linu系统安全详解.doc

linux系统安全详解 BIOS安全（硬件上的安全） 1，最基本最简单的安全配置，保障计算机硬件配置等不被别人更改.给BIOS设置密码,防止改变 启动顺序从软盘或光盘启动.防止特殊的启动盘启动用户的系统，进入rescue或其他模式.改变 或删除当前配置等.每一个细心的网管每个细节都不应该忽视！ 2,禁止使用contral+alt+delete重起机器 编辑/etc/inittab文件, 揷J、面一行. ca::ctrlaltdel:/sbin/shutdown -t3 -r now 该成：（使用#） # ca::ctrlaltdel:/sbin/shutdown ~t3 -r now 帐号安全 口令，系统的第一道防线，目前大多数数攻击都是截获口令或猜测口令等口令攻击开始的. /etc目录下主要存放系统的配置文件.我们要对这个目录下的好多文件进行修改. 1，/etc/login. defs文件是login程序的配置文件.口令的长度和口令的有效期等可以在这里设 置. [root@tp ?]# vi /etc/login. defs PASS_MAX_DAYSPASS_MIN_DAYSPASS_MIN_LENPASS_WARN_AGE PASS_MAX_DAYS PASS_MIN_DAYS PASS_MIN_LEN PASS_WARN_AGE 0 密码被用最少天数 5 系统默认密码长度5,我们可以该成8或更多. 7 密码有效期警告，超过7天将提示用户更换新的密码. /etc/profile文件是环境变量设置文件.在此文件设置环境变量将对所有用户生效.我们要在 此文件设置自动注销帐户的时间.及命令的历史记录数. [root@tp ?]# vi /etc/profile HOSTNAME :/bin/hostname HISTSIZE 1000这里1000代表用户操作命令的历史记录.应尽量小一些.设置成0也可以，呵呵. tmout=600添加此行，如果系统用户在600秒（10分钟）内不做任何操作，将自动注销这个用户. ? ? ? 3, /etc/passwd文件存放系统用户名，用户标识（UID）,组标识（GID）等的地方.我们要在这里找到 并淸除没有设賈口令的用户.同时还要清除一些特别帐号（因为可能会存在潜在的危险）. [root@tp ?]# vi /etc/passwd root:x:0:0:root:/root:/bin/bash bin:x:1:1:bin:/bin:/sbin/nologin ? ? ? wh::500:501::/home/wh:/bin/bash 仔细观察上面的一行（wh用户），在第二项，两个冒号屮间什么都没有，而上面的的用户（如root用 户）都是x.这表明此用户没有密码.要不添加上,要不删掉. 特别帐号的处理 如果不泊劝用sendmail,删除如下用广 [root@tp wh]# userdel adm [root@tp wh]# userdel lp [root@tp wh]# userdel sync [root@tp wh]# userdel shudown [root@tp wh]# userdel halt [root@tp wh]# userdel mail 如果不用X windows服务器.町有删除 [root@tp wh]# userdel news [root@tp wh]# userdel uucp [root@tp wh]# userdel operator [root@tp wh]# userdel games 如果不允许匿名FTP帐号登陆,nJ?删除 [root@tp wh]# userdel gopher [root@tp wh]# userdel ftp 重要文件的安全设置. 首先要了解两个命令 chmod:改变文件的属主 chattr:改变文件属性 我们要做的是把重要文件的属主改成root并给相应的权限,还有就是改变文件的属性让它禁止 被修改 我们来统计一下重要文件：（其实，只要你不想让其他用户更改的文件都川■以这么做，我这里只是 为安全而选择了下面的文件.） /etc/passwd, passwd-, passwd. OLD, group, group一 用户,组的 ID 等信息文件. /etc/shadow, shadow-, gshadow, gshadow-用广，组密码加密文件. /etc/xinetd. conf网络守护进程主配置文件 /etc/inittab 系统在启动是会读取这个文件里的内容. /etc/services防止未经许可的删除或添加服务 /etc/rc.d/rc.sysinit系统启动是需要读取的文件， /etc/rc.d/init.d/* 以一