红帽LINUX6.2SERVER安稳设置.doc

红帽linux6.2server安全设置 首先声明一点，这里所说的安全设置都是建立在前面的基础上，也就是说这里的安全设置并不是通用的，如我并没有提供NFS服务，所以就不会对/etc/exports进行设置，如果安装了什么其他的服务，请自行解决相关安全问题　　再说一下，我的习惯是注释而不删除，因为这样你能在以后知道你更改了什么，这是个好习惯吧　　安全权限体制是基于密码的，一个用户的密码过于简单就能使别有用心者侵入你的系统，并不要以为他干不了什么，以xxxx信息港提供个人主页空间这台机为例，如果一个权限很小很小的工作帐号给破译，那就能用这个密码进入系统。就能拿到任何在这台主机上的htdocs目录和UsweDir(假定是按默认public_html目录）设定目录下的东东　　也就是说/home/*/public_html/下的东东可以给别人拿走分析.....如PHP这类的是不给别人看源码的，辛辛苦苦写的东东不想给别人吧，呵呵　　因如要通过Apache提供服务，就必须至少把所有放置网页的目录设权限设为701，也就是任何人都有可执行权限，一般的方法甚至设为755，这直接就能读了，根本不用分析URL，一句话说明这个问题，源代码是保护不了的！　　对apache的根也是对个人主页存放目录也是，如是CGI，只有用C写的CGI才行　　所以　　一、我选择限定最小密码长度，当然是越长越好，呵呵，但我都不习惯用十位以上的密码，惯例是设为八位　　打开/etc/login.defs　　把PASS_MIN_LEN 5这行把5改为8 (还有许多有用的设置，具体看此文件上几行的说明)　　二、root密码的重要性自不用提了　　我的做法是首先限定root只许本地登录，只许在tty1登录，网上telnet的可以使用su转为root，再限定su转root的用户组，这的安全点就可以多步设卡，我是这样设的，设一个组(我选super组)，只有里面的组员可以su root，其余的就是知道root密码也su不了，必须知道两个密码才能取得root权限(当然这是在不考虑缓冲区溢出和其他更改自身UID和GID的攻击法,这个后面有相应对策)　　1.打开/etc/securetty，把除tty1外全部注释掉，这样就只有tty1能用root登录　　2.打开/etc/pam.d/su，下面是我机上的文件，加入加☆那两行…. ☆可不是文件里的(#%PAM-1.0你不用理，vi时就明白了)　　#%PAM-1.0　　☆auth sufficient /lib/security/pam_rootok.so debug　　☆auth required /lib/security/pam_wheel.so group=super　　auth required /lib/security/pam_pwdb.so shadow nullok　　account required /lib/security/pam_pwdb.so　　password required /lib/security/pam_cracklib.so　　password required /lib/security/pam_pwdb.so shadow use_authtok nullok　　session required /lib/security/pam_pwdb.so　　session optional /lib/security/pam_xauth.so　　在这我用的是super这个组，你可以改的　　我的super 组ID值是33(我故意设在中间的，不想给别人猜出的，呵呵)　　然后usrmod ?G33 shadow　　把我的登录的普通帐号shadow加入super，也只有shadwo才能su root了　　(限定tty这个最好留到后面做，因为做服务器过程中，要安很多软件要安，要做很多设置，用普通用户再转root有点累，呵呵，真的，我这样是想写的有条理点，走形式主义了)　　三、本地安全　　这个非常重要，本想放在最前面说的，衡量了一下，站在全局观来说，这只是一个局部，所以放在这，但确用重要……我能用root进入同学任何一台linux，很大一部份原因在此　　只有root才能改root密码，这是常识也?幸桓鲂⌒〉拿で?　　还有二种方式改root密码，一是init 1 ！二是用软盘起动!　　到1模式就能更改任何人的密码，所以在这要设卡，起动时进入1默认设置不是需要认证的，如果一个本地普通用户登录后是不能使用init 1 等进入模式1的，所以只有在机器起动时无论起动哪项都要认证权限，通过lilo可以做到