Linux作為是一個(gè)開放源代碼的免費(fèi)操作系統(tǒng),
以其高效隱定的優(yōu)秀質(zhì)量��,越來越受到用戶們的歡迎�����,并在全世界不斷普及開來���。
相信在不久的將來Linux還會(huì)得到更大更快的發(fā)展�。
雖然�����,Linux和Unix很相似��,但是它們之間還是有不少重要的差別���。
對(duì)于很多習(xí)慣了UNIX和Windows的系統(tǒng)管理員來講
如何保證Linux操作系統(tǒng)的安全可靠將面臨許多新的挑戰(zhàn)�����。
本文在此將給大家介紹一些Linux管理安全的基本技巧�����,希望能對(duì)大家有所幫助�。
首先我想從系統(tǒng)的安全配置�,開始我們的話題。
因?yàn)槲覀€(gè)人認(rèn)為一位管理員要能充分利用系統(tǒng)提供的安全機(jī)制��、
挖掘系統(tǒng)自身的潛力來對(duì)服務(wù)器進(jìn)行高效安全的維護(hù)����,才能稱得上優(yōu)秀。
我并不是完全反對(duì)使用防火墻等工具�����,但是正如人一樣�����,
我們可以消毒�、可以帶口罩,卻沒有我們自身體魄強(qiáng)健���、有抗體來得好����。
Linux是完全開放源代碼的免費(fèi)操作系統(tǒng),其可開發(fā)的潛力極大�,
有能力的管理員甚至可以通過自行改編內(nèi)核來滿足自己服務(wù)器優(yōu)良工作的需要。
當(dāng)然���,在此我們只講一些基本�,但實(shí)用的配置技巧�。
一、 ILO的安全設(shè)置
LILO是Linux
Loader的縮寫�����,它是LINUX的啟動(dòng)模塊���。
我們可通過修改「/etc/lilo.conf」文件中的內(nèi)容來對(duì)它進(jìn)行配置�。
在文件中加上��,如下兩個(gè)參
數(shù):restricted,password
��。這兩個(gè)參數(shù)可以使您的系統(tǒng)在啟動(dòng)lilo時(shí)就要求密碼驗(yàn)證���。
boot=/dev/hda
map=/boot/map
install=/boot/boot.b
prompt
timeout=00 #把這行該為00�����,這樣系統(tǒng)啟動(dòng)時(shí)將不在等待��,而直接啟動(dòng)LINUX
message=/boot/message
linear
default=linux
restricted #加入這行
password= #加入這行并設(shè)置自己的密碼
image=/boot/vmlinuz-2.4.2-2
label=linux
root=/dev/hda6
read-only
因?yàn)?quot;/etc/lilo.conf"文件中包含明文密碼���,所以要把它設(shè)置為root權(quán)限讀取。
# chmod 0600 /etc/lilo.conf
還要使用「chattr」命令使"/etc/lilo.conf"文件變?yōu)椴豢筛淖儭?/p>
# chattr +i /etc/lilo.conf
這樣可以對(duì)「/etc/lilo.conf」文件起到很好的保護(hù)作用�。(對(duì)其它文件的保護(hù)也可以采用此方法)
最后要使lilo.conf文件生效要用
# /sbin/lilo -v
更新一下系統(tǒng)。
二����、 口令安全
口令可以說是系統(tǒng)的第一道防線,
目前網(wǎng)絡(luò)上大部分的系統(tǒng)入侵都是從猜測(cè)口令或者截獲口令開始的�����,所以口令安全至關(guān)重要�。
首先要杜絕不設(shè)口令的賬號(hào)存在。
這可以通過查看/etc/passwd文件來發(fā)現(xiàn)����。
例如,存在用戶名為test的賬號(hào),沒有設(shè)置口令��,則在/etc/passwd文件中就有如下一行:
test::100:9::/home/test:/bin/bash
其第二項(xiàng)為空�����,說明test這個(gè)賬號(hào)沒有設(shè)置口令��,這是非常危險(xiǎn)的�!應(yīng)將該類賬號(hào)刪除或者設(shè)置口令。
其次����,在舊版本的linux中,在/etc/passwd文件中是包含有加密的密碼的�,
這就給系統(tǒng)的安全性帶來了很大的隱患,
最簡(jiǎn)單的方法就是可
以用暴力破解的方法來獲得口令(如��,用John等工具)����。
可以使用命令
/usr/sbin/pwconv或者/usr/sbin/grpconv
來建立
/etc/shadow或者/etc/gshadow文件,
這樣在/etc/passwd文件中不再包含加密的密碼�����,
而是放在/etc/shadow文件
中,該文件只有超級(jí)用戶root可讀����!
第三點(diǎn)是修改一些系統(tǒng)賬號(hào)的Shell變量,
例如uucp,ftp和news等�����,
一些僅僅需要FTP功能的賬號(hào)���,
一定不要給他們?cè)O(shè)置
/bin/bash或者/bin/sh等 Shell變量。
可以在/etc/passwd中將它們的Shell變量置空���,
例如設(shè)為/bin/false或者
/dev/null等���,
也可以使用usermod -s /dev/null
username命令來更改username的Shell為/dev/null。
這樣使用這些賬號(hào)將無法Telnet遠(yuǎn)程登錄到系統(tǒng)中來����!
第四點(diǎn)是修改缺省的密碼長(zhǎng)度:在安裝linux時(shí)默認(rèn)的密碼長(zhǎng)度是5個(gè)字節(jié)。
但這并不夠�����,要把它設(shè)為8。
修改最短密碼長(zhǎng)度需要編輯login.defs文件(vi/etc/login.defs)�,把下面這行
PASS_MIN_LEN 5
改為
PASS_MIN_LEN 8
login.defs文件是login程序的配置文件。
最后別忙了為root加上一個(gè)強(qiáng)壯的密碼����,8位以上,最好包含特殊字符���。
三�����、 登錄安全
1����、自動(dòng)注銷賬號(hào)的登錄���,在unix系統(tǒng)中root賬戶是具有最高特權(quán)的�。
如果系統(tǒng)管理員在離開系統(tǒng)之前忘記
