Fedora core 伺服器平台安全設定揭秘

一、設定啟動服務

安裝完系統後，我們執行#netstat –an，可以看到由於系統預設情況下啟動了許多與網路相關的服務，因此相對應的開放了許多埠進行listening（監聽）。我們知道，開放的埠越多，系統從外部被入侵的可能也就越大，所以我們要盡量關閉一些不需要的啟動服務，從而盡可能的關閉埠，提供系統的安全性。

這裡我直接給出保持系統正常執行的啟動服務，而其他的服務都可以關閉掉。執行#ntsysv，只啟動如下的服務。

二、netfilter/iptables防火牆設定

#touch /etc/rc.d/firewall

#chmod u+x /etc/rc.d/firewall

#vi /etc/rc.d/rc.local

寫入一行：/etc/rc.d/firewall

注意：/etc/rc.d/firewall的內容如下：

1、單網絡卡主機設定

說明：此設定適用於架設了一台專門提供web服務或者ftp服務的主機。

三、系統設定

1、限制shell logging

bash　shell在「~/.bash_history」（「~/」表示使用者目錄）檔案中儲存了500條使用過的命令，這樣可以使你輸入使用過的長命令變得容易。每個在系統中擁有賬號的使用者在他的目錄下都有乙個「.bash_history」檔案。bash　shell應該儲存少量的命令，並且在每次使用者登出時都把這些歷史命令刪除。

第一步：

「/etc/profile」檔案中「histsize」行確定所有使用者的「.bash_history」檔案中可以儲存的舊命令條數。強烈建議把把「/etc/profile」檔案中的「histsize」值設為乙個較小的數，比如30。編輯profile檔案（vi　/etc/profile），把下面這行改為：

histsize=30

這表示每個使用者的「.bash_history」檔案只可以儲存30條舊命令。

第二步：

網管還應該在"/etc/skel/.bash_logout"　

檔案中新增下面這行"rm　-f　　$home/.bash_history"　。

這樣，當使用者每次登出時，「.bash_history」檔案都會被刪除。

編輯.bash_logout檔案(vi　/etc/skel/.bash_logout)　，新增下面這行：

rm　-f　$home/.bash_history

2、修改ssh 連線埠

利用ssh我們可以遠端管理linux主機，不過如果設定不當，也會被黑客所利用，侵入系統。ssh預設連線埠為22，在實際工作中，筆者發現主機的22埠經常被掃瞄，試圖以窮舉法強行進行登陸，好在密碼設定的比較複雜，才沒有被侵入。因此筆者想到可以改變ssh連線埠，比如可以將連線埠設定為10000以上，呵呵，這樣做就好比讓小偷找不到門在**，又如何入室偷東西呢。具體修改方法如下：

vi /etc/ssh/sshd_config

將#port 22

改為port 20068

這樣以後我們就需要通過20068這個埠來連線ssh了。

然後在填加denyuser *禁止普通使用者登陸，這樣應該可以防一下，拒絕守護程式(daemon)帳號訪問系統，如確定下面守護程式帳號不能訪問系統：

denyusers daemon bin sync adm lp shutdown halt mail

news uucp nobody operator sympa, squid, postgres,

gopher, postfix, xfs.

sshd: 192.168.1.10/255.255.255.0 gate.openarch.com

站長在研究設定netfilter/iptables防火牆時，一度由於缺乏多主機的網路環境，以至學習的進展很慢，好在後來安裝了vmware虛擬機器，在家中的winxp下又虛擬出兩台fedora core 2來，並組建成乙個區域網，才使得研究繼續下去。如果你也為缺乏網路環境而苦難，那麼請一定試試vmware，相信會給你帶來驚喜的！

Fedora core 伺服器平台安全設定揭秘

跨平台C 伺服器程式開發（2）伺服器端口

Windows平台下搭建Git伺服器

XenServer平台之DNS伺服器修改

Fedora core 伺服器平台安全設定揭秘

跨平台C 伺服器程式開發 （2）伺服器端口

Windows平台下搭建Git伺服器

XenServer平台之DNS伺服器修改

相關推薦

跨平台C 伺服器程式開發（2）伺服器端口