IT评测·应用市场-qidao123.com

标题: Linux安全设置步骤简述_linux的安全怎样做？从那些方面人手 [打印本页]

---

作者: 自由的羽毛    时间: 2024-8-16 05:08
标题: Linux安全设置步骤简述_linux的安全怎样做？从那些方面人手
先自我先容一下，小编浙江大学结业，去过华为、字节跳动等大厂，目前阿里P7
深知大多数程序员，想要提拔技能，往往是本身摸索成长，但本身不成体系的自学效果低效又漫长，而且极易遇到天花板技术停滞不前！
因此收集整理了一份《2024年最新软件测试全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提拔又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提拔的进阶课程，涵盖了95%以上软件测试知识点，真正体系化！
由于文件比力多，这里只是将部门目录截图出来，全套包罗大厂面经、学习笔记、源码课本、实战项目、大纲门路、讲解视频，而且后续会连续更新
如果你必要这些资料，可以添加V获取：vip1024b （备注软件测试）

正文

关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等
关闭非必需的网络服务。talk、ntalk、pop-2等
常见网络服务安全设置与升级
确保网络服务所使用版本为当前最新和最安全的版本。
取消匿名FTP访问
去除非必需的suid程序
使用tcpwrapper
使用ipchains防火墙
日记体系syslogd
一些细节：
1.操作体系内部的log file是检测是否有网络入侵的重要线索，当然这个假定你的logfile不被侵入者所破坏，如果你有台服务器用专线直接连到Internet上，这意味着你的IP地址是永世固定的地址，你会发现有很多人对你的体系做telnet/ftp登录实验，试着运行#more /var/log/secure | grep refused 去查抄。

• 限制具有SUID权限标志的程序数量，具有该权限标志的程序以root身份运行，是一个匿伏的安全漏洞，当然，有些程序是必须要具有该标志的，象passwd程序。
  

3.BIOS安全。设置BIOS暗码且修改引导次序禁止从软盘启动体系。

• 用户口令。用户口令是Linux安全的一个最基本的起点，很多人使用的用户口令就是简单的‘password’，这即是给侵入者敞开了大门，虽然从理论上说没有不能确解的用户口令，只要有足够的时间和资源可以利用。比力好的用户口令是那些只有他本身能够容易记得并明白的一串字符，而且绝对不要在任何地方写出来。
  

5./etc/exports 文件。如果你使用NFS网络文件体系服务，那么确保你的/etc/exports具有最严酷的存取权限设置，不意味着不要使用任何通配符，不允许root写权限，mount成只读文件体系。编辑文件/etc/exports而且加：例如：
/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)
/dir/to/export 是你想输出的目录，host.mydomain.com是登录这个目录的呆板名，
ro意味着mount成只读体系，root_squash禁止root写入该目录。
为了让上面的改变生效，运行/usr/sbin/exportfs -a
6.确信/etc/inetd.conf的所有者是root，且文件权限设置为600 。
[root@deep]# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
[root@deep]# stat /etc/inetd.conf
File: “/etc/inetd.conf”
Size: 2869 Filetype: Regular File
Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)
Device: 8,6 Inode: 18219 Links: 1
Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)
Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)
Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)
编辑/etc/inetd.conf禁止以下服务：
ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,
auth, etc. 除非你真的想用它。
特别是禁止那些r下令.如果你用ssh/scp，那么你也可以禁止掉telnet/ftp。
为了使改变生效，运行#killall -HUP inetd
你也可以运行#chattr +i /etc/inetd.conf使该文件具有不可更改属性。
只有root才能解开，用下令
#chattr -i /etc/inetd.conf

• TCP_WRAPPERS
  默认地，Redhat Linux允许所有的请求,用TCP_WRAPPERS增强你的站点的安全性是举手
  之劳，你可以放入
  “ALL: ALL”到/etc/hosts.deny中禁止所有的请求，然后放那些明确允许的请求到
  /etc/hosts.allow中，如:
  sshd: 192.168.1.10/255.255.255.0 gate.openarch.com
  对IP地址192.168.1.10和主机名gate.openarch.com，允许通过ssh毗连。
  设置完了之后，用tcpdchk查抄
  

[root@deep]# tcpdchk
tcpchk是TCP_Wrapper设置查抄工具，
它查抄你的tcp wrapper设置并陈诉所有发现的匿伏/存在的问题。

• 别名文件aliases
  编辑别名文件/etc/aliases（也大概是/etc/mail/aliases)，移走/表明掉下面的行。
  

Basic system aliases – these MUST be present.

MAILER-DAEMON: postmaster
postmaster: root
General redirections for pseudo accounts.

bin: root
daemon: root
#games: root ?remove or comment out.
#ingres: root ?remove or comment out.
nobody: root
#system: root ?remove or comment out.
#toor: root ?remove or comment out.
#uucp: root ?remove or comment out.
Well-known aliases.

#manager: root ?remove or comment out.
#dumper: root ?remove or comment out.
#operator: root ?remove or comment out.
trap decode to catch security attacks

#decode: root
Person who should get root’s mail

#root: marc
最后更新后不要忘记运行/usr/bin/newaliases，使改变生效。
9.克制你的体系响应任何从外部/内部来的ping请求。
既然没有人能ping通你的呆板并收到响应，你可以大大增强你的站点的安全性。你可以加下面的一行下令到/etc/rc.d/rc.local，以使每次启动后自动运行。
echo 1 >; /proc/sys/net/ipv4/icmp_echo_ignore_all

• 不要表现出操作体系和版本信息。
  如果你希望某个人长途登录到你的服务器时不要表现操作体系和版本信息，你能改变
  /etc/inetd.conf中的一行象下面这样：
  

telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
加-h标志在最后使得telnet背景不要表现体系信息，而仅仅表现login:
11.The /etc/host.conf file
编辑host.conf文件(vi /etc/host.conf)且加下面的行：
Lookup names via DNS first then fall back to /etc/hosts.

order bind,hosts
We don’t have machines with multiple IP addresses on the same card

(like virtual server,IP Aliasing).
multi off
Check for IP address spoofing.

nospoof on
IP Spoofing: IP-Spoofing is a security exploit that works by tricking
computers in a trust relationship that you are someone that you really aren’t.

• The /etc/securetty file
  该文件指定了允许root登录的tty设备，/etc/securetty被/bin/login程序读取,它的
  格式是一行一个被允许的名字列表，如你可以编辑/etc/securetty且表明出下面的行。
  tty1
  #tty2
  #tty3
  #tty4
  #tty5
  #tty6
  #tty7
  #tty8
  -意味着root仅仅被允许在tty1终端登录。
  
• 特别的帐号
  禁止所有默认的被操作体系本身启动的且不必要的帐号，当你第一次装上体系时就应该做此查抄，Linux提供了各种帐号，你大概不必要，如果你不必要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。
  为删除你体系上的用户，用下面的下令：
  [root@deep]# userdel username
  为删除你体系上的组用户帐号，用下面的下令：
  [root@deep]# groupdel username
  在终端上打入下面的下令删掉下面的用户。
  [root@deep]# userdel adm
  [root@deep]# userdel lp
  [root@deep]# userdel sync
  [root@deep]# userdel shutdown
  [root@deep]# userdel halt
  [root@deep]# userdel mail
  如果你不用sendmail服务器，procmail.mailx,就删除这个帐号。
  [root@deep]# userdel news
  [root@deep]# userdel uucp
  [root@deep]# userdel operator
  [root@deep]# userdel games
  如果你不用X windows 服务器，就删掉这个帐号。
  [root@deep]# userdel gopher
  [root@deep]# userdel ftp
  如果你不允许匿名FTP，就删掉这个用户帐号。
  ===
  打入下面的下令删除组帐号
  [root@deep]# groupdel adm
  [root@deep]# groupdel lp
  [root@deep]# groupdel mail
  如不用Sendmail服务器，删除这个组帐号
  [root@deep]# groupdel news
  [root@deep]# groupdel uucp
  [root@deep]# groupdel games
  如你不用X Windows，删除这个组帐号
  [root@deep]# groupdel dip
  [root@deep]# groupdel pppusers
  [root@deep]# groupdel popusers
  如果你不用POP服务器，删除这个组帐号
  [root@deep]# groupdel slipusers
  ====
  用下面的下令加必要的用户帐号
  [root@deep]# useradd username
  用下面的下令改变用户口令
  [root@deep]# passwd username
  

用chattr下令给下面的文件加上不可更改属性。
[root@deep]# chattr +i /etc/passwd
[root@deep]# chattr +i /etc/shadow
[root@deep]# chattr +i /etc/group
[root@deep]# chattr +i /etc/gshadow

• 克制任何人su作为root.
  如果你不想任何人能够su作为root,你能编辑/etc/pam.d/su加下面的行：
  

auth sufficient /lib/security/pam_rootok.so debug
auth required /lib/security/pam_wheel.so group=isd
意味着仅仅isd组的用户可以su作为root.
然后，如果你希望用户admin能su作为root.就运行下面的下令。
[root@deep]# usermod -G10 admin

• 资源限制
  对你的体系上所有的用户设置资源限制可以防止DoS类型攻击（denial of service attacks）
  如最大历程数，内存数量等。例如，对所有用户的限制象下面这样：
  编辑/etc/security/limits.con加：
  

* hard core 0
* hard rss 5000
* hard nproc 20
你也必须编辑/etc/pam.d/login文件加/查抄这一行的存在。
session required /lib/security/pam_limits.so
上面的下令禁止core files“core 0”，限制历程数为“nproc 50“，且限制内存使用
为5M“rss 5000”。

• The /etc/lilo.conf file
  

a) Add: restricted
加这一行到每一个引导映像下面，就这表明如果你引导时用(linux single),则必要一个password.
b) Add: password=some_password
当与restricted联适用，且正常引导时，必要用户输入暗码，你也要确保lilo.conf
文件不能被不属于root的用户可读，也免看到暗码明文。下面是例子：
编辑/etc/lilo.conf加：

boot=/dev/sda
map=/boot/map
install=/boot/boot.b
prompt
timeout=50
Default=linux
restricted ?add this line.
password=some_password ?add this line.
image=/boot/vmlinuz-2.2.12-20
label=linux
initrd=/boot/initrd-2.2.12-10.img
root=/dev/sda6
read-only
[root@deep]# chmod 600 /etc/lilo.conf (不再能被其他用户可读).
[root@deep]# /sbin/lilo -v (更新lilo设置).
[root@deep]# chattr +i /etc/lilo.conf（克制该文件被修改）

• 禁止 Control-Alt-Delete 重启动呆板下令
  

[root@deep]# vi /etc/inittab
ca::ctrlaltdel:/sbin/shutdown -t3 -r now
To
#ca::ctrlaltdel:/sbin/shutdown -t3 -r now
[root@deep]# /sbin/init q

• 重新设置/etc/rc.d/init.d/目录下所有文件的允许权限
  [root@deep]# chmod -R 700 /etc/rc.d/init.d/*
  仅仅root可以读，写，执行上述所有script file.
  
• The /etc/rc.d/rc.local file
  默认地，当你login到linux server时，它告诉你linux版本名，内核版本名和服务器
  主机名。它给了你太多的信息，如果你就希望得到提示login: ,编辑
  /etc/rc.d/rc.local放#在下面的行前面：
  –
  

This will overwrite /etc/issue at every boot. So, make any changes you

want to make to /etc/issue here or you will lose them when you reboot.

#echo “” >; /etc/issue
网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提拔。
必要这份体系化的资料的朋友，可以添加V获取：vip1024b （备注软件测试）

一个人可以走的很快，但一群人才能走的更远！岂论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术互换、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
“” >; /etc/issue
网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提拔。
必要这份体系化的资料的朋友，可以添加V获取：vip1024b （备注软件测试）
[外链图片转存中…(img-6jtFOwSW-1713143723042)]
一个人可以走的很快，但一群人才能走的更远！岂论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术互换、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！更多信息从访问主页：qidao123.com:ToB企服之家，中国第一个企服评测及商务社交产业平台。

---

欢迎光临 IT评测·应用市场-qidao123.com (https://dis.qidao123.com/)

Powered by Discuz! X3.4