欢迎来到天天文库
浏览记录
ID:20621900
大小:41.50 KB
页数:4页
时间:2018-10-14
《系统安全策略》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库。
1、系统安全配置1系统密码文件的安全/etc/shadow不允许复制/etc/passwd有些linux中有,必需开启shadow比如:#chmod744/etc/passwd#chmodgo-rwx/etc/shadow-rw-r--r--1rootroot243010-0918:08/etc/passwd-r--------1rootroot192310-0918:08/etc/shadow2关闭多余的控制台#vi/etc/inittab使用俩个控制台,把其他的都给禁掉3关闭IPV6,关闭其模块#vi/etc/sysconfig/networkNETWORKING_IPV6=
2、no4禁止普通用户开关机#vi/etc/inittab注释ca::ctrlaltdel;/sbin/shutdown–t3–rnow(禁止热启动)5禁止ping#echo1>/proc/sys/net/ipv4/icmp_echo_ignore_all6禁止源路由#echo0>/proc/sys/net/ipv4/conf/all/accept_source_route(系统默认是禁止的)41防止SYN攻击SYN攻击大家都知道,就是A给B发包,正常的包是三次握手,但是A给B之后最后一次不进行确认。然后一直不停的给B发包,B接收后确认延迟默认30秒,但是A会一直给B发包,以致阻
3、塞掉路由。。。echo1>/proc/sys/net/ipv4/tcp_syncookies2限制系统进程数量1.Linux对于每个用户,系统限制其最大进程数。可以在用户根目录下的“.bashrc”文件或者实际使用与“.bashrc”功能相当的shell的脚本中加入这种限制。2.为提高性能,可以设置超级用户root的最大进程数为无限#vi/root/.bashrc加入ulimit-uunlimited3.#ulimit–a显示当前所有的资源限制3减少磁盘的IOlinux文件默认有3个时间:atime,对此文件的访问时间ctime,此文件的inode发生变化的时间mtime,此
4、文件的修改时间#vi/etc/fstab例如:/dev/md5/data/pics1ext3noatime,nodiratime004优化shell修改命令history纪录#sed“s/1000/100/g”–i/etc/profile#soruce/etc/profile5关闭所有不必要的服务使用netstat–tunl命令查看系统已监听的服务41设置用户及口令的安全删除不必要的用户2修改缺省的密码长度修改文件/etc/login.defs,把PASS_MIN_LEN5改为PASS_MIN_LEN8#sed“s/PASS_MIN_LEN5/PASS_MIN_LEN8/g”
5、–i/etc/login.defs3自动注销账号的登录#vi/etc/profile加入TMOUT=300或者#echo“TMOUT=300”>>/etc/profile登录用户5分钟内没有动作,将注销本次登录4防止动作泄密在/etc/skel/.bash_logout文件中添加这行rm-f$HOME/.bash_history5设置口令文件chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/etc/group#chattr+i/etc/gshadow41
6、限制su命令任何人能够su作为root,可以编辑/etc/pam.d/su文件,增加如下两行:authsufficient/lib/security/pam_rootok.sodebugauthrequired/lib/security/pam_wheel.sogroup=isd这时,仅isd组的用户可以su作为root。此后,如果您希望用户admin能够su作为root,可以运行如下命令:#usermod-G10admin2防止IP欺骗编辑host.conf文件并增加如下几行来防止IP欺骗攻击。orderbind,hostsmultioffnospoofon3防止DOS攻击
7、对系统所有的用户设置资源限制可以防止DoS类型攻击,如最大进程数和内存使用数量#vi/etc/security/limits.conf*hardcore0*hardrss5000*hardnproc20上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB4
此文档下载收益归作者所有