linux操作系统安全系数升级
的服务
对所有不使用的服务,应该禁用并卸载,这样可以少些麻烦.查看“/etc/inetd.conf”文件,在不需要的项目行前加“#”号,即改为注释语句,就可以禁用它们了.然后给 inetd 过程发送一个 SIGHUP 命令,对“inetd.conf”文件进行更新.步骤如下: 步骤1 将“/etc/inetd.conf”文件许可改为600,使其只对根用户为可读写. [Root@kapil /]# chmod 600 /etc/inetd.conf 步骤2 确保“/etc/inetd.conf”文件的所有者为根用户. 步骤3 编辑 inetd.conf 文件(/etc/inetd.conf),禁用如下服务: ftp、telnet、shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth,等等. 如果不打算用,禁用了这些服务可以减少风险. 步骤4 给 inetd 过程发送HUP信号: [root@kapil /]# killall -HUP inetd 步骤5 将“/etc/inetd.conf”文件设为不可更改,chattr 命令可以使任何人都无法对其进行修改: [root@kapil /]# chattr i /etc/inetd.conf 唯一可以设置或清除该属性的用户只有根用户.要修改inetd.conf文件,去掉不可更改标记: [root@kapil /]# chattr -i /etc/inetd.conf TCP_WRAPPERS 通过 TCP_WRAPPERS,可以使服务器更好地抵制外部侵入.最好的办法是拒绝所有主机:在“/etc/hosts.deny”文件中加入“ALL: ALL@ALL, PARANOID”,然后在“/etc/hosts.allow”列出允许访问的主机.TCP_WRAPPERS 受控于两个文件,搜索时停在第一个匹配的地方. /etc/hosts.allow /etc/hosts.deny 步骤1 编辑 hosts.deny 文件(/etc/hosts.deny),加入如下行: # Deny access to everyone. ALL: ALL@ALL, PARANOID 语句的意思是,除非在 allow 文件中说明允许访问,所有服务、所有主机都被拒绝. 步骤2 编辑 hosts.allow 文件(/etc/hosts.allow),例如在文件中添加如下行: ftp: 202.54.15.99 foo.com 对于你的客户机来说:202.54.15.99为IP地址,foo.com为允许使用ftp的一个客户机. 步骤3 tcpdchk 程序是tcpd wrapper配置的检查程序.它对tcpd wrapper的配置进行检查,并报告所发现的潜在的和实际存在的问题.配置完成后,运行tcpdchk 程序: [Root@kapil /]# tcpdchk 不要显示系统发行文件 当别人远程登录时,不应该显示系统发行文件.做法是在“/etc/inetd.conf”文件中更改telnet选项: telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd 改为: telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h 在末尾加“-h”标记使后台程序不显示任何系统信息,而只给用户提供一个 login: 提示符. 更改“/etc/host.conf”文件 “/etc/host.conf”文件用来指定如何解析名称的方法.编辑 host.conf 文件(/etc/host.conf),添加如下各行: # Lookup names via DNS first then fall back to /etc/hosts. order bind,hosts # We have machines with multiple IP addresses. multi on # Check for IP address spoofing. nospoof on 第一个选项通过DNS解析主机名称,然后解析主机文件.multi 选项用于确定“/etc/hosts”文件中的主机是否有多个IP地址(多接口以太网). nospoof 选项指明该机器不允许假信息. 为“/etc/services”文件免疫 为“/etc/services”文件进行磁盘免疫,以避免对文件未经授权的删除或 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |