LinuxSir.cn,穿越时空的Linuxsir!

 找回密码
 注册
搜索
热搜: shell linux mysql
查看: 1918|回复: 0

主机安全加固

[复制链接]
发表于 2006-4-21 22:08:40 | 显示全部楼层 |阅读模式
1.给机箱上锁,为BIOS和lilo/grub设置口令,限制光盘/软盘等启动计算机。

2.关闭/禁止/删除不需要的服务及守护进程;查找所有的无线访问点和设备-802.11和蓝牙;删除拨号连接。

3.更改默认口令,设置足够强壮的密码,删除不必要的帐号和组。Windows系统还可以重命名Administrator帐号,新建“假”的Administrator帐号,禁止Guest帐号;

4.制定帐户策略:Windows系统,“组策略-计算机配置-Windows设置-安全设置-帐户策略”。Unix系统,编辑/etc/login.defs。

5.平时不要使用管理员帐号:Windows系统使用 runas, Unix系统使用 sudo。

6.Unix系统限制使用su的用户:编辑/etc/pam.d/su,添加 auth required /lib/security/$ISA/pam_wheel.so group=wheel行,用命令“usermod -G 10 <用户名>”来添加允许使用su的用户。

7.禁止root使用ssh远程登入:编辑/etc/ssh/sshd_config,找到#PermitRootLogin yes 改成--> PermitRootLogin no,重启ssh服务。

8.安装并测试:反病毒软件,备份/恢复程序,数据完整性检测工具(推荐Tripwirehttp://www.tripwire.com/

9.Banner伪装:
  Apache:编辑httpd.conf,找到#ServerTokens Full 改为 ServerTokens Prod,找到#ServerSignature On 改为 ServerSignature Off
  Vsftpd: 编辑vsftpd.conf,找到#ftpd_banner=Welcome to blash FTP service,删除行首的“#”

10.给重要文件加锁,拒绝修改:
  # chattr +i /etc/passwd
   # chattr +i /etc/shadow
注:使用chattr提高ext2文件系统的安全性(http://www.nsfocus.net/index.php ... o=view&mid=1430)

11.选择使用LIDS保护系统,详情参考psef的《LIDS攻略》(http://www.xfocus.net/articles/200202/362.html

12.构建独立的linux日志服务器:
  1>在日志服务器上
  vi /etc/sysconfig/syslog,找到并修改 SYSLOGD_OPTIONS="-r -m 0",重启syslog服务
  2>服务器上
  vi /etc/syslog.conf,添加*.*                  @1.1.1.1
  然后重启syslog服务,这样服务器的系统日志就会发往日志服务器1.1.1.1

参考:
1>http://www.linuxbyte.net/manual/ ... hecklist.zh-cn.html
2>http://overflow.nease.net/aya/linux_log_prot.txt
3>Hardening Network Security(http://www.china-pub.com/computers/common/info.asp?id=30736
您需要登录后才可以回帖 登录 | 注册

本版积分规则

快速回复 返回顶部 返回列表