快速业务通道

linux操作系统安全系数升级

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-04-07
的服务

  对所有不使用的服务,应该禁用并卸载,这样可以少些麻烦.查看“/etc/inetd.conf”文件,在不需要的项目行前加“#”号,即改为注释语句,就可以禁用它们了.然后给 inetd 过程发送一个 SIGHUP 命令,对“inetd.conf”文件进行更新.步骤如下:

  步骤1

  将“/etc/inetd.conf”文件许可改为600,使其只对根用户为可读写.

  [Root@kapil /]# chmod 600 /etc/inetd.conf

  步骤2

  确保“/etc/inetd.conf”文件的所有者为根用户.

  步骤3

  编辑 inetd.conf 文件(/etc/inetd.conf),禁用如下服务:

  ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等.

  如果不打算用,禁用了这些服务可以减少风险.

  步骤4

  给 inetd 过程发送HUP信号:

  [root@kapil /]# killall -HUP inetd

  步骤5

  将“/etc/inetd.conf”文件设为不可更改,chattr 命令可以使任何人都无法对其进行修改:

  [root@kapil /]# chattr i /etc/inetd.conf

  唯一可以设置或清除该属性的用户只有根用户.要修改inetd.conf文件,去掉不可更改标记:

  [root@kapil /]# chattr -i /etc/inetd.conf

TCP_WRAPPERS

  通过 TCP_WRAPPERS,可以使服务器更好地抵制外部侵入.最好的办法是拒绝所有主机:在“/etc/hosts.deny”文件中加入“ALL:&nbspALL@ALL, PARANOID”,然后在“/etc/hosts.allow”列出允许访问的主机.TCP_WRAPPERS 受控于两个文件,搜索时停在第一个匹配的地方.

  /etc/hosts.allow

  /etc/hosts.deny

  步骤1

  编辑 hosts.deny 文件(/etc/hosts.deny),加入如下行:

  # Deny access to everyone.

  ALL:&nbspALL@ALL, PARANOID

  语句的意思是,除非在 allow 文件中说明允许访问,所有服务、所有主机都被拒绝.

  步骤2

  编辑 hosts.allow 文件(/etc/hosts.allow),例如在文件中添加如下行:

  ftp: 202.54.15.99 foo.com

  对于你的客户机来说:202.54.15.99为IP地址,foo.com为允许使用ftp的一个客户机.

  步骤3

  tcpdchk 程序是tcpd wrapper配置的检查程序.它对tcpd wrapper的配置进行检查,并报告所发现的潜在的和实际存在的问题.配置完成后,运行tcpdchk 程序:

  [Root@kapil /]# tcpdchk

  不要显示系统发行文件

  当别人远程登录时,不应该显示系统发行文件.做法是在“/etc/inetd.conf”文件中更改telnet选项:

  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd

  改为:

  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h

  在末尾加“-h”标记使后台程序不显示任何系统信息,而只给用户提供一个 login: 提示符.

  更改“/etc/host.conf”文件

  “/etc/host.conf”文件用来指定如何解析名称的方法.编辑 host.conf 文件(/etc/host.conf),添加如下各行:

  # Lookup names via DNS first then fall back to /etc/hosts.

  order bind,hosts

  # We have machines with multiple IP addresses.

  multi on

  # Check for IP address spoofing.

  nospoof on

  第一个选项通过DNS解析主机名称,然后解析主机文件.multi 选项用于确定“/etc/hosts”文件中的主机是否有多个IP地址(多接口以太网).

  nospoof 选项指明该机器不允许假信息.

  为“/etc/services”文件免疫

  为“/etc/services”文件进行磁盘免疫,以避免对文件未经授权的删除或

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号