快速业务通道

CentOS 4.4 及 Linux 下最常用最有效的安全设置

作者 佚名技术 来源 Linux系统 浏览 发布时间 2012-04-21

CentOS 4.4 及 Linux 下最常用最有效的安全设置

1、 CentOS或Red Had Enterprise Linux 4 的用户要要打开SElinux,方法是修改/etc/selinux/config文件中的SELINUX="" 为enforcing .它可以保证你的系统不会非正常的崩溃.有些人认为应该关闭,我强烈不推荐,当然只是将centos用来玩玩,不是用于实际服务器则无所谓了.

2、启用iptables 防火墙,对增加系统安全有许多好处.设置好防火墙的规则.

3、执行setup 关闭那些不需要的服务 ,记住少开一个服务,就少一个危险.

4、禁止Control-Alt-Delete 键盘关闭命令
在"/etc/inittab" 文件中注释掉下面这行(使用#):
ca::ctrlaltdel:/sbin/shutdown -t3 -r now 
改为:
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now 
为了使这项改动起作用,输入下面这个命令:
# /sbin/init q

5、给"/etc/rc.d/init.d" 下script文件设置权限
给执行或关闭启动时执行的程序的script文件设置权限.
# chmod -R 700 /etc/rc.d/init.d/* 
这表示只有root才允许读、写、执行该目录下的script文件.

6、修改"/etc/host.conf"文件
"/etc/host.conf"说明了如何解析地址.编辑"/etc/host.conf"文件(vi /etc/host.conf),加入下面这行:
# Lookup names via DNS first then fall back to /etc/hosts. 
order bind,hosts 
# We have machines with multiple IP addresses. 
multi on 
# Check for IP address spoofing. 
nospoof on 
第一项设置通过DNS解析IP地址,然后通过hosts文件解析.第二项设置检测是否"/etc/hosts"文件中的主机是否拥有多个IP地址(比如有多个以太口网卡).第三项设置说明要注意对本机未经许可的电子欺骗.

7、使"/etc/services"文件免疫
使"/etc/services"文件免疫,防止未经许可的删除或添加服务:
# chattr  i /etc/services

8.阻止你的系统响应任何从外部/内部来的ping请求.
既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性.你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行.
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all

9、对你的系统上所有的用户设置资源限制可以防止DoS类型攻击(denial of service attacks)
如最大进程数,内存数量等.例如,对所有用户的限制象下面这样:
vi /etc/security/limits.conf

下面的代码示例中,所有用户每个会话都限制在 10 MB,并允许同时有四个登录.第三行禁用了每个人的内核转储.第四行除去了用户 bin 的所有限制.ftp 允许有 10 个并发会话(对匿名 ftp 帐号尤其实用);managers 组的成员的进程数目限制为 40 个.developers 有 64 MB 的 memlock 限制,wwwusers 的成员不能创建大于 50 MB 的文件.

清单 3. 设置配额和限制

* hard rss 10000
* hard maxlogins 4
* hard core 0
bin -
ftp hard maxlogins 10
@managers hard nproc 40
@developers hard memlock 64000
@wwwusers hard fsize 50000


要激活这些限制,您需要在 /etc/pam.d/login 底部添加下面一行: session required /lib/security/pam_limits.so.

10、注释掉不需要的用户和用户组.
vipw
root:x:0:0:root:/root:/bin/bash
bin:x:1:1:bin:/bin:/sbin/nologin
daemon:x:2:2:daemon:/sbin:/sbin/nologin
adm:x:3:4:adm:/var/adm:/sbin/nologin
lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
sync:x:5:0:sync:/sbin:/bin/sync
shutdown:x:6:0:shutdown:/sbin:/sbin/shutdown
halt:x:7:0:halt:/sbin:/sbin/

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

分享到: 更多

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号