安全實(shí)施手冊(cè)

1、LINUX安全實(shí)施手冊(cè)2014年8月6日目錄1概述32 安裝33 用戶帳號(hào)安全Password and account security43.1 密碼安全策略43.2 檢查密碼是否安全43.3 Password Shadowing43.4 管理密碼43.5 其它54 網(wǎng)絡(luò)服務(wù)安全(Network Service Security)54.1服務(wù)過濾Filtering64.2/etc/inetd.conf64.3R 服務(wù)74.4Tcp_wrapper74.5/etc/hosts.equiv 文件84.6 /etc/services84.7/etc/aliases84.8 NFS94.9Trivia

2、l ftp (tftp)94.10 Sendmail94.11 finger104.12UUCP104.13World Wide Web (WWW) httpd104.14FTP安全問題115系統(tǒng)設(shè)置安全(System Setting Security)125.1限制控制臺(tái)的使用125.2系統(tǒng)關(guān)閉Ping125.3關(guān)閉或更改系統(tǒng)信息125.4 /etc/securetty文件135.5 /etc/host.conf文件135.6禁止IP源路徑路由135.7資源限制135.8 LILO安全145.9 Control-Alt-Delete 鍵盤關(guān)機(jī)命令145.10日志系統(tǒng)安全155.11修正腳本文

3、件在“/etc/rc.d/init.d”目錄下的權(quán)限156文件系統(tǒng)安全(File System Security)156.1文件權(quán)限156.2控制mount上的文件系統(tǒng)166.3備份與恢復(fù)167其它167.1使用防火墻167.2使用第三方安全工具161概述 近幾年來Internet變得更加不安全了。網(wǎng)絡(luò)的通信量日益加大，越來越多的重要交易正在通過網(wǎng)絡(luò)完成，與此同時(shí)數(shù)據(jù)被損壞、截取和修改的風(fēng)險(xiǎn)也在增加。  只要有值得偷竊的東西就會(huì)有想辦法竊取它的人。Internet的今天比過去任何時(shí)候都更真實(shí)地體現(xiàn)出這一點(diǎn)，基于Linux的系統(tǒng)也不能擺脫這個(gè)“普遍規(guī)律”而獨(dú)善其身。因此，優(yōu)秀

4、的系統(tǒng)應(yīng)當(dāng)擁有完善的安全措施，應(yīng)當(dāng)足夠堅(jiān)固、能夠抵抗來自Internet的侵襲，這正是Linux之所以流行并且成為Internet骨干力量的主要原因。但是，如果你不適當(dāng)?shù)剡\(yùn)用Linux的安全工具，它們反而會(huì)埋下隱患。配置拙劣的安全系統(tǒng)會(huì)產(chǎn)生許多問題，本文將為你解釋必須掌握的Linux安全知識(shí)。 本文講述了如何通過基本的安全措施，使Linux系統(tǒng)變得可靠。2 安裝使系統(tǒng)處于單獨(dú)（或隔離）的網(wǎng)絡(luò)中。以防止未受保護(hù)的系統(tǒng)連接到其它網(wǎng)絡(luò)或互聯(lián)網(wǎng)中受到可能的攻擊安裝完成后將下面軟件卸載pumpapmdlsapnptoolsredhat-logosmt-stkernel-pcmcia-csSet

5、serialredhat-releseejectlinuxconfkudzugdbcgetty_psraidtoolspciutilsmailcapsetconsolegnupg用下面的命令卸載這些軟件：rootdeep#rpm e softwarename卸載它們之前最好停掉三個(gè)進(jìn)程：rootdeep# /etc/rc.d/init.d/apmd stoprootdeep# /etc/rc.d/init.d/sendmail stoprootdeep# /etc/rc.d/init.d/kudzu stop3用戶帳號(hào)安全Password and account security3.1 密碼安

6、全策略l 口令至少為6位，并且包括特殊字符l 口令不要太簡單，不要以你或者有關(guān)人的相關(guān)信息構(gòu)成的密碼，比如生日、電話、姓名的拼音或者縮寫、單位的拼音或者英文簡稱等等。l 口令必須有有效期l 發(fā)現(xiàn)有人長時(shí)間猜測口令，需要更換口令3.2 檢查密碼是否安全可以使用以下幾種工具檢查自己的密碼是否安全:l JOHN,crack等暴力猜測密碼工具l 在線窮舉工具，包括Emailcrk、流光等3.3 Password Shadowingl 使用shadow來隱藏密文（現(xiàn)在已經(jīng)是默認(rèn)配置）l 定期檢查shadow文件，如口令長度是否為空。#awk -F: length($2)=0 print $1 /etc/

7、shadowl 設(shè)置文件屬性和屬主3.4 管理密碼l 設(shè)置口令有效最長時(shí)限 （編輯/etc/login.defs文件）l 口令最短字符（如linux默認(rèn)為，可以通過編輯/etc/login.defs修改）l 只允許特定用戶使用su命令成為root。編輯/etc/pam.d/su文件，在文件頭部加上：auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=wheelRed hat 7.0中su文件已做了修改，直接去掉頭兩行的注釋符就可以了rootdeep# us

8、ermod -G10 admin來將用戶加入wheel組3.5 其它l 清除不必要的系統(tǒng)帳戶rootdeep# userdel admrootdeep# userdel lprootdeep# userdel syncrootdeep# userdel shutdownrootdeep# userdel haltrootdeep# userdel newsrootdeep# userdel uucprootdeep# userdel operatorrootdeep# userdel games (如果不使用 X Window，則刪除)rootdeep# userdel gopherrootd

9、eep# userdel ftp （如果不使用ftp服務(wù)則刪除）l 盡量不要在passwd文件中包含個(gè)人信息，防止被finger之類程序泄露。l 修改shadow,passwd,gshadow文件不可改變位rootdeep# chattr +i /etc/passwdrootdeep# chattr +i /etc/shadowrootdeep# chattr +i /etc/grouprootdeep# chattr +i /etc/gshadowl 不要使用.netrc文件，可以預(yù)先生成$HOME/.netrc。設(shè)置為0000。touch /.rhosts ；chmod 0 /.rhost

10、s l 使用ssh來代替telnetd,ftpd.pop等通用服務(wù)。傳統(tǒng)的網(wǎng)絡(luò)服務(wù)程序，如：ftp、pop和telnet在本質(zhì)上都是不安全的，因?yàn)樗鼈冊(cè)诰W(wǎng)絡(luò)上用明文傳送口令和數(shù)據(jù)。 4 網(wǎng)絡(luò)服務(wù)安全(Network Service Security)Linux系統(tǒng)對(duì)外提供強(qiáng)大、多樣的服務(wù)，由于服務(wù)的多樣性及其復(fù)雜性，在配置和管理這些服務(wù)時(shí)特別容易犯錯(cuò)誤，另外，提供這些服務(wù)的軟件本身也存在各種漏洞，所以，在決定系統(tǒng)對(duì)外開放服務(wù)時(shí)，必須牢記兩個(gè)基本原則：l 只對(duì)外開放所需要的服務(wù)，關(guān)閉所有不需要的服務(wù)。對(duì)外提供的服務(wù)越少，所面臨的外部威脅越小。l 將所需的不同服務(wù)分布在不同的主機(jī)上，這樣

11、不僅提高系統(tǒng)的性能，同時(shí)便于配置和管理，減小系統(tǒng)的安全風(fēng)險(xiǎn)。在上述兩個(gè)基本原則下，還要進(jìn)一步檢查系統(tǒng)服務(wù)的功能和安全漏洞。這里針對(duì)主機(jī)所提供的服務(wù)進(jìn)行相應(yīng)基本安全配置，某些常用服務(wù)的安全配置請(qǐng)參考相關(guān)文檔。4.1服務(wù)過濾Filteringl 在SERVER上禁止這些服務(wù)l 如果一定要開放這些服務(wù)，通過防火墻、路由指定信任IP訪問。l 要確保只有真正需要的服務(wù)才被允許外部訪問，并合法地通過用戶的路由器過濾檢查。尤其在下面的服務(wù)不是用戶真正需要時(shí)候，要從路由器上將其過濾掉NAME PORT PROTOCOL echo 7 TCP/UDP systat 11 TCP netstat 15 TCP b

12、ootp 67 UDP tftp 69 UDP link 87 TCP supdup 95 TCP sunrpc 111 TCP/UDP news 144 TCP snmp 161 UDP xdmcp 177 UDP exec 512 TCP login 513 TCP shell 514 TCP printer 515 TCP biff 512 UDP who 513 UDP syslog 514 UDP uucp 540 TCP route 520 UDP openwin 2000 TCP nfs 2049 UDP/TCP x11 6000 to 6000+n TCP 注意：有些UDP服務(wù)

13、可以導(dǎo)致DOS攻擊和遠(yuǎn)程溢出，如rpc.ypupdated rpcbindrpc.cmsd 100068rpc.statd 100024 rpc.ttdbserver 100083sadmind 100232/10 l 配置完成以后，利用網(wǎng)絡(luò)掃描器模擬入侵者從外部進(jìn)行掃描測試。如利用nmap4.2 /etc/inetd.confl 確保文件權(quán)限設(shè)置為600l 確保文件屬主設(shè)置為rootl 注釋掉所有不需要的服務(wù)，需要重新啟動(dòng)inetd進(jìn)程l 使用netstat an命令，查看本機(jī)所提供的服務(wù)。確保已經(jīng)停掉不需要的服務(wù)4.3 R 服務(wù)不必使用R服務(wù)l 關(guān)閉R服務(wù),Red hat 6.2在/etc

14、/inetd.conf文件中注釋以下服務(wù)，并且重新啟動(dòng)inetd服務(wù)。Red hat 7.0在/etc/xinetd.d目錄中刪除exec512TCPRlogin513TCPRshell514TCPl 預(yù)先生成$HOME/.rhosts，/etc/hosts.equiv文件，并且設(shè)置為0000,防止被寫入”+ +”。（攻擊者經(jīng)常使用類似符號(hào)鏈接或者利用ROOTSHELL寫入，并且遠(yuǎn)程打開受保護(hù)主機(jī)的R服務(wù)）必須使用R服務(wù)l 使用更安全版本的r服務(wù)。如Wietse Venema的logdaemon程序等。l 在路由或者防火墻上禁止外部網(wǎng)絡(luò)訪問受保護(hù)主機(jī)的512,513 and 514 (TCP)

15、端口。l 使用TCP WRAPPERS設(shè)置可訪問受保護(hù)主機(jī)R服務(wù)的信任機(jī)器。4.4 Tcp_wrapper 該軟件的作用是在Unix平臺(tái)上過濾TCP/UDP服務(wù)，它目前已被廣泛用于監(jiān)視并過濾發(fā)生在主機(jī)上的ftp、telnet、rsh、rlogin、tftp、finger等標(biāo)準(zhǔn)TCP/UDP服務(wù)。當(dāng)系統(tǒng)安裝TCP_wrapper之后，in.conf文件中 /usr/sbin/in.telnetd的in.telnetd會(huì)被TCP_wrapper附帶的tcpd程序取代。該程序截獲來自客戶端的服務(wù)請(qǐng)求、記錄請(qǐng)求發(fā)生的時(shí)間和IP地址，并按訪問控制進(jìn)行檢查。當(dāng)本次連接的用戶、請(qǐng)求源的IP等信息符合管理員的

16、預(yù)設(shè)值時(shí)，才將該次請(qǐng)求傳遞給系統(tǒng)in.telnetd，由系統(tǒng)in.telnetd完成后續(xù)工作；若連接不符合要求，該連接請(qǐng)求將被拒絕。同樣，ftp、 rsh等TCP/UDP服務(wù)均可被tcpd取代，由tcpd充當(dāng)二傳手。l 使用PARANOID 模式,用此參數(shù)后需要在/etc/hosts文件中加上允許使用telnet或ftp服務(wù)的客戶端的名字和IP地址l 在/etc/hosts.deny中設(shè)置為all:all，默認(rèn)所有不允許Access is denied by default.# Deny access to everyone.ALL: ALLALL, PARANOID #Matches any

17、 host whose name does not match its address, seebellow.l 在/etc/hosts.allow中設(shè)置允許的服務(wù)和地址如：l 使用tcpdchk檢查l UDP服務(wù)使用tcpwrapper時(shí)要使用/etc/inetd.conf中的nowait選項(xiàng)。4.5 /etc/hosts.equiv 文件不必使用/etc/hosts.equiv文件l 從系統(tǒng)中刪除此文件l 預(yù)先生成/etc/hosts.equiv文件，并且設(shè)置為0000,防止被寫入”+ +”。（攻擊者經(jīng)常使用類似符號(hào)鏈接或者利用ROOTSHELL寫入，并且遠(yuǎn)程打開受保護(hù)主機(jī)的R服務(wù)）必須使

18、用/etc/hosts.equiv文件l 確保此文件中可信賴主機(jī)為必須的。l 預(yù)先生成/etc/hosts.equiv文件，并且設(shè)置為0000,防止被寫入”+ +”。（攻擊者經(jīng)常使用類似符號(hào)鏈接或者利用ROOTSHELL寫入，并且遠(yuǎn)程打開受保護(hù)主機(jī)的R服務(wù)）l 如果使用NIS或者NIS+的話，此文件中的組應(yīng)該是容易管理的。l 信賴主機(jī)必須確?？煽縧 信賴主機(jī)使用全名，如例如l 任何時(shí)候都不應(yīng)該出現(xiàn)”+”字符，因?yàn)檫@樣會(huì)使任何一臺(tái)主機(jī)上的任何用戶都可以不加口令地訪問系統(tǒng)l 文件中不要使用'!' 和'#'符號(hào)，因?yàn)樵谠撐募心遣⒉槐硎咀⑨屝畔 文件開始字符不應(yīng)該為

19、'-'.，請(qǐng)查閱C8l 確保該文件的訪問權(quán)限被設(shè)置成600。l 文件屬主確保為ROOT。l 在每次安裝補(bǔ)丁程序或操作系統(tǒng)之后，都應(yīng)該重新檢查該文件夾的設(shè)置情況4.6 /etc/servicesl 確保文件權(quán)限設(shè)置為600l 確保文件屬主設(shè)置為rootl 如果需要提供一些常見服務(wù)，如telnetd等，可以在此修改端口此文件為端口號(hào)和服務(wù)的對(duì)應(yīng)關(guān)系，給此文件加上保護(hù)，避免沒有授權(quán)的修改和刪除rootdeep# chattr +i /etc/services4.7 /etc/aliasesl 修改/etc/aliases文件，注釋掉"decode" "g

20、ames,ingress,system,toor,manager,.”.等l 使用/usr/bin/newaliases命令激活新配置l 確保文件權(quán)限設(shè)置為755l 確保文件屬主設(shè)置為root4.8 NFSNFS文件系統(tǒng)應(yīng)注意以下幾方面的安全l 在外部路由上過濾端口111、2049 （TCP/UDP），不允許外部訪問。l 檢查更新情況。l 檢查 /etc/exports 輸出路徑的權(quán)限,確定只有root能修改,  all user只能readl 用exportfs 去增加或刪除directoriesexportfs -o access=engineering,ro=danc

21、er /usrexportfs -u /usrl 假如你的機(jī)器沒有NIS(YP server)的服務(wù),當(dāng)更改資料時(shí)記得修改/etc/passwd/etc/group/etc/hosts/etc/ethersl 不允許export出去包含本地入口的目錄l 確定對(duì)方機(jī)器是完全可信賴的。使用全名l 確保輸出列表沒有超過256個(gè)字符。l 使用showmount e命令查看自己的export設(shè)置l 將/etc/exports權(quán)限設(shè)置為644，屬主為rootl 使用noexec,nodev.nosuid等選項(xiàng)控制mount的文件系統(tǒng)，在/etc/fstab中設(shè)置。4.9 Trivial ftp (tftp

22、)無論何種情況下都不應(yīng)該啟動(dòng)這個(gè)服務(wù)進(jìn)程。4.10 Sendmailsendmail提供了許多在編譯期間選擇的功能特性。通常情況下，按照其缺省配置，即可滿足一般用戶的需要。但是，了解研究其提供的特性，可以實(shí)現(xiàn)對(duì)sendmail許多功能的更為準(zhǔn)確的配置使用。從網(wǎng)絡(luò)安全的角度考慮，通過合理地配置有關(guān)特性，可以在提供服務(wù)和保證安全之間找到更為準(zhǔn)確的平衡點(diǎn)(配置特性的方法是將需要的特性加入到相應(yīng)系統(tǒng)的.mc文件中,然后利用工具m4生成最終的sendmail.cf文件。目前最新版本是sendmail.()l 最新的發(fā)行包l promiscuous_relay：該特性打開任

23、意轉(zhuǎn)發(fā)功能，也即關(guān)閉8.9帶來的郵件轉(zhuǎn)發(fā)方面的安全增強(qiáng)控制。此特性的使用會(huì)對(duì)電子郵件服務(wù)的濫用留下許多隱患，建議除非特別情況，不要使用此特性。l accept_unqualified_senders：缺省情況下，該特性被關(guān)閉，即當(dāng)MAIL FROM:參數(shù)中的地址表明屬于網(wǎng)絡(luò)連接,但是卻不包含合法的主機(jī)地址時(shí)，sendmail將拒絕繼續(xù)通信。打開此特性則不再根據(jù)MAIL FROM:參數(shù)拒絕接收郵件。建議不可輕易使用該特性。l loose_relay_check ：通常情況下,當(dāng)郵件使用了源路由功能,例如user%siteothersite,如果othersite屬于轉(zhuǎn)發(fā)郵件的范圍,則sendma

24、il將分離othersite,繼續(xù)檢查site是否屬于轉(zhuǎn)發(fā)范圍.使用該特性將改變上述缺省操作.建議不要輕易使用該特性l accept_unresolvable_domains ：通常情況下,當(dāng)MAIL FROM:參數(shù)中的主機(jī)地址部分無法解析,即無法判定為合法主機(jī)地址時(shí),sendmail將拒絕連接.使用該特性將改變上述操作. 在某些情況下,例如,郵件服務(wù)器位于防火墻后面,無法正常解析外部主機(jī)地址,但是仍然希望能夠正常接收郵件時(shí),可能需要利用該特性.l blacklist_recipients ：打開接收黑名單功能。接收黑名單可以包括用戶名、主機(jī)名、或其它地址。l relay_entire_dom

25、ain ：缺省配置下,sendmail只為在轉(zhuǎn)發(fā)控制數(shù)據(jù)庫(access db)中定義為RELAY的主機(jī)提供轉(zhuǎn)發(fā)郵件服務(wù). 該特性的使用,將使sendmail為本地域內(nèi)（由$=m類定義）的所有主機(jī)上面的用戶提供轉(zhuǎn)發(fā)功能l sendmail的受限shell程序smrsh可以防止內(nèi)部用戶惡意操作。l 防止系統(tǒng)信息泄漏，如修改banner,禁止expn,vrfy命令l 建議配置為需要smtp認(rèn)證功能。l 其他相關(guān)的mailserverqmail: postfix: qpop: Imail：4.11 fingerl 不應(yīng)該啟動(dòng)這個(gè)服務(wù)進(jìn)程。l 如果一定要使用，請(qǐng)使用最新的版本。4.12 UUCPl 建

26、議不要使用l 刪除所有的rhosts文件（目錄下的）l 確保.cmds 文件屬主為rootl 對(duì)登陸進(jìn)行限制l 確保文件沒有被設(shè)置為所有人可寫4.13 World Wide Web (WWW) httpdl 使用你選擇的的最新版本l 不要使用用戶運(yùn)行httpdl 在chroot環(huán)境中運(yùn)行httpdl 盡量不要使用腳本l 對(duì)腳本進(jìn)行安全審計(jì)l 鏈接使用靜態(tài)庫l 過濾危險(xiǎn)字符，如n r (.,/;!)>|&$< 等l 使用https進(jìn)行關(guān)鍵業(yè)務(wù)傳送。比較流行的webserver是netscpe的web server 和browser IETF的Web事務(wù)安全工作組維持著一個(gè)特別

27、針對(duì)WWW安全問題的郵寄列表. 要訂閱,可發(fā)e-mail到.在信息的 正文里寫上SUBSCRIBE www-security 你的email地址 主要的WWW FAQ也包含關(guān)于Web安全的問與答,如記錄文件管理和服務(wù)軟件來源等.這個(gè)FAQ的最新版在: 4.14 FTP安全問題主要的ftp serverl wuftp最新版本是.下載地址是.tar.gzl proftp最新版本是rc2下載地址是l ncftp最新版本是.下載地址是配置Configurationl 檢查所

28、有的默認(rèn)配置選項(xiàng)l 確定沒有SITE EXEC問題l 設(shè)置/etc/ftpusers確定禁止使用ftp的用戶l 使用chroot環(huán)境運(yùn)行ftpdl 使用自己的ls等命令l 加入對(duì)quota,pam等支持l 配置/etc/ftpaccess文件，禁止系統(tǒng)信息泄露和設(shè)置最大連接數(shù)l 配置etc/ftphosts,設(shè)置允許使用的和l 針對(duì)不同用戶設(shè)置不同權(quán)限l 經(jīng)常查看記錄/var/log/xferlogl 配置文件屬性改為Anonymous ftp l 編譯時(shí)打開允許匿名選項(xiàng)l 如果使用分布式passwords (e.g., NIS, NIS+)，需要設(shè)置好密碼文件。l 匿名用戶只給讀權(quán)限（在/e

29、tc/ftpaccess中設(shè)置）5 系統(tǒng)設(shè)置安全(System Setting Security)5.1限制控制臺(tái)的使用禁止使用控制臺(tái)程序：刪除/etc/security/console.apps中的服務(wù)rootdeep# rm -f /etc/security/console.apps/servicename，比如：rootdeep# rm -f /etc/security/console.apps/haltrootdeep# rm -f /etc/security/console.apps/poweroffrootdeep# rm -f /etc/security/console.apps

30、/rebootrootdeep# rm -f /etc/security/console.apps/shutdownrootdeep# rm -f /etc/security/console.apps/xserver（如刪除，只有root能啟動(dòng)Xserver）禁止控制臺(tái)的訪問：在/etc/pam.d中的所有文件中，給包含pam_console.so的行加上注釋5.2系統(tǒng)關(guān)閉Ping關(guān)閉ping，使系統(tǒng)對(duì)ping不做反應(yīng)，對(duì)網(wǎng)絡(luò)安全大有好處?？梢允褂萌缦旅睿簉ootdeep#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all可以將這一行加到/

31、etc/rc.d/rc.local文件中去，這樣系統(tǒng)重啟動(dòng)后會(huì)自動(dòng)執(zhí)行恢復(fù)系統(tǒng)的Ping響應(yīng)：rootdeep#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all5.3關(guān)閉或更改系統(tǒng)信息關(guān)閉telnet系統(tǒng)信息Red Hat 6.2中,編輯/etc/inetd.conftelnet stream tcp nowait root /usr/sbin/tcpd in.telnetd h加上參數(shù)-h可以關(guān)閉telnet信息Red Hat 7.0中,編輯/etc/xinetd.d/telnet加上server_args = -h,可以關(guān)閉telnet

32、信息/etc/rc.d/rc.local中關(guān)閉或修改系統(tǒng)信息/etc/issue和/etc/中包含本地登錄和網(wǎng)絡(luò)登錄時(shí)提示的系統(tǒng)信息,對(duì)它們進(jìn)行更改可以改變系統(tǒng)信息,或直接刪除,并在/etc/rc.d/rc.local文件中注釋相關(guān)行:#echo "" > /etc/issue#echo "$R" >> /etc/issue#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue#cp -f /etc/issue /etc/#echo >&

33、gt; /etc/issue5.4 /etc/securetty文件/etc/securetty文件規(guī)定root從哪個(gè)TTY設(shè)備登錄,列出的是允許的tty設(shè)備,將不允許的tty設(shè)備行注釋掉.5.5 /etc/host.conf文件/etc/host.conf定義主機(jī)名怎樣解析,使用什么服務(wù),什么順序解析# Lookup names via DNS first then fall back to /etc/hosts.order bind,hosts# We have machines with multiple IP addresses.multi on# Check for IP addre

34、ss spoofing.nospoof onorder指定選擇服務(wù)的順序multi指定主機(jī)能不能有多個(gè)IP地址,ON代表允許nospoof指定不允許IP偽裝,此參數(shù)必須設(shè)置為ON5.6禁止IP源路徑路由允許IP源路徑路由(IP source routing)會(huì)使得黑客能夠欺騙你的計(jì)算機(jī),截取信息包.強(qiáng)烈建議禁止，使用如下命令：for f in /proc/sys/net/ipv4/conf/*/accept_source_route; doecho 0 > $fdone將accept_source_route設(shè)置為0，并將上述命令加到/etc/rc.d/rc.local中去，每次重啟動(dòng)將

35、自動(dòng)執(zhí)行5.7資源限制為了避免拒絕服務(wù)攻擊，需要對(duì)系統(tǒng)資源的使用做一些限制。首先，編輯/etc/security/limits.conf，加入或改變?nèi)缦? hard core 0 （禁止創(chuàng)建core文件）* hard rss 5000 （除root外，其他用戶最多使用5M內(nèi)存）* hard nproc 20 （最多進(jìn)程數(shù)限制為20）編輯/etc/pam.d/login,在文件末尾加上：session required /lib/security/pam_limits.so對(duì)TCP SYN Cookie的保護(hù)：（防止SYN Flood攻擊）rootdeep# echo 1 > /proc/

36、sys/net/ipv4/tcp_syncookies5.8 LILO安全在“/etc/lilo.conf”文件中添加3個(gè)參數(shù)：time-out、restricted 和 password。這些選項(xiàng)會(huì)在啟動(dòng)時(shí)間（如“l(fā)inux single”）轉(zhuǎn)到啟動(dòng)轉(zhuǎn)載程序過程中，要求提供密碼。步驟1編輯lilo.conf文件（/etc/lilo.conf），添加和更改這三個(gè)選項(xiàng)：boot=/dev/hda map=/boot/map install=/boot/boot.b time-out=00 #change this line to 00prompt Default=linux restricted

37、 #add this linepassword= #add this line and put your password image=/boot/vmlinuz-12 label=linux initrd=/boot/initrd-12.img root=/dev/hda6 read-only 步驟2由于其中的密碼未加密，“/etc/lilo.conf”文件只對(duì)根用戶為可讀。rootkapil /# chmod 600 /etc/lilo.conf （不再為全局可讀）步驟3作了上述修改后，更新配置文件“/etc/lilo.conf”。Rootkapil /# /sbin/lilo -v （更

38、新lilo.conf文件）步驟4還有一個(gè)方法使“/etc/lilo.conf”更安全，那就是用chattr命令將其設(shè)為不可：rootkapil /# chattr +i /etc/lilo.conf它將阻止任何對(duì)“l(fā)ilo.conf”文件的更改，無論是否故意。5.9 Control-Alt-Delete 鍵盤關(guān)機(jī)命令編輯“/etc/inittab”文件，只要在下面行前面加“”，改為注釋行。ca:ctrlaltdel:/sbin/shutdown -t3 -r now 改為：#ca:ctrlaltdel:/sbin/shutdown -t3 -r now 然后，為使更改生效，在提示符下輸入：rootkapil /# /sbin/init q5.10日志系統(tǒng)安全為了保證日志系統(tǒng)的完整性，防止黑客刪除日志，需要對(duì)日志系統(tǒng)進(jìn)行安全配置。本專題將有專門文檔來講述日志系統(tǒng)的安全。5.11修正腳本文件在“/etc/rc.d/init.d”目錄下的權(quán)限對(duì)腳本文件的權(quán)限進(jìn)行修正，腳本文件用以決定啟動(dòng)時(shí)需要運(yùn)行的所有正常過程的開啟和停止。添加：rootkapil/# chmod -R 700 /etc/rc.d/init.d/* 這句指的是，只有根用戶允許在該目錄下使用 Read、Write，和 Execute 腳本文件。6 文件系統(tǒng)安全(File System Se