Linux系統憑借其穩定且源代碼公開的特性,在Internet上被用來做Web服務器與數據庫服務器已經越來越多了,隨之,Linux系統的安全性也被愈發重視,加固Linux系統對於很多人來說,也是迫在眉睫的事情了。那麼,要較好的加固Linux系統,足以應付各種突發事件與黑客的攻擊,我們需要從哪些方面入手呢? 1.安裝和升級 盡量選用最新的Linux發行版本,安裝前拔掉網線,斷開物理連接,安裝時建議用custom自定義方式安裝軟件包,數量以少為好。一般來說服務器沒有必要安裝X-windows,在lilo/grub引導器中加人口令限制,防止能夠物理接觸的惡意用戶。 因為Linux安裝光盤的rescue模式可以跳過這個限制,所以還要給BIOS加上密碼或服務器機箱上鎖。/var、/home、/usr和/root等目錄使用獨立的物理分區,防止垃圾數據和日志填滿硬盤而導致D.o.S攻擊。對root賬號要給予強壯的口令。 安裝完畢立即用up2date或apt升級系統軟件,有時升級內核也是必要的,因為內核出現問題同樣會給攻擊者提供機會。apt是Debian GNU Linux下的一個強大的包管理工具,也可用於其他版本的Linux. 2.賬號 如果系統中的用戶比較多,可以編輯/etc/login.defs,更改密碼策略,刪除系統中不必要的賬戶和組,如果不開匿名FTP,可以把ftp賬號也刪了。刪除賬號的命令如下: [root@ayazero/]#userdel-r username 最安全的方式是本地維護,可惜不太現實,但還是需要限制root的遠程訪問,管理員可以用普通賬戶遠程登錄,然後su到root,我們可以把使用su的用戶加到wheel組來提高安全性。在/etc/pam.d/su文件的頭部加入下面兩行代碼:
編輯/etc/securetty,注釋掉所有允許root遠程登錄的控制台,然後禁止使用所有的控制台程序,其命令如下:
登錄采用加密的ssn,如果管理員只從固定的終端登陸,還應限制合法ssn客戶端的范圍, 防止嗅探及中間人攻擊。同時,將命令歷史紀錄歸為零,盡可能的隱藏你做過的事情,其命令為:
3.服務 采用最少服務原則,凡是不需要的服務一律注釋掉。在/etc/inetd.conf中不需要的服務前加"#",較高版本中已經沒有inetd,而換成了Xinetd;取消開機自動運行服務,把/etc/rc.d/rc3.d下不需要運行的肥務的第一個字母"S"改成"K",其他不變. 如果你希望簡單一點,可以使用/etc/host.allow和/etc/host.deny這兩個文件,但是推薦使用iptables防火牆,所以不在此詳述. (未完待續)
