2. 技术人生
    3. Linux加固Paper

    Linux加固Paper

    技术2022-05-20  67

    beach翻译的,继续分享目录:1.BIOS2.SSH安全3.禁用telnet4.禁用 代码编译5.ProFTP6.TCPwrappers7.创建一个SU组8.root通知9.history安 全10.欢迎信息11.禁用所有特殊账户12.chmod危险文件13.指定允许root登陆的TTY设备14. 选择一个安全的密码15.检查Rootkit16.安装补丁17.隐藏Apache信息18.隐藏php信息19. 关闭不使用的服务20.检测监听中的端口21.关闭打开的端口和服务22.删除不用的rpm包23.禁用危险的php函 数24.安装配置防火墙25.安装和配置BFD26.内核加固(sysctl.conf)27.更改SSH端口28./tmp /var/tmp,/dev/shm分区安全29.PHP IDS

    总结========================================================================介 绍

    这个教程将一步步的指引你,使你的Linux系统变得安全。任何默认安装的操作系统都是不够安全的,本文将指引你如何建立一个相 对安全的Linux系统。========================================================================1.BIOS你 应该总是在系统启动的时候设置一个BIOS密码和禁用从CD-ROM和软盘引导。这将防止一些人未经允许访问你的系统和更改BIOS设置

    2.SSH 安全SSH是一个协议,利用它可以登录到一个远程系统或远程执行系统命令,默认允许root登录,并且sshv1存在缺陷,我们应该在sshd_config 禁止root访问和使用sshv2来让ssh更加安全。

    方法:vi /etc/ssh/sshd_config把协议改为 2PermitRootLogin = no重启sshd /etc/rc.d/init.d/sshd restart

    3. 禁用telnet早期的Linux默认开启telnet服务,telnet,ftp,rlogin都是明文传输的协议是容易被嗅探到的, 这就是为什么推荐使用安全的版本(sftp,scp,ssh)的原因如果你必须要使用telnet,那么至少应该隐藏banner信息

    方 法:修改/etc/xinetd.d/telnetdisable=yes

    4.禁用代码编译你可以禁用代码编译并 且只把编译的权限分配给一个用户组方法:添加编译用户组 /usr/sbin/groupadd compiler ,cd /usr/bin把常见的编译器所属组赋给编译用户组chgrp compiler *cc*chgrp compiler *++*chgrp compiler ldchgrp compiler as设置mysqlaccess的访问chgrp root mysqlaccess设置权限chmod 750 *cc*chmod 750 *++*chmod 750 ldchmod 750 aschmod 755 mysqlaccess把用户添加到组里修改/etc /groupcompiler:x:520:user1,user2

    5.ProFTP你可以通过修改 proftpd.conf来禁止root登陆方法:修改/etc/proftpd.confAdd RootLogin off重 启proftpd /sbin/service proftpd stop /sbin/service proftpd start

    6.TCP wrappers编辑hosts.allow和hosts.deny可以限制或允许访问inet服务

    方法:限制访问 inet服务修改/etc/hosts.allow建议格式:#Approved IP addressesALL:192.168.0.1ALL:192.168.5.2#CSV uploader machineproftpd:10.0.0.5#pop3 from antwhereipop3:ALL修 改/etc/hosts.denyALL:ALL EXCEPT localhostENY

    7.创建SU用户组因为我们在 SSH禁止了root用户访问并且禁用了telnet,所有我们应该分配给一些用户su权限来获取root特权

    方法:vi /etc/group添加一行 wheel:x:10:root,user1,user2chgrp wheel /bin/suchmod o-rwx /bin/su

    8.root通知当一个具有root权限的用户登录的时候发mail方法:编辑 /root下的.bashrc ,当有root权限的用户登录时发生email通知echo 'ALERT - Root Shell Access (Server Name) on:' `date` `who` | mail -s

    专利

    最新回复(0)