1、red hat linux服務器安全策略一:啟動信息安全1、為單用戶引導加上密碼在"/etc/iilo.conf'文件中加入三個參數：timeout,restricted,password。這三個參數可以使你的系統在啟動lilo吋就要求密碼驗證。a）：編輯lilo.conf文件（vi/etc/lilo.conf），假如或改變這三個參數：boot=/dev/hdamap=/bool/mapinstall=/boot/boot. btime-out=00 #把這行該為00promptdefault=linux#加 入這行restricted#加入這行并設置自己的密碼passwor

2、d=<password>image=/boot/vmlinuz-2.24-12label=linuxinitrd=/boot/initrd-2.2.14- 12.imgroot=/dev/hda6read-onlyb）：因為vetc/lilo.conf1文件中包含明文密碼，所以要把它設置為root權限讀取。root# chmod 600 /etc/lilo.confc）：更新系統，以便對“/etc/lilo.conf戈件做的修改起作用。root# /sbin/lilo -vd）：使用“chattr"命令使"/etc/lilo.conf1文件變為不可改變。root

3、# chattr +i /etc/lilo.conf2、禁止control-alt-delete鍵盤關閉命令在"/etc/inittab"文件中注釋掉下面這行：#ca:ctrlaltdel:/sbin/shutdown -t3 -r now為了使這項改動起作用，輸入下面這個命令：root# /sbin/init q二、隱藏系統的信息1、歷史命令bash shell在“/.bash_history”（“廠表示用戶目錄）文件中保存了 500條使用過的命令, 這樣可以使你輸入使用過的長命令變得容易。每個在系統屮擁有賬號的用戶在他的目錄下都 有一個 “.bash_history&q

4、uot;文件。bash shell應該保存少量的命令，并且在每次用戶注銷時都把這些歷史命令刪除。(1) “/etc/profile"文件屮的“histfilesize”和“histsize”行確定所有用戶的“.ba$h_histoiy' 文件中可以保存的舊命令條數o把“/etc/profile”文件中的“histfilesize”和“histsize”行的 值設為一個較小的數。編輯profile文件(vi/etc/profile),把下面這行改為：histfilesize=30 設為 30histsize=30 不要把histsize置零，那樣就不能使用上下健來調用歷史命令了

5、 這表示每個用戶的“.bash_history”文件只可以保存30條舊命令。(2) 在"/etc/skel/.bash_logout"文件中添加下面這行"rm -f $home/.bash_history"。這樣， 當用戶每次注銷時，“.bash_history”文件都會被刪除。三、口令和用戶帳號管理1、密碼(1) 修改密碼長度：boot#vi /etc/login.defs/-把 pass_min_len 5 改為 pass_min_len 8(2) 使用“/usr/sbin/authconfig"工具打開shadow功能，對password

6、加密。如果你想把已有 的密碼和組轉變為shadow格式，可以分別使用"pwcov,grpconv"命令。(3) 系統會自動注銷 root, #vi /etc/profile/-在”histfilesize=”后面加入：tmout=3600 3600,表示60*60=3600秒，也就是1小時。這樣，如果系統中登陸的用 戶在一個小吋內都沒有動作，那么系統會自動注銷這個賬戶。你可以在個別用戶的u.bashrc" 文件中添加該值，以便系統對該用戶實行特殊的自動注銷時間。改變這項設置后，必須先 注銷用戶，再用該用戶登陸才能激活這個功能。2、關閉或刪除所有不用的缺省用戶和組賬

7、戶禁止所有默認的被操作系統本身啟動的且不需要的帳號，當你第一次裝上系統時就應該做此 檢查，linux提供了各種帳號，你可能不需要，如果你不需要這個帳號，就移走它，你有的 帳號越多，就越容易受到攻擊。為刪除你系統上的用戶，用下面的命令：frootdeep# uscrdel username為刪除你系統上的組用戶帳號，用下面的命令：rootdeep# groupdel username在終端上打入下面的命令刪掉下面的用戶。rootdeep# userdel adm frootdeep# uscrdel lp rootdeep# userdel sync rootdeep# userdel shut

8、down rootdeep# userdel halt rootdeep# userdel mail 如果你不用sendmail服務器，procmail.mailx,就刪除這個帳號。rootdeep# userdel news rootdeep# userdel uucp rootdeep# userdel operatorfrootdeep# userdcl games如果你不用x windows服務器，就刪掉這個帳號。rootdeep# userdel gopherrootdeep# userdel ftp如果你不允許匿名ftp，就刪掉這個用戶帳號。打入下面的命令刪除組帳號rootdeep

9、# groupdel admrootdeep# groupdel lprootdeep# groupdel mail /如不用sendmail服務器，刪除這個組帳號 frootdeep# groupdel newsrootdeep# groupdel uucprootdeep# groupdel games /如你不用 x windows,刪除這個組帳號rootdeep# groupdel diprootdeep# groupdel pppusersfrootdeep# groupdel popusers /如果你不用pop服務器，刪除這個組帳號 rootdeep# groupdel slip

10、users用下面的命令加需要的用戶帳號rootdeep# useradd username用下面的命令改變用戶口令rootdeep# passwd username用chatti命令給下面的文件加上不可更改屬性。rootdeep# chattr +i /etc/passwdrootdeep# chattr +i /etc/shadowrootdeep# chattr +i /etc/grouprootdeep# chattr +i /etc/gshadow3、限制用戶權限(1) 取消普通用戶的控制臺訪問權限,比如shutdown、reboot、halt等命令。root# rm -f /etc/

11、security/console.apps/<servicename> /<servicename>是你要注銷的程序名。(2) 不允許從不同的控制臺進行root登陸編輯“/etc/securetty”文件，在不需要登陸的tty設備前添加“#”標志，來禁止從該tty設備 進行root登陸。(3) 禁止任何人通過su命令改變為root用戶su(substitute usei替代用戶)命令允許你成為系統屮其他己存在的用戶。boot#vi /etc/pam.d/su#在開頭添加下血兩行：auth sufficient /lib/security/pam_rootok.so de

12、bugauth required /iib/security/pam_wheel.so group=wheel這表明只有"wheel"組的成員可以使用su命令成為root用戶。你可以把用戶添加到“wheel” 組，以使它可以使用su命令成為root用戶。然后,如果你希望用戶admin能su作為root.就運行下面的命令。lrootdeep# usermod -gio admin4、禁止不使用的suid/sgid程序如果一個程序被設置成了 suidroot,那么普通用戶就可以以root身份來運行這個程序。 網管應盡可能的少使用suid/sgid程序，禁止所有不必要的su1d/

13、sgid程序。查找root-owned程序中使用's'位的程序：root# find / -type f (-perm -04000 -o -perm -02000 ) -exec is -lg ;用下面命令禁止選中的帶有0位的程序：root# chmod a-s program四、關閉不必要的服務或端口1、阻止你的系統響應任何從外部/內部來的ping請求。既然沒有人能ping通你的機器并收到響應，你可以人人增強你的站點的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次啟動后自動運行。echo 1 > /proc/sys/net/ipv4/i

14、cmp_echo_ig no re_all五、關鍵文件或目錄權限1、對于系統屮的某些關鍵性文件如passwd、passwd.old、passwd._、shadow、 shadown._,inetd.conf> services和lilo.conf等可修改其屬性，防止意外修改和被普通用八查 看。如將inetd文件屬性改為600 :# chmod 600 /etc/inetd.conf這樣就保證文件的屬主為root,然后還可以將其設置為不能改變：# chattr +i /etc/inetd.conf這樣，對該文件的任何改變都將被禁止# chattr i /etc/inetd.conf取消禁止

15、更修屬性2、給7etc/rc.d/init.dn下的文件設置權限給執行或關閉啟動時執行的程序的所有目錄設置許可權限root# chmod -r 700 /etc/rc.d/init.d/*這樣便僅有root可以讀、寫或執行上述所有腳本文件。六、安全設置1、tcp.wrappers(1) #vi /etc/hosts.deny,加入# deny access to everyone.all: allall, paranoid這表明除非該地址在允許訪問的主機列表中，否則阻塞所有的服務和地址。(2) #vi/etc/hosts.allow,加入允許訪問的主機列表，如：ftp:

16、9 (3) # tcpdchk/-檢查你的 tcp wrapper 設置2防止pingecho 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all然后把此命令放到/etc/rc.local中,每次啟動白動執行.3、禁止提供finger服務使用finger命令可以顯示本地或遠程系統中目前已登錄用戶的詳細信息，黑客可以利用這些 信息，增大侵入系統的機會。為了系統的安全，最好禁止提供finger服務。如下：從/usr/bin下刪除finger命令；如果要保留finger服務，應將finger文件換名，或修改其權限，使得只允許root用戶執行 finger命令4

17、、防止dos攻擊對系統所有的用戶設置資源限制可以防止dos類型攻擊(denial of service attacks)o如 最大進程數，內存數量等。編輯/etc/security/limits.con加如下幾行：* hard core 0* hard rss 5000* hard nproc 20編輯/ctc/pam. d/logi n文件檢查這一行是否存在。session required /lib/security/pam_limits.so上面的命令禁止調試文件，限制進程數為50,且限制內存使用為5mb。七、其它1、使用安全工具軟件或防火墻保護系統：2、防范網絡嗅探：關閉不必要的服務和服