首页 | Linux 基础 | 资讯动态 | Linux 应用 | Linux 服务器 | Linux 开发 | Linux 安全 | 专题 | 联盟论坛
  当前位置:主页>Linux 安全>文章内容
Linux安全管理的基本实用技巧
来源:http://www.unix5.com 作者:linuxfans 发布时间:2008-03-06  

 

第一步:

 

“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。强烈建议把把“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行的值设为一个较小的数,比如 30。编辑profile文件(vi/etc/profile),把下面这行改为:

 

HISTFILESIZE=30

HISTSIZE=30

 

 

这表示每个用户的“.bash_history”文件只可以保存30条旧命令。

 

第二步:

 

网管还应该在"/etc/skel/.bash_logout" 文件中添加下面这行"rm -f $HOME/.bash_history" 。这样,当用户每次注销时,“.bash_history”文件都会被删除。

 

编辑.bash_logout文件(vi /etc/skel/.bash_logout) ,添加下面这行:

 

rm -f $HOME/.bash_history

 

4、禁止Control-Alt-Delete键盘关闭命令

 

在"/etc/inittab" 文件中注释掉下面这行(使用#):

 

 

ca::ctrlaltdel:/sbin/shutdown -t3 -r now

 

 

改为:

 

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

 

为了使这项改动起作用,输入下面这个命令:

 

# /sbin/init q

 

 

5、给"/etc/rc.d/init.d" 下script文件设置权限

 

给执行或关闭启动时执行的程序的script文件设置权限。

 

# chmod -R 700 /etc/rc.d/init.d/*

 

 

这表示只有root才允许读、写、执行该目录下的script文件。

 

6、隐藏系统信息

 

在缺省情况下,当你登陆到linux系统,它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。对于黑客来说这些信息足够它入侵你的系统了。你应该只给它显示一!

 

个“login:”提示符。

 

首先编辑

 

 

/etc/rc.d/rc.local"

 

 

文件,在下面显示的这些行前加一个“#”,把输出信息的命令注释掉。

 

 

# This will overwrite /etc/issue at every boot. So, make any changes you

# want to make to /etc/issue here or you will lose them when you reboot.

#echo "" > /etc/issue

#echo "$R" >> /etc/issue

#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue

#

#cp -f /etc/issue /etc/issue.net

#echo >> /etc/issue

 

其次删除"/etc"目录下的“isue.net”和"issue"文件:

 

 

# rm -f /etc/issue

# rm -f /etc/issue.net

 

 

7、禁止不使用的SUID/SGID程序

 

如果一个程序被设置成了SUID root,那么普通用户就可以以root身份来运行这个程序。网管应尽可能的少使用SUID/SGID 程序,禁止所有不必要的SUID/SGID程序。

 

查找root-owned程序中使用s位的程序:

 

# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} ;

 

用下面命令禁止选中的带有s位的程序:

 

 

# chmod a-s [program!

]

 

以上是一些基本的安全设置技巧,俗话说:“道高一尺,魔高一丈”。只要是连上网的计算机,就有可被入侵。因此系统的定期检查和维护是相当重要的,对于及时发现入侵很有帮助,有助于我们亡羊补牢,赶在入侵者还没有破坏系统和数据之前把它们清理出去。所以接着就给大家讲一下这方面的技巧

 

一、优化分区结构

 

这对维护很有好处,我们应该把Linux的文件系统分成几个主要的分区,每个分区分别进行不同的配置和安装,一般情况下至少要建立/、 /usr/local、/var和/home等分区。/usr可以安装成只读并且可以被认为是不可修改的。如果/usr中有任何文件发生了改变,那么系统将立即发出安全报警。当然这不包括用户自己改变/usr中的内容。/lib、/boot和/sbin的安装和设置也一样。在安装时应该尽量将它们设置为只读,并且对它们的文件、目录和属性进行的任何修改都会导致系统报警。

 

当然将所有主要的分区都设置为只读是不可能的,有的分区如/var等,其自身的性质就决定了不能将它们设置为只读,但应该不允许它具有执行权限。

 

二、保护log文件

 

当与log文件和log备份一起使用时不可变和只添加这两种文件属性特别有用。这通常需要在log更新脚本中添加一些控制命令。


共3页: 上一页 [1] [2] 3 下一页
 
如果您对本文有任何疑问或者建议,请到论坛讨论区发表您的意见: >> 论坛入口
[收藏] [推荐] [评论(0条)] [返回顶部] [打印本页] [关闭窗口]  
  热点文章
·MBR如果被覆盖了怎麽办?
·linux应用技巧集囊(新手遍)
·Linux操作系统Gaim玩转QQ与MSN--
·shell编程技巧
·制作软盘上运行的FreeBSD系统
·简述 Linux 文件系统的目录结构
·提高Linux系统性能,加速网络应用
·优化Linux系统服务器硬盘实用技
·Linux操作系统下设置NFS共享讲解
·Linux 的带宽管理系统
·通过Linux系统引导CD排除服务器
·Linux系统下查CPU个数的方法
  相关文章
·linux安全攻略-经验讲
·Linux安全管理高级实用技巧
·Linux安全设置实用手册讲解
·用Ubuntu Linux系统架设cacti监
·用LoadRunner监控Linux的资源状
·如何监控和保护Linux操作系统的
·监控Linux运行进程来保证系统的
·终端安全管理>>守住最后的堡垒
·保障Linux系统安全宝典之九大技
·五个步骤部署-讲解Linux安全之道
·Linux安全之道 加固Linux服务器
·用日志系统保护你的Linux系统安

本站信息源至:互联网络,均为学习,交流所用,如有版权问题,请联系我们.
站长QQ:397422079 E_mail:riechelr_hl@unix5.com
转载本站内容请注明原作者名.谢谢!