/etc/profile運作umask 077
chmod 550 gcc,gdb,
vi /etc/ssh/sshd_config
最後一行加入AllowUser root sysadmin
主機直接暴露在Internet或者位于其它危險的環境,有很多shell帳戶或者提供HTTP和FTP等網絡服務,一般應該在安裝配置完成後使用 如下指令:
chattr -R +i /bin /boot /etc /lib /sbin
chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin
chattr +a /var/log/messages /var/log/secure (...)
不讓/有suid權利
1步mount -o remount,nosuid /
2步mount
3步 mount -o remount /
禁止所有ping的外出和進入的封包echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
通過修改配置檔案中的ServerTokens參數,可以将Apache的相關資訊隐藏起來。但是,Red Hat Linux運作的Apache是編譯好的程式,提示資訊被編譯在程式裡,要隐藏這些資訊需要修改Apache的源代碼,然後,重新編譯安裝程式,以實作替換裡面的提示内容。
以Apache 2.0.50為例,編輯ap_release.h檔案,修改“#define AP_SERVER_BASEPRODUCT / "Apache/"”為“#define AP_SERVER_BASEPRODUCT /"Microsoft-IIS/5.0/"”。編輯 os/unix/os.h檔案,修改“#define PLATFORM /"Unix/"”為“#define PLATFORM /"Win32/ "”。修改完畢後,重新編譯、安裝Apache。
DNS伺服器安全配置useradd -s /bin/false -d /dev/null named
mkdir /var/run/named
chown named.named /var/run/named
chmod 700 /var/run/named
named -u named
echo "/usr/local/sbin/named -u named" >> /etc/rc.local
md5sum檢驗
md5sum檔案的内容
/bin/bash
/bin/sh
/bin/pwd
/bin/uname
然後執行md5sum `cat md5sum` >list.md5
然後執行md5sum -c list.md5就能看出是否有改動的檔案了
ssh的IP登陸通路限制
首先編輯/etc/pam.d/sshd
#%PAM-1.0
auth include system-auth
account required pam_nologin.so
account include system-auth
account required pam_access.so
password include system-auth
session optional pam_keyinit.so force revoke
session include system-auth
session required pam_loginuid.so
注意上面添加的account required pam_access.so
然後到/etc/security/access.conf裡面編輯
-: cnbird : ALL EXCEPT 192.168.0.
隻能讓cnbird從192.168.0.這個網段通路
log日志的變态設定方法
首先介紹的是syslog的替代品,rsyslogd可以記錄進mysql資料庫
下載下傳位址:http://www.rsyslog.com/
Syslog-ng
http://www.balabit.com/network-security/syslog-ng/
注意:絕對不要以root來運作日志檢查程式。相反,應當先構造一個logs組,并将所有的日志檔案chgrp為該組并賦予其讀權限,然後以該組中的某個使用者來執行日志檢查程式.
日志分析軟體:
logsentry:http://sourceforge.net/projects/sentrytools/
swatch:http://packetstormsecurity.org/UNIX/IDS/swatch-3.0b4.tar.gz
logsurfer:http://www.crypt.gen.nz/logsurfer/
http://tech.ddvip.com/2007-03/117338249620416.html 用LogSurfer+在Linux上監督登入檔案
愚蠢的黑客cat /dev/null > /var/log/messages
防止這樣的垃圾黑客chattr +a /var/log/messages]
最最變态的log日志伺服器可以使用passlogd這個工具來進行僞造,passlogd把網卡設定成混雜模式,來監聽和記錄所有的syslog包.如果是交換環境中把交換機配置為向這一主機對應的端口轉發所有包就可以了.
<b>加密syslog傳輸過程</b>
使用stunnel來進行雙向加密
stunnel下載下傳位址www.stunnel.org
![Apache配置SSLApache配置SSL[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)