本文講述了如何通過基本的安全措施,使你的Linux系統變得可靠。
Bios Security
一定要給Bios設定密碼,以防通過在Bios中改變啟動順序,而可以從軟碟啟動。
這樣可以阻止别人試圖用特殊的啟動盤啟動你的系統,還可以阻止别人進入Bios改動其中的設定(比如允許通過軟碟啟動等)。
LILO Security
在“/etc/lilo.conf”檔案中加入下面三個參數:time-
out,restricted,password。這三個參數可以使你的系統在啟動lilo時就要求密
碼驗證。
第一步:
在選擇正确密碼之前還應作以下修改:
修改密碼長度:在你安裝linux時預設的密碼長度是5個位元組。但這并不夠,要把它設為8。修改最短密碼長度需要編輯login.defs檔案
login.defs檔案是login程式的配置檔案。
打開密碼的shadow支援功能
你應該打開密碼的shadow功能,來對password加密。使用
“/usr/sbin/authconfig”工具打開shadow功能。如果你想把已有的密碼群組轉
變為shadow格式,可以分别使用“pwcov,grpconv”指令。
root賬戶
在unix系統中root賬戶是具有最高特權的。如果系統管理者在離開系統之前忘記
登出root賬戶,系統會自動登出。通過修改賬戶中“TMOUT”參數,可以實作此
功能。TMOUT按秒計算。編輯你的profile檔案(vi /etc/profile),
在"HISTFILESIZE="後面加入下面這行:
3600,表示60*60=3600秒,也就是1小時。這樣,如果系統中登陸的使用者在一個
小時内都沒有動作,那麼系統會自動登出這個賬戶。你可以在個别使用者的
“.bashrc”檔案中添加該值,以便系統對該使用者實行特殊的自動登出時間。
改變這項設定後,必須先登出使用者,再用該使用者登陸才能激活這個功能。
取消普通使用者的控制台通路權限
你應該取消普通使用者的控制台通路權限,比如shutdown、reboot、halt等指令。
是你要登出的程式名。
取消并反安裝所有不用的服務
取消并反安裝所有不用的服務,這樣你的擔心就會少很多。察看
“/etc/inetd.conf”檔案,通過注釋取消所有你不需要的服務(在該服務項目
之前加一個“#”)。然後用“sighup”指令更新“inetd.conf”檔案。
這樣可以防止對inetd.conf的任何修改(以外或其他原因)。唯一可以取消這個
屬性的人隻有root。如果要修改inetd.conf檔案,首先要是取消不可修改性質:
别忘了該後再把它的性質改為不可修改的。
TCP_WRAPPERS
使用TCP_WRAPPERS可以使你的系統安全面對外部入侵。最好的政策就是阻止所有
的主機(在"/etc/hosts.deny" 檔案中加入"ALL: ALL@ALL, PARANOID" ),然後再在"/etc/hosts.allow" 檔案中加入所有允許通路的主機清單。
不允許從不同的控制台進行root登陸
"/etc/securetty"檔案允許你定義root使用者可以從那個TTY裝置登陸。你可以編輯"/etc/securetty"檔案,再不需要登陸的TTY裝置前添加“#”标志,來禁止從該TTY裝置進行root登陸。
禁止任何人通過su指令改變為root使用者
su(Substitute User替代使用者)指令允許你成為系統中其他已存在的使用者。如果你不希望任何人通過su指令改變為root使用者或對某些使用者限制使用su指令,你可以在su配置檔案(在"/etc/pam.d/"目錄下)的開頭添加下面兩行:
編輯su檔案(vi /etc/pam.d/su),在開頭添加下面兩行:
auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/Pam_wheel.so group=wheel
這表明隻有"wheel"組的成員可以使用su指令成為root使用者。你可以把使用者添加到“wheel”組,以使它可以使用su指令成為root使用者。
Shell logging
Bash shell在“~/.bash_history”(“~/”表示使用者目錄)檔案中儲存了500條使用過的指令,這樣可以使你輸入使用過的長指令變得容易。每個在系統中擁有賬号的使用者在他的目錄下都有一個“.bash_history”檔案。bash shell應該儲存少量的指令,并且在每次使用者登出時都把這些曆史指令删除。