LINUX安全管理10要點

linux的組網能力非常強大，它的tcp/ip**是最高端的。linux提供了對於當前的tcp/ip協議的完全支援，並且包括了對下一代internet協議ipv6的支援。網際網路中接入的機器中，有相當大一部分使用的是linux作業系統。但linux是乙個多使用者的系統，黑客們為了在攻擊中隱藏自己，往往選擇linux系統作為首先攻擊的物件，進而利用它來做一些非法的勾當，如：進行dos(拒絕服務)攻擊、執行irc bot、發布非法軟體等。作為乙個linux使用者，時刻要防止攻擊，以下十項建議可以使你的linux系統更加安全。

關閉無用的埠

任何網路連線都是通過開放的應用埠來實現的。如果我們盡可能少地開放埠，就使網路攻擊變成無源之水，從而大大減少了攻擊者成功的機會。

首先檢查你的inetd．conf檔案。inetd在某些埠上守侯，準備為你提供必要的服務。如果某人開發出乙個特殊的inetd守護程式，這裡就存在乙個安全隱患。你應當在inetd．conf檔案中注釋掉那些永不會用到的服務(如：echo、gopher、rsh、rlogin、rexec、talk、ntalk、pop-2、finger等)。注釋除非絕對需要，你一定要注釋掉rsh、rlogin和rexec，而telnet建議你使用更為安全的ssh來代替，然後殺掉lnetd程序。這樣inetd不再監控你機器上的守護程式，從而杜絕有人利用它來竊取你的應用埠。你最好是**乙個埠掃瞄程式掃瞄你的系統，如果發現有你不知道的開放埠，馬上找到正使用它的程序，從而判斷是否關閉它們。

刪除不用的軟體包

在進行系統規劃時，總的原則是將不需要的服務一律去掉。預設的linux就是乙個強大的系統，執行了很多的服務。但有許多服務是不需要的，很容易引起安全風險。這個檔案就是/etc/inetd.conf，它制定了/usr/sbin/inetd將要監聽的服務，你可能只需要其中的兩個：telnet和ftp，其它的類如shell、login、exec、talk、ntalk、imap、pop-2、pop-3、finger、auth等，除非你真的想用它，否則統統關閉。

需要提醒你的是以下三個服務漏洞很多，強烈建議你關閉它們：s34yppasswdd（nis伺服器）、s35ypserv（nis伺服器）和s60nfs（nfs伺服器）。

不設定預設路由

在主機中，應該嚴格禁止設定預設路由，即default route。建議為每乙個子網或網段設定乙個路由，否則其它機器就可能通過一定方式訪問該主機。

口令管理

口令的長度一般不要少於8個字元，口令的組成應以無規則的大小寫字母、數字和符號相結合，嚴格避免用英語單詞或片語等設定口令，而且各使用者的口令應該養成定期更換的習慣。另外，口令的保護還涉及到對/etc/passwd和/etc/shadow檔案的保護，必須做到只有系統管理員才能訪問這2個檔案。安裝乙個口令過濾工具加npasswd，能幫你檢查你的口令是否耐得住攻擊。如果你以前沒有安裝此類的工具，建議你現在馬上安裝。如果你是系統管理員，你的系統中又沒有安裝口令過濾工具，請你馬上檢查所有使用者的口令是否能被窮盡搜尋到，即對你的／ect／passwd檔案實施窮盡搜尋攻擊。對那些糟糕的口令，強令它們的主人修改它，或乾脆鎖住它們的賬號。

分割槽管理

乙個潛在的攻擊，它首先就會嘗試緩衝區溢位。在過去的幾年中，以緩衝區溢位為型別的安全漏洞是最為常見的一種形式了。更為嚴重的是，緩衝區溢位漏洞佔了遠端網路攻擊的絕大多數，這種攻擊可以輕易使得乙個匿名的internet使用者有機會獲得一台主機的部分或全部的控制權！

為了防止此類攻擊，我們從安裝系統時就應該注意。如果用root分割槽紀錄資料，如log檔案和email，就可能因為拒絕服務產生大量日誌或垃圾郵件，從而導致系統崩潰。所以建議為/var開闢單獨的分割槽，用來存放日誌和郵件，以避免root分割槽被溢位。最好為特殊的應用程式單獨開乙個分割槽，特別是可以產生大量日誌的程式，還建議為/home單獨分乙個區，這樣他們就不能填滿/分割槽了，從而就避免了部分針對linux分割槽溢位的惡意攻擊。

謹慎使用．rhosts檔案

．rhosts檔案中儲存的是可以直接遠端訪問本系統的主機及使用者名稱。當你用telnet命令或r*命令(如rlogin、rcp等)來遠端訪問本系統時，系統首先檢查．rhosts檔案中是否存有你此時的主機名和使用者名稱。當找到你的主機名和使用者名稱後，它將允許你直接訪問它，而不需輸入口令。當黑客一旦攻破你的系統，他必將要在你的系統中留下乙個供他日後自由出入的後門。只要他將自己的主機名和使用者名稱寫進．rhosts檔案，就達到了這一目的。

所以我們要時刻檢查我們的orhosts檔案，一旦發現裡面出現莫名其妙的主機名和使用者名稱，馬上刪除它們。並把它們報告給它們的服務提供商，警告他們的行為。

日誌管理

日誌檔案時刻為你記錄著你的系統的運**況。當黑客光臨時，也不能逃脫日誌的法眼。所以黑客往往在攻擊時修改日誌檔案，來隱藏蹤跡。因此我們要限制對／var／log檔案的訪問，禁止一般許可權的使用者去檢視日誌檔案。

另外，我們還可以安裝乙個icmp／tcp日誌管理程式，如iplogger，來觀察那些可疑的多次的連線嘗試(加icmp flood3或一些類似的情況)。還要小心一些來自不明主機的登入。

終止正進行的攻擊

假如你在檢查日誌檔案時，發現了乙個使用者從你未知的主機登入，而且你確定此使用者在這台主機上沒有賬號，此時你可能正被攻擊。首先你要馬上鎖住此賬號(在口令檔案或shadow檔案中，此使用者的口令前加乙個ib或其他的字元)。若攻擊者已經連線到系統，你應馬上斷開主機與網路的物理連線。如有可能，你還要進一步檢視此使用者的歷史記錄，檢視其他使用者是否也被假冒，攻擊音是否擁有根許可權。殺掉此使用者的所有程序並把此主機的ip位址掩碼加到檔案hosts.deny中。

防範身邊的攻擊

如果你的身邊躲藏有攻擊的人，要做到對他們的防範難上加難。因為他們甚至可以用如下方法獲得你的根許可權：攻擊者首先用引導磁碟來啟動系統，然後mount你的硬碟，改掉根口令，再重啟動機器。此時攻擊者擁有了根口令，而作為管理員的你卻被拒之門外。要避免此類情況的發生，最簡單的方法是改變機器中bios的配置，使機器的啟動順序改為硬碟第一序，並為你的bios設定乙個口令。

補丁問題

你應該經常到你所安裝的linux系統發行商的主頁上去找最新的補丁。例如：對於redhat系統而言，可上找到補丁。在redhat6.1以後的版本帶有乙個自動公升級工具up2date，它能自動測定哪些rpm包需要公升級，然後自動從redhat的站點**並完成安裝

LINUX安全管理10要點

linux安全 linux口令管理

10 安全運維管理 10 10變更管理

10 安全運維管理 10 2資產管理

LINUX安全管理10要點

linux安全 linux口令管理

10 安全運維管理 10 10變更管理

10 安全運維管理 10 2資產管理

相關推薦