一、如何限制对系统资源的过度使用? (1)、编辑/etc/security/limits.conf文件,在其中加入或改变下面这些内容: * hard core 0 //禁止创建core文件 * hard rss 5000 //表示除root用户之外,其他用户都只能最多使用5M内存 * hard nproc 20 //表示系统同时运行的进程限制为20 通过修改limits.conf文件中的上述内容,就可以限制登录到该系统上的用户,对进程、 core文件和内存的过度使用情况.其中,星号“*”表示所有登录到系统中的用户. (2)、编辑“/etc/pam.d/login”文件,在文件末尾加入下面所示的内容,以便上述设置的内容生效: session required /lib/security/pam_limits.so 二、如何禁止服务器上的IP原路径路由? 用VI编辑器打/etc/rc.d/rc.local文件,将下列所示的命令加入该文件中,就可以禁止服务器上的原路径路由: for r in /proc/sys/net/ipv4/conf/*/accept_source_route; do echo 0 > $r done 三、如何限制口令的长度? 用vi编译器打开/etc/login.defs文件,找到其中的“PASS_MIN_LEN 5”这一行,将内容改为“PASS_MIN_LEN 8”,就可以将系统默认的最小口令长度为5位,增加到最小为8位. 四、如何减少历史命令列表的数量? 使用过的最近命令列表保存在“~/.bash_history”文件中,要减少命令列表的保存数量,可以通过vi编辑器编辑“/etc/profile”文件,然后修改下面所示两项的值为允许的数值即可: HISTFILESIZE= HISTSIZE= 五、如何设置NFS文件系统的访问权限? 这可以通过在“/etc/exports”文件中设置允许被导出目录的相应权限即可达到目的.例如,如果要设置最严格的访问权限,也就是不允许使用任何通配符,以及不允许root用户的写权限,且只能将目录挂载为只读文件系统,用vi编辑器打开“/etc/exports”文件,加入下列所示的内容即可: /要被导出的目录(如/home/ly) 允许挂载此目录的主机域名(如liuyuan@nf)(ro, root_squash) 其中ro表示mount为只读文件系统,root_squash表示禁止root对该目录的写权限.重新保存“/etc/exports”文件后,运行下列命令使用修改生效: /usr/sbin/exportfs –a 六、Liunx系统下如何禁止telnet、FTP等服务? 1. 编辑/etc/inetd.conf文件,在其中就可以禁用包括telnet、FTP、imap、talk及finger等在内的服务. 2. 用chmod 600 /etc/inetd.conf命令修改该文件的权限. 3. 再运行killall –HUP inet使修改生效. 另一种方法就是使用TCP会绕程度来限制对本机上述服务的访问: 1. 修改/etc/hosts.deny为“ALL: ALL”拒绝所有对本机的访问. 2. 然后在/etc/hosts.allow中分别添加允许访问的服务与对应主机的IP行.如:telnet:192.168.1.2/255.255.255.0 liuyuan. 3. 可以用tcpdchk来检查这两个文件设置的正确性. 七、如何限制root帐户允许登录的字符终端? 用vi编辑器打开/etc/securetty文件,然后再不允许登录的字符终端注释掉即可,注释的方式可以在字符终端的前面加入“#”符合即代表这只是一个说明. 八、Linux系统下如何防止IP欺骗? 用vi编辑器编辑host.conf文件,在其中添加下列所示的几行,就可以防止IP欺骗: order bing, hosts multi off nospoof on 九、如何禁止普通用户在字符终端下使用shutdown、reboot和halt等程序? 以root权限,在字符终端下,使用下列命令来删除普通帐户不需要使用的控制台应用程序: Rm –f /etc/security/
|