主机安全加固

killads · 发表于 2006-4-21 22:08:40

1.给机箱上锁，为BIOS和lilo/grub设置口令，限制光盘/软盘等启动计算机。

2.关闭/禁止/删除不需要的服务及守护进程;查找所有的无线访问点和设备-802.11和蓝牙;删除拨号连接。

3.更改默认口令，设置足够强壮的密码，删除不必要的帐号和组。Windows系统还可以重命名Administrator帐号，新建“假”的Administrator帐号，禁止Guest帐号；

4.制定帐户策略：Windows系统，“组策略-计算机配置-Windows设置-安全设置-帐户策略”。Unix系统，编辑/etc/login.defs。

5.平时不要使用管理员帐号：Windows系统使用 runas, Unix系统使用 sudo。

6.Unix系统限制使用su的用户：编辑/etc/pam.d/su，添加 auth required /lib/security/$ISA/pam_wheel.so group=wheel行，用命令“usermod -G 10 <用户名>”来添加允许使用su的用户。

7.禁止root使用ssh远程登入：编辑/etc/ssh/sshd_config，找到#PermitRootLogin yes 改成--> PermitRootLogin no，重启ssh服务。

8.安装并测试：反病毒软件，备份/恢复程序，数据完整性检测工具（推荐Tripwirehttp://www.tripwire.com/）

9.Banner伪装：
  Apache：编辑httpd.conf,找到#ServerTokens Full 改为 ServerTokens Prod，找到#ServerSignature On 改为 ServerSignature Off
  Vsftpd: 编辑vsftpd.conf,找到#ftpd_banner=Welcome to blash FTP service，删除行首的“#”

10.给重要文件加锁，拒绝修改：
  # chattr +i /etc/passwd
# chattr +i /etc/shadow
注：使用chattr提高ext2文件系统的安全性(http://www.nsfocus.net/index.php ... o=view&mid=1430)

11.选择使用LIDS保护系统，详情参考psef的《LIDS攻略》（http://www.xfocus.net/articles/200202/362.html）

12.构建独立的linux日志服务器：
  1>在日志服务器上
  vi /etc/sysconfig/syslog，找到并修改 SYSLOGD_OPTIONS="-r -m 0"，重启syslog服务
  2>服务器上
  vi /etc/syslog.conf，添加*.*       @1.1.1.1
  然后重启syslog服务,这样服务器的系统日志就会发往日志服务器1.1.1.1

参考：
1>http://www.linuxbyte.net/manual/ ... hecklist.zh-cn.html
2>http://overflow.nease.net/aya/linux_log_prot.txt
3>Hardening Network Security（http://www.china-pub.com/computers/common/info.asp?id=30736）

		自动登录	找回密码
密码			注册