在啟動(dòng)時(shí)間〔如“l(fā)inuxsingle〞〕轉(zhuǎn)到啟動(dòng)轉(zhuǎn)載程序過(guò)程中，要求提供密碼。步驟1編輯lilo.conf文件〔/etc/lilo.conf〕，添加和更改這三個(gè)選項(xiàng)：boot=/dev/hdamap=/boot/mapinstall=/boot/boot.btime-out=00#changethislineto00promptDefault=linuxrestricted#addthislinepassword=#addthislineandputyourpasswordimage=/boot/vmlinuz--12label=linuxinitrd=/boot/initrd--12.imgroot=/dev/hda6read-only步驟2由于其中的密碼未加密，“/etc/lilo.conf〞文件只對(duì)根用戶(hù)為可讀。[root@kapil/]#chmod600/etc/lilo.conf〔不再為全局可讀〕步驟3作了上述修改后，更新配置文件“/etc/lilo.conf〞。[Root@kapil/]#/sbin/lilo-v〔更新lilo.conf文件〕步驟4還有一個(gè)方法使“/etc/lilo.conf〞更平安，那就是用chattr命令將其設(shè)為不可：[root@kapil/]#chattr+i/etc/lilo.conf它將阻止任何對(duì)“l(fā)ilo.conf〞文件的更改，無(wú)論是否成心。5.9Control-Alt-Delete鍵盤(pán)關(guān)機(jī)命令編輯“/etc/inittab〞文件，只要在下面行前面加“＃〞，改為注釋行。ca::ctrlaltdel:/sbin/shutdown-t3-rnow改為：#ca::ctrlaltdel:/sbin/shutdown-t3-rnow然后，為使更改生效，在提示符下輸入：[root@kapil/]#/sbin/initq5.10日志系統(tǒng)平安為了保證日志系統(tǒng)的完整性，防止黑客刪除日志，需要對(duì)日志系統(tǒng)進(jìn)行平安配置。本專(zhuān)題將有專(zhuān)門(mén)文檔來(lái)講述日志系統(tǒng)的平安。5.11修正腳本文件在“/etc/rc.d/init.d〞目錄下的權(quán)限對(duì)腳本文件的權(quán)限進(jìn)行修正，腳本文件用以決定啟動(dòng)時(shí)需要運(yùn)行的所有正常過(guò)程的開(kāi)啟和停止。添加：[root@kapil/]#chmod-R700/etc/rc.d/init.d/*這句指的是，只有根用戶(hù)允許在該目錄下使用Read、Write，和Execute腳本文件。文件系統(tǒng)平