Linu系统安全设置步骤.doc

Linux系统安全设置步骤 一直以来，许多人认为，Linux系统木身就是很安全的，不需要做太多的安全 防护，另外基于Linux系统的防护、杀毒软件目前还较少被大众认知，因而在很 多时候，我们安装完linux系统，经常不知道系统本身的安全设置从何做起,有的管 理员干脆不做任何设置，或者随便下载安装一个杀毒软件完事，这样的做法基本 起不了什么作用。其实如windows server 2003系统本身也是一样，其系统自身的 安全设置如果到位，对于服务器的整体安全是非常关键的。笔者因为业务的关系， 和铁通数据中心冇较多的接触，通过对一些不法分子对服务器攻击方式的了解， 更是深深体会到这点。很多时候，安装完操作系统，一些看似随手进行的设置， 很可能改变了操作系统的安全命运。 Linux安全配置步骤 BIOS Security 任何系统，给BIOS设置密码都是必须的，以防止其它用户通过在BIOS中改 变启动顺序，用特殊的启动盘启动你的系统. 磁盘分区 1、如果是新安装系统，对磁盘分区应考虑安全性: 1）根目录（/）、用户目录（/home）、临时目录（/tmp）和/var目录 应分开到不同的磁盘分区； 2）以上各A录所在分区的磁盘空间大小应充分考虑，避免因某些原因造 成分区空间用完而导致系统崩溃； 2、对于/tmp和/var目录所在分区，大多数情况下不需要有suid属性的程序， 所以应4这些分区添加nosuid属性； *方法一：修改/etc/fstab文件，添加nosuid属性字。例如： /dev/hda2 /tmp ext2 exec，dev，nosuid，rw 0 0 春方法二：如果对/etc/fstab文件操作不熟，建议通过linuxconf程序来修改。 运行linuxconf程序； 选择File systems下的’’Access local drive； *选择需要修改属性的磁盘分区； 选择No setuid programs allowed选项； *根据需要选择其它可选项； *正常退出。（一般会提示重新mount该分区） 安装 ?对于非测试主机，不应安装过多的软件包。这样可以降低因软件包而导致出 现安全漏洞的可能性。 ?对于非测试主机，在选择主机启动服务时不应选择非必需的服务。例如 routed、ypbind 等。 （警告：如果没有经验，不可轻易尝试。可暂缓。）安全配置与增强 ?内核升级。 （警告：如果没有经验，不可轻易尝试。可暂缓。） ? GNUlibc共享库升级 ?关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC 等 ?关闭非必需的网络服务。talk、ntalk、pop-2等 ?常见网络服务安全配置与升级 ?确保网络服务所使用版本为当前必威体育精装版和最安全的版本。 Grub Security 对GRUB进行多重加密，确保系统启动安全 禁止所有默认的被操作系统本身启动的II不需要的帐号，当你第一次装上系 统时就应该做此检查，Linux提供丫各种帐号，你可能不需要，如果你不需要这 个帐号，就移走它，你有的帐号越多，就越容易受到攻击 在终端上打入下面的命令删掉下面的用户。 [root@test]# userdel adm [root@test]# userdel Ip [root@test]# userdel sync [root@test]# userdel shutdown [root@test]# userdel halt [root@test]# userdel mail 如果你不用sendmail服务器，procmail.mailx，就删除这个帐号 [root@test]# userdel news [root@test]# userdel uucp [root@test]# userdel gopher [root@test]# userdel ftp如果你不允许匿名FTP,就删掉这个用户帐号。 密码安全 安装linux时默认的密码最小长度是5个字节，侃这并不够，要把它设为7个字 节以上。修改最短密码长度需要编辑login.defs文件(vi /etc/login.defs) PASS_MAX_DAYS 99999 ##密码设置最长有效期(默认值) PASS_MIN_DAYS 0 ##密码设罝最短有效期 PASS_MIN_LEN 5 ##设置密码最小长度 PASS_WA RN_AGE 7 ##提前多少天警告用户密码即将过期。 运置一个强口令。 修改密码长度需要编辑login.defs文件，使用命令： vi /etc/login.defs,如下图所示: 8.打开密码的shadow功能. 在RedHat Enterprise Linux中，此功能默认为打开，来对password加