科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网软件频道玩家共享--浅谈Linux系统安全机制 (3)

玩家共享--浅谈Linux系统安全机制 (3)

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

相信大都知道,linux发行版实在是太多了我也不止一次在很多网站的文章,很多书籍上看到过议论那种发行版是最好的,其实我个人认为,在linux世界中,没有最好的这种说法,只要自己习惯,熟悉的一种版本,那么我就可以说他是最好的。

作者:yuanshang 来源:赛迪网技术社区 2007年10月21日

关键字: 操作系统 安全机制 Linux 共享

  • 评论
  • 分享微博
  • 分享邮件
 

4、安全设置

其实linux的安全已经比较好了,我们做得初浅的安全讨论,无非就是关闭服务,设置一定的防火墙,如果大家对防黑客和高级的安全设置感兴趣的话,那么请关注我下几篇文章,我将向大家介绍有关简单的IDS等等防黑技术,谢谢。

关闭不用的服务,这个问题,很多文章都提出过,我个人认为最有效的关闭方法如下,大家都知道,linux中控制服务的有chkconfig ,ntsysv等等,其实这些工具控制的服务都是linux已sysV的风格保存的服务启动项目,其实都是/etc/rc.d/下面的东西,已rc3.d为例,3表示init3时要做的项目,里面的文件都是一些连接,S开头表示启动,K开头表示终止,所以rc0.d里面基本都是K开头的,所以大家不用害怕觉得linux的服务多么神秘,这里介绍两个简单可行的控制服务的办法。

运行ntsysv控制服务;

使用ntsysv关闭服务只开;

crond 可定义计划任务;

network 网络;

random 生成随机数,用于ssh的会话对称密钥的生成;

sshd ssh服务器端;

syslog 系统日志服务;

xinetd 超级进程(下面没有服务要用的话,可以关闭)。

其实xinetd是类似于init这个超级进程的一个进程,不过可以完全关闭它,因为下面都是些没有用服务监听程序,对于一般的服务器,基本上只需要上面ntsysv所列的服务就行了,其他的都关闭,当然如果你要web当然要开httpd了。

服务关闭完了以后,就是去掉一些不用的用户,用vipw 

  #adm:x:3:4:adm:/var/adm:/sbin/nologin
  #lp:x:4:7:lp:/var/spool/lpd:/sbin/nologin
  #sync:x:5:0:sync:/sbin:/bin/sync
  #news:x:9:13:news:/var/spool/news:
  #uucp:x:10:14:uucp:/var/spool/uucp:/sbin/nologin
  #operator:x:11:0:operator:/root:/sbin/nologin
  #games:x:12:100:games:/usr/games:/sbin/nologin
  #gopher:x:13:30:gopher:/var/gopher:/sbin/nologin
  #ftp:x:14:50:FTP User:/var/ftp:/sbin/nologin
  #vcsa:x:69:69:virtual console memory owner:/dev:/sbin/nologin
  #rpc:x:32:32:Portmapper RPC user:/:/sbin/nologin
  #rpcuser:x:29:29:RPC Service User:/var/lib/nfs:/sbin/nologin
  #nfsnobody:x:65534:65534:Anonymous NFS User:/var/lib/nfs:/sbin/nologin
  #nscd:x:28:28:NSCD Daemon:/:/bin/false
  #radvd:x:75:75:radvd user:/:/bin/false

去掉这些用户,上出多余的rpm包: 

  rpm -e softname
  rpm -e autofs-3.1.7-28
  rpm -e gd-devel-1.8.4-4
  rpm -e up2date-2.7.86-7.x.3
  rpm -e pump
  rpm -e apmd
  rpm -e lsapnptools
  rpm -e redhat-logos
  rpm -e mt-st
  rpm -e kernel-pcmcia-cs
  rpm -e setserial
  rpm -e redhat-release
  rpm -e eject
  rpm -e kudzu
  rpm -e gd
  rpm -e raidtools
  rpm -e mailcap
  rpm -e setconsols
  rpm -e gnupg
  

修改/etc/fstab.只给分区必须的权限,像这样LABEL=/bakups /bakups ext3 nosuid,noexec 1 2.noexec表示不能在这个分区运行程序,nosuid不能使用nosuid的程序,根据情况自行设置其他分区,一般来说/tmp,/usr都要nosuid.到此我们做了一些基本的安全设置,当然你也可以考虑,比如启用wheel组,只能让wheel组的用户能够变为su但是一般来说管理员都不用考虑这些,因为只有你一人能够登录这台机器,:),这些细节的设置我也会在下篇文章详细说明,应为毕竟这不是我这篇文章主要的东西。他们会同IDS等内容在下一篇文章详细呈现给大家。

    • 评论
    • 分享微博
    • 分享邮件
    VIP专区
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章

    业界热点:

    北京第二十六维信息技术有限公司(至顶网)版权所有. 京ICP备15039648号-7 京ICP证161336号 京公网安备 11010802021500号