/etc/profile运行umask 077
chmod 550 gcc,gdb,
vi /etc/ssh/sshd_config
最后一行加入AllowUser root sysadmin
主机直接暴露在Internet或者位于其它危险的环境,有很多shell帐户或者提供HTTP和FTP等网络服务,一般应该在安装配置完成后使用 如下命令:
chattr -R +i /bin /boot /etc /lib /sbin
chattr -R +i /usr/bin /usr/include /usr/lib /usr/sbin
chattr +a /var/log/messages /var/log/secure (...)
不让/有suid权利
1步mount -o remount,nosuid /
2步mount
3步 mount -o remount /
禁止所有ping的外出和进入的封包echo "1" > /proc/sys/net/ipv4/icmp_echo_ignore_all
通过修改配置文件中的ServerTokens参数,可以将Apache的相关信息隐藏起来。但是,Red Hat Linux运行的Apache是编译好的程序,提示信息被编译在程序里,要隐藏这些信息需要修改Apache的源代码,然后,重新编译安装程序,以实现替换里面的提示内容。
以Apache 2.0.50为例,编辑ap_release.h文件,修改“#define AP_SERVER_BASEPRODUCT / "Apache/"”为“#define AP_SERVER_BASEPRODUCT /"Microsoft-IIS/5.0/"”。编辑 os/unix/os.h文件,修改“#define PLATFORM /"Unix/"”为“#define PLATFORM /"Win32/ "”。修改完毕后,重新编译、安装Apache。
DNS服务器安全配置useradd -s /bin/false -d /dev/null named
mkdir /var/run/named
chown named.named /var/run/named
chmod 700 /var/run/named
named -u named
echo "/usr/local/sbin/named -u named" >> /etc/rc.local
md5sum检验
md5sum文件的内容
/bin/bash
/bin/sh
/bin/pwd
/bin/uname
然后执行md5sum `cat md5sum` >list.md5
然后执行md5sum -c list.md5就能看出是否有改动的文件了
ssh的IP登陆访问限制
首先编辑/etc/pam.d/sshd
#%PAM-1.0
auth include system-auth
account required pam_nologin.so
account include system-auth
account required pam_access.so
password include system-auth
session optional pam_keyinit.so force revoke
session include system-auth
session required pam_loginuid.so
注意上面添加的account required pam_access.so
然后到/etc/security/access.conf里面编辑
-: cnbird : ALL EXCEPT 192.168.0.
只能让cnbird从192.168.0.这个网段访问
log日志的变态设置方法
首先介绍的是syslog的替代品,rsyslogd可以记录进mysql数据库
下载地址:http://www.rsyslog.com/
Syslog-ng
http://www.balabit.com/network-security/syslog-ng/
注意:绝对不要以root来运行日志检查程序。相反,应当先构造一个logs组,并将所有的日志文件chgrp为该组并赋予其读权限,然后以该组中的某个用户来执行日志检查程序.
日志分析软件:
logsentry:http://sourceforge.net/projects/sentrytools/
swatch:http://packetstormsecurity.org/UNIX/IDS/swatch-3.0b4.tar.gz
logsurfer:http://www.crypt.gen.nz/logsurfer/
http://tech.ddvip.com/2007-03/117338249620416.html 用LogSurfer+在Linux上监督登录文件
愚蠢的黑客cat /dev/null > /var/log/messages
防止这样的垃圾黑客chattr +a /var/log/messages]
最最变态的log日志服务器可以使用passlogd这个工具来进行伪造,passlogd把网卡设置成混杂模式,来监听和记录所有的syslog包.如果是交换环境中把交换机配置为向这一主机对应的端口转发所有包就可以了.
<b>加密syslog传输过程</b>
使用stunnel来进行双向加密
stunnel下载地址www.stunnel.org
![Apache配置SSLApache配置SSL[图]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)