科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网网络频道Linux服务器平台的安全保护(3)

Linux服务器平台的安全保护(3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

互联网上有许多企业公司和组织采用Linux作为服务器平台。本文讨论Linux系统安全配置的一些基本知识,以帮助你保护Linux系统。虽然在这里以Red Hat 6.0为例子,但也应该适用于其它Linux发行版本。

作者:51CTO.COM 2007年10月29日

关键字: 拒绝服务 系统调整 Linux系统

  • 评论
  • 分享微博
  • 分享邮件

  3、日志和系统调整

  在尽可能多地取消服务后,下一步就是配置系统日志了。所有的系统日志存放在/var/log目录下。缺省时,Linux有不错的日志设置,除了ftp。有两种方法记录ftp的日志,配置/etc/ftpaccess文件或编辑/etc/inetd.conf。建议采用相对简单的编辑/etc/inetd.conf文件的方法。通过编辑/etc/inetd.conf文件如下,可以记录所有FTP会话的所有日志。

  ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -L -i -o

  --- 以下选自ftp手册页 ---

  如果指定-l参数,syslog会记录每一个ftp会话。

  如果指定-L参数,缺省时一旦ftp服务器被调用,命令日志就会激活。这将使服务器记录下所有的USER命令。注意,此时如果一个用户偶然性地在用户名输入时输入了口令,该口令会被syslog记录下来!

  如果指定-i参数,ftpd服务器接收到的文件都会被记录到xferlog。

  如果指定-o参数,ftpd服务器发送的文件都会被记录到xferlog。

  --- snip snip ---

  下一步配置是系统调整。这包括了多个文件的管理。第一件事情是确保/etc/passwd文件的安全。首先要确认系统使用了/etc/shadow文件,此保存了所有用户口令密文的文件仅允许root根用户访问,这可以阻止用户口令轻易地被访问和破解。Red Hat 6.0缺省时使用了shadow口令系统,但务必要检查确定。只要运行以下命令,就会将口令系统自动转换到/etc/shadow口令系统:

  pwconv

  第二步是删除/etc/passwd文件中许多缺省的系统帐号。Linux提供这些帐号主要是用于许多其实极少需要的系统操作。如果不需要这些帐号,删除它们。帐号越多,系统被入侵的可能性就越大。例如"news"帐号,如果不运行nntp新闻组服务器,就不需要该帐号(注意要更新/etc/cron.hourly文件,因为脚本中涉及到了"news"用户)。另外,一定要删除"ftp"帐号,因为该帐号仅用于匿名FTP访问。

  我们还要修改/etc/ftpusers文件。任何被列入该文件的帐号将不能ftp到本系统。通常用于限制系统帐号,例如root和bin等,禁止这些帐号的FTP会话。缺省时Linux已创建了该文件。一定要确保root根用户被包含在该文件中,以禁止root与系统的ftp会话。检查并确认需要FTP到该防火墙的所有帐号**不**在/etc/ftpusers文件中。

  另外,确保根用户root不能telnet到系统。这强迫用户用其普通帐号登录到系统,然后再su成为root。/etc/securetty文件列出了root所能连接的tty终端。

  将tty1、tty2等列入该文件中,使root用户只能从本地登录到系统中。ttyp1、ttyp2等是pseudo(虚拟)终端,它们允许root远程telnet到系统中。

  最后,创建/etc/issue文件。该ASCII文本文件用于在所有telnet登录时显示的信息。当试图登录到系统中时,该文件中的警告信息将被显示。在Linux系统中要修改/etc/rc.d/init.d/S99local脚本文件,以生成固定的/etc/issue文件。

  因为缺省时Linux在每次启动时都生成新的/etc/issue文件。

 

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章