資深Linux系統管理員網路安全經驗談 2

2021-04-13 11:03:29 字數 2463 閱讀 3774

關於系統檔案

對於系統中的某些關鍵性檔案如passwd、passwd.old、passwd._、shadow、shadown._、inetd.conf、services和lilo.conf等可修改其屬性,防止意外修改和被普通使用者檢視。 如將inetd檔案屬性改為600:

# chmod 600 /etc/inetd.conf

這樣就保證檔案的屬主為root,然後還可以將其設定為不能改變:

# chattr +i /etc/inetd.conf

這樣,對該檔案的任何改變都將被禁止。 你可能要問:那我自己不是也不能修改了?當然,我們可以設定成只有root重新設定復位標誌後才能進行修改:

# chattr -i /etc/inetd.conf

關於使用者資源

* hard core 0

* hard rss 5000

* hard nproc 20

session required /lib/security/pam_limits.so

上面的命令禁止core files「core 0」,限制程序數為「nproc 50「,且限制記憶體使用為5m「rss 5000」。

關於nfs伺服器

由於nfs伺服器漏洞比較多,你一定要小心。如果要使用nfs網路檔案系統服務,那麼確保你的/etc/exports具有最嚴格的訪問許可權設定,不意味著不要使用任何萬用字元,不允許root寫許可權,mount成唯讀檔案系統。你可以編輯檔案/etc/exports並且加:

/dir/to/export host1.mydomain.com(ro,root_squash)

/dir/to/export host2.mydomain.com(ro,root_squash)

其中/dir/to/export 是你想輸出的目錄,host.mydomain.com是登入這個目錄的機器名,ro意味著mount成唯讀系統,root_squash禁止root寫入該目錄。最後為了讓上面的改變生效,還要執行/usr/sbin/exportfs -a。

關於開啟的服務

預設的linux就是乙個強大的系統,執行了很多的服務。但有許多服務是不需要的,很容易引起安全風險。這個檔案就是/etc/inetd.conf,它制定了/usr/sbin/inetd將要監聽的服務,你可能只需要其中的兩個: telnet和ftp,其它的類如shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth, etc. 除非你真的想用它。否則統統關閉之。

你先用下面的命令顯示沒有被注釋掉的服務:

grep -v "#" /etc/inetd.conf

這個命令統計面前服務的總數:

ps -eaf|wc -l

我們可以執行#killall -hup inetd來關閉不需要的服務。當然,你也可以執行:

#chattr +i /etc/inetd.conf

如果你想使inetd.conf檔案具有不可更改屬性,而只有root 才能解開,敲以下命令:

#chattr -i /etc/inetd.conf

當你關閉一些服務以後,重新執行以上命令看看少了多少服務。執行的服務越少,系統自然越安全了。我們可以用下面命令察看哪些服務在執行:

netstat -na --ip

如果你用的是redhat那就方便多了。^_^ redhat提供乙個工具來幫助你關閉服務,輸入/usr/sbin/setup,然後選擇"system services",就可以定製系統啟動時跑哪些服務。另外乙個選擇是chkconfig命令,很多linux版本的系統都自帶這個工具。指令碼名字中的數字是啟動的順序,以大寫的k開頭的是殺死程序用的。

關於日誌

所有的日誌都在/var/log下(僅對linux系統而言),預設情況下 linux的日誌就已經很強大了,但除ftp外。因此我們可以通過修改/etc/ftpaccess 或者/etc/inetd.conf,來保證每乙個ftp連線日誌都能夠紀錄下來。下面是乙個修改inetd.conf的例子,假如有下一行:

ftp stream tcp nowait root /usr/sbin/tcpd in.ftpd -l -l -i -o

注釋:

-l每乙個ftp連線都寫到syslog;

-l紀錄使用者的每乙個命令;

-i檔案received,紀錄到xferlog;

-o檔案tran**itted,記錄到xferlog。

不過你也不要太相信日誌,因為絕大部分黑客都有「擦腳印」的「好」習慣囉!如果你不放心,最好安裝乙個sniffer吧。

sshd: 192.168.1.10/255.255.255.0 gate.openarch.com

關於補丁

你應該經常到你所安裝的linux系統發行商的主頁上去找最新的補丁。例如:對於 redhat系統而言可以在:

Linux系統管理員必備

linux系統管理工具包系列彙總 linux系統管理員必看 vandyke securecrt 6.1.3 附特別檔案 linux administration handbook 第二版 linux伺服器配置全程實錄 時間管理 給系統管理員 中文高畫質pdf time management for ...

linux 系統管理員操作

1.檢查系統版本 cat etc redhat release 2.檢視網絡卡ip位址 ifconfig 或者 ifconfig eth0 或者 ifconfig head 2 檢視前兩行 3.檢視主機名 hostname 一般情況下伺服器在遠端資料中心,我們通過遠端管理.遠端登入 ssh 命令格式...

4 1系統管理員

本章要點 v 系統管理員 v 使用者管理 v 使用者組管理 v 使用使用者管理器管理使用者和組 學習要求 v 了解系統管理員的作用及其許可權 v 掌握使用 useradd 命令新增使用者的方法 v 掌握使用passwd命令為所新增的使用者設定密碼的方法 v 掌握使用groupadd 命令新增使用者組...