配置安全的操作系统(linux)要点ppt课件

我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物配置安全的操作系统配置安全的操作系统(Linux)LINUX系统安全配置系统安全配置配置安全的操作系统(Linux)LINUX系统安全配置我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物实验要求实验要求将将redhat9.0linux系统进行如下配置，使其更安全系统进行如下配置，使其更安全1）设置密码最小长度为）设置密码最小长度为8,密码最长停留期密码最长停留期30天天(/etc/login.defs)2）下面的文件加上不可更改属性，从而防止非授权用户获得权限）下面的文件加上不可更改属性，从而防止非授权用户获得权限/etc/passwd/etc/shadow/etc/group/etc/gshadow/etc/services3）设置）设置60秒后自动注销帐号的登录秒后自动注销帐号的登录(/etc/profile)4）不允许从不同的控制台进行）不允许从不同的控制台进行root登陆登陆(/etc/securetty)5）禁止）禁止Ctrl+Alt+Delete重新启动机器重新启动机器(/etc/inittab)6）禁止任何人通过）禁止任何人通过su命令改变为命令改变为root用户用户7）阻止别人）阻止别人ping你的计算机，防止你的计算机，防止IP欺骗，防止欺骗，防止DoS攻击等攻击等8）练习）练习ps、top、kill、netstat等命令等命令9）查看日志文件）查看日志文件/var/log/boot.log、/var/log/secure等等10）关闭）关闭nfs、sendmail等服务等服务11）进入）进入linux单用户模式单用户模式(想一想有什么问题？如何防止？）想一想有什么问题？如何防止？）实验要求将redhat9.0linux系统进行如下配我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置1、BIOS的安全设置的安全设置这是最基本的了，也是最简单的了。一定要给你的这是最基本的了，也是最简单的了。一定要给你的BIOS设置密码，设置密码，以防止通过在以防止通过在BIOS中改变启动顺序，而可以从软盘启动。这样可以阻止中改变启动顺序，而可以从软盘启动。这样可以阻止别有用心的试图用特殊的启动盘启动你的系统，还可以阻止别人进入别有用心的试图用特殊的启动盘启动你的系统，还可以阻止别人进入BIOS改动其中的设置，使机器的硬件设置不能被别人随意改动改动其中的设置，使机器的硬件设置不能被别人随意改动2、设置、设置grub启动口令启动口令grup负责引导主集中的操作系统，其安全性设置至关重要负责引导主集中的操作系统，其安全性设置至关重要（从（从grup或或lilo引导开始，可以进入引导开始，可以进入single模式，修改模式，修改root密码）密码）设置文件设置文件/boot/grub/grub.conf/boot/grub/grub.conf文件文件举例：举例：password12345titleRedHatLinux(2.4.20-8)lockroot(hd0,0)kernel/boot/vmlinuz-2.4.20-8roroot=LABEL=/initrd/boot/initrd-2.4.20-8.imglinux的安全设置1、BIOS的安全设置这是最基本我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置3、LILO的安全设置的安全设置LILO是是LinuxLoader的缩写，它是的缩写，它是LINUX的启动模块。可以通过修改的启动模块。可以通过修改“/etc/lilo.conf”文件中的内容来进行配置。在文件中的内容来进行配置。在/etc/lilo.conf文件中加如下面两个参文件中加如下面两个参数：数：restricted,password。可以使你的系统在启动。可以使你的系统在启动lilo时就要求密码验证。时就要求密码验证。第一步：编辑第一步：编辑lilo.conf文件（文件（vi/etc/f）,改变参数：改变参数：boot=/dev/hdamap=/boot/mapinstall=/boot/boot.bprompttimeout=00#把这行该为把这行该为00，这样系统启动时将不在等待，而直接启动，这样系统启动时将不在等待，而直接启动LINUXmessage=/boot/messagelineardefault=linuxrestricted#加入这行加入这行password=#加入这行并设置自己的密码加入这行并设置自己的密码image=/boot/vmlinuz-2.4.2-2label=linuxroot=/dev/hda6read-only第二步：因为第二步：因为“/etc/lilo.conf”文件中包含明文密码，所以要把它设置为文件中包含明文密码，所以要把它设置为root权限读取。权限读取。#chmod0600/etc/lilo.conf第三步：更新系统，以便对第三步：更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。文件做的修改起作用。#/sbin/lilo-v第四步：使用第四步：使用“chattr”命令使命令使/etc/lilo.conf文件变为不可改变。文件变为不可改变。#chattr+i/etc/lilo.conf这样可以在一定程度上防止对这样可以在一定程度上防止对“/etc/lilo.conf”任何改变（意外或其他原因）任何改变（意外或其他原因）linux的安全设置3、LILO的安全设置LILO是L我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置4、让口令更加安全、让口令更加安全1)要杜绝不设口令的帐号存在。这可以通过查看要杜绝不设口令的帐号存在。这可以通过查看/etc/passwd文件发现。例如，存在的文件发现。例如，存在的用户名为用户名为test的帐号，没有设置口令，则在的帐号，没有设置口令，则在/etc/passwd文件中就有如下一行：文件中就有如下一行：test:100:9:/home/test:/bin/bash其第二项为空，说明其第二项为空，说明test这个帐号没有设置口令，这是非常危险的！应将该类帐号删这个帐号没有设置口令，这是非常危险的！应将该类帐号删除或者设置口令。除或者设置口令。2)在旧版本的在旧版本的linux中，在中，在/etc/passwd文件中是包含有加密的密码的，这就给系统的文件中是包含有加密的密码的，这就给系统的安全性带来了很大的隐患，最简单的方法就是可以用暴力破解的方法来获得口令。可以使安全性带来了很大的隐患，最简单的方法就是可以用暴力破解的方法来获得口令。可以使用命令用命令/usr/sbin/pwconv或者或者/usr/sbin/grpconv来建立来建立/etc/shadow或者或者/etc/gshadow文文件，这样在件，这样在/etc/passwd文件中不再包含加密的密码，而是放在文件中不再包含加密的密码，而是放在/etc/shadow文件中，该文文件中，该文件只有超级用户件只有超级用户root可读可读chattr命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。命令给下面的文件加上不可更改属性，从而防止非授权用户获得权限。#chattr+i/etc/passwd#chattr+i/etc/shadow#chattr+i/etc/group#chattr+i/etc/gshadow3)修改一些系统帐号的修改一些系统帐号的Shell变量，例如变量，例如uucp,ftp和和news等，还有一些仅仅需要等，还有一些仅仅需要FTP功功能的帐号，一定不要给他们设置能的帐号，一定不要给他们设置/bin/bash或者或者/bin/sh等等Shell变量。可以在变量。可以在/etc/passwd中将它们的中将它们的Shell变量置空，例如设为变量置空，例如设为/bin/false或者或者/dev/null等，也可以使用等，也可以使用usermod-s/dev/nullusername命令来更改命令来更改username的的Shell为为/dev/null。这样使用这些帐号将。这样使用这些帐号将无法无法Telnet远程登录到系统中来远程登录到系统中来4)修改缺省的密码长度：在你安装修改缺省的密码长度：在你安装linux时默认的密码长度是时默认的密码长度是5个字节。但这并不够，个字节。但这并不够，要把它设为要把它设为8。修改最短密码长度需要编辑。修改最短密码长度需要编辑login.defs文件（文件（vi/etc/login.defs），把），把下面这行下面这行:PASS_MIN_LEN5改为改为PASS_MIN_LEN8login.defs文件是文件是login程序的配置文件。程序的配置文件。linux的安全设置4、让口令更加安全1)要杜绝不我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置5、自动注销帐号的登录、自动注销帐号的登录 在在unix系统中系统中root账户是具有最高特权的。如果系统管理员在离开系统之前账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销忘记注销root账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修改账户中改账户中“TMOUT”参数，可以实现此功能。参数，可以实现此功能。TMOUT按秒计算。编辑你的按秒计算。编辑你的profile文件（文件（vi/etc/profile）,在在“HISTFILESIZE”行后面加入下面这行：行后面加入下面这行：TMOUT=300300，表示，表示300秒，也就是表示秒，也就是表示5分钟。这样，如果系统中登陆的用户在分钟。这样，如果系统中登陆的用户在5分分钟内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的钟内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。文件中添加该值，以便系统对该用户实行特殊的自动注销时间。改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。6、取消普通用户的控制台访问权限、取消普通用户的控制台访问权限 你应该取消普通用户的控制台访问权限，比如你应该取消普通用户的控制台访问权限，比如shutdown、reboot、halt等等命令。命令。#rm-f/etc/security/console.apps/是你要注销的程序名。是你要注销的程序名。linux的安全设置5、自动注销帐号的登录在uni我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置7、关闭所有不用的服务、关闭所有不用的服务:取消所有不用的服务，这样你的担心就会少很多。察看取消所有不用的服务，这样你的担心就会少很多。察看“/etc/xinetd.conf”文件，文件，通过注释取消所有你不需要的服务（在该服务项目之前加一个通过注释取消所有你不需要的服务（在该服务项目之前加一个“#”）。然后用）。然后用“sighup”命令升级命令升级“xinetd.conf”文件。文件。第一步：更改第一步：更改“/etc/xinetd.conf”权限为权限为600，只允许，只允许root来读写该文件。来读写该文件。#chmod600/etc/inetd.conf第二步：确定第二步：确定“/etc/xinetd.conf”文件所有者为文件所有者为root。第三步：编辑第三步：编辑/etc/xinetd.conf文件（文件（vi/etc/xinetd.conf），），取消下列服务（你不需要的）：取消下列服务（你不需要的）：ftp,telnet,shell,login,exec,talk,ntalk,imap,pop-2,pop-3,finger,auth等等。等等。把不需要的服务关闭可以使系统的危险性降低很多。把不需要的服务关闭可以使系统的危险性降低很多。第四步：给第四步：给xinetd进程发送一个进程发送一个HUP信号：信号：#killall-HUPinetd第五步：用第五步：用chattr命令把命令把/ec/xinetd.conf文件设为不可修改，这样就没人可以修改它：文件设为不可修改，这样就没人可以修改它：#chattr+i/etc/xinetd.conf这样可以防止对这样可以防止对xinetd.conf的任何修改（以外或其他原因）。唯一可以取消这个属性的任何修改（以外或其他原因）。唯一可以取消这个属性的人只有的人只有root。如果要修改。如果要修改xinetd.conf文件，首先要是取消不可修改性质：文件，首先要是取消不可修改性质：#chattr-i/etc/xinetd.conf别忘了再把它的性质改为不可修改的别忘了再把它的性质改为不可修改的(用用ssh/cfp代替代替telnet/ftpvsftp代替代替wuftp)(8.x版本后修改版本后修改/etc/xinetd.d目录的文件，目录的文件，ntsysv命令也可关闭服务命令也可关闭服务）linux的安全设置7、关闭所有不用的服务:取消所有不我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置8、TCP_WRAPPERS使用使用TCP_WRAPPERS可以使你的系统安全面对外部入侵。最好的策可以使你的系统安全面对外部入侵。最好的策略就是阻止所有的主机（略就是阻止所有的主机（“/etc/hosts.deny”文件中加入文件中加入“ALL:ALLALL,PARANOID”），然后再在），然后再在“/etc/hosts.allow”文件中加文件中加入所有允许访问的主机列表。入所有允许访问的主机列表。第一步：编辑第一步：编辑hosts.deny文件（文件（vi/etc/hosts.deny），加入下面这行），加入下面这行#Denyaccesstoeveryone.ALL:ALLALL,PARANOID这表明除非该地址包在允许访问的主机列表中，否则阻塞所有的服这表明除非该地址包在允许访问的主机列表中，否则阻塞所有的服务和地址。务和地址。第二步：第二步：编辑编辑hosts.allow文件（文件（vi/etc/hosts.allow），加入允许访），加入允许访问的主机列表，问的主机列表，比如：比如：ftp:202.54.15.99和和是允许访问是允许访问ftp服务的服务的ip地址和主机名称。地址和主机名称。第三步：第三步：tcpdchk程序是程序是tcpdwrapper设置检查程序。它用来检查你的设置检查程序。它用来检查你的tcpwrapper设置，并报告发现的潜在的和真实的问题。设置完后，运行下面设置，并报告发现的潜在的和真实的问题。设置完后，运行下面这个命令：这个命令：#tcpdchklinux的安全设置8、TCP_WRAPPERS使我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置9、修改修改“/etc/host.conf”文件，防止文件，防止IP欺骗欺骗“/etc/host.conf”说明了如何解析地址。编辑说明了如何解析地址。编辑“/etc/host.conf”文件（文件（vi/etc/host.conf），加入下面这行：），加入下面这行：#LookupnamesviaDNSfirstthenfallbackto/etc/hosts.orderbind,hosts#WehavemachineswithmultipleIPaddresses.multion#CheckforIPaddressspoofing.nospoofon第一项设置首先通过第一项设置首先通过DNS解析解析IP地址，然后通过地址，然后通过hosts文件解析。文件解析。第二项设置检测是否第二项设置检测是否“/etc/hosts”文件中的主机是否拥有多个文件中的主机是否拥有多个IP地址地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的电子欺骗电子欺骗。10、使、使“/etc/services”文件免疫文件免疫使使“/etc/services”文件免疫，防止未经许可的删除或添加服务：文件免疫，防止未经许可的删除或添加服务：#chattr+i/etc/serviceslinux的安全设置9、修改“/etc/host.conf”我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置11、不允许从不同的控制台进行、不允许从不同的控制台进行root登陆登陆/etc/securetty文件允许你定义文件允许你定义root用户可以从那个用户可以从那个TTY设备登陆。你设备登陆。你可以编辑可以编辑/etc/securetty文件，再不需要登陆的文件，再不需要登陆的TTY设备前添加设备前添加“#”标志，标志，来禁止从该来禁止从该TTY设备进行设备进行root登陆。登陆。在在/etc/inittab文件中有如下一段话：文件中有如下一段话：#Run gettys in standard runlevels 1:2345:respawn:/sbin/mingetty tty1 2:2345:respawn:/sbin/mingetty tty2#3:2345:respawn:/sbin/mingetty tty3#4:2345:respawn:/sbin/mingetty tty4#5:2345:respawn:/sbin/mingetty tty5#6:2345:respawn:/sbin/mingetty tty6 系统默认的可以使用系统默认的可以使用6个控制台，即个控制台，即Alt+F1,Alt+F2.，这里在，这里在3，4，5，6前面加上前面加上“#”，注释该句话，这样现在只有两个控制台可供使用，最好保留，注释该句话，这样现在只有两个控制台可供使用，最好保留两个。然后重新启动两个。然后重新启动init进程，改动即可生效！进程，改动即可生效！linux的安全设置11、不允许从不同的控制台进行root登我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置12、使用、使用PAM（可插拔认证模块）禁止任何人通过（可插拔认证模块）禁止任何人通过su命令命令改变为改变为root用户用户su(SubstituteUser替代用户替代用户)命令允许你成为系统中其他已存在的用命令允许你成为系统中其他已存在的用户。如果你不希望任何人通过户。如果你不希望任何人通过su命令改变为命令改变为root用户或对某些用户限制用户或对某些用户限制使用使用su命令，你可以在命令，你可以在su配置文件（在配置文件（在/etc/pam.d/目录下）的开头目录下）的开头添加下面两行：添加下面两行：编辑编辑su文件文件(vi/etc/pam.d/su)，在开头添加下面两行：，在开头添加下面两行：authsufficient/lib/security/pam_rootok.soauthrequired/lib/security/Pam_wheel.sogroup=wheel这表明只有这表明只有wheel组的成员可以使用组的成员可以使用su命令成为命令成为root用户。你可以用户。你可以把用户添加到把用户添加到“wheel”组，以使它可以使用组，以使它可以使用su命令成为命令成为root用户。添加用户。添加方法可以用这个命令：方法可以用这个命令：usermodGwheelusername。linux的安全设置12、使用PAM（可插拔认证模块）禁止任我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置13、ShellloggingBashshell在在“/.bash_history”（“/”表示用户目录）文件中保存了表示用户目录）文件中保存了500条使用条使用过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个用户在他的目录下都有一个“.bash_history”文件。文件。bashshell应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。第一步：第一步：“/etc/profile”文件中的文件中的“HISTFILESIZE”和和“HISTSIZE”行确定所有用户行确定所有用户的的“.bash_history”文件中可以保存的旧命令条数。强烈建议把把文件中可以保存的旧命令条数。强烈建议把把“/etc/profile”文件中的文件中的“HISTFILESIZE”和和“HISTSIZE”行的值设为一个较小行的值设为一个较小的数，比如的数，比如30。编辑。编辑profile文件（文件（vi/etc/profile），把下面这行改为：），把下面这行改为：HISTFILESIZE=30HISTSIZE=30这表示每个用户的这表示每个用户的“.bash_history”文件只可以保存文件只可以保存30条旧命令。条旧命令。第二步：第二步：网管还应该在网管还应该在/etc/skel/.bash_logout文件中添加下面这行文件中添加下面这行rm-f$HOME/.bash_history。这样，当用户每次注销时，。这样，当用户每次注销时，“.bash_history”文件都文件都会被删除。会被删除。编辑编辑.bash_logout文件文件(vi/etc/skel/.bash_logout)，添加下面这行：，添加下面这行：rm-f$HOME/.bash_historylinux的安全设置13、ShellloggingBas我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置14、禁止、禁止Control-Alt-Delete键盘关闭命令键盘关闭命令在在“/etc/inittab”文件中注释掉下面这行（使用文件中注释掉下面这行（使用#）：）：ca:ctrlaltdel:/sbin/shutdown-t3-rnow改为：改为：#ca:ctrlaltdel:/sbin/shutdown-t3-rnow为了使这项改动起作用，执行下面这个命令：为了使这项改动起作用，执行下面这个命令：#initq15、给、给/etc/rc.d/init.d下下script文件设置权限文件设置权限给执行或关闭启动时执行的程序的给执行或关闭启动时执行的程序的script文件设置权限。文件设置权限。#chmod-R700/etc/rc.d/init.d/*这表示只有这表示只有root才允许读、写、执行该目录下的才允许读、写、执行该目录下的script文件。文件。linux的安全设置14、禁止Control-Alt-Del我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置16、隐藏系统信息、隐藏系统信息在缺省情况下，当你登陆到在缺省情况下，当你登陆到linux系统，它会告诉你该系统，它会告诉你该linux发行版的名称、版发行版的名称、版本、内核版本、服务器的名称。对于黑客来说这些信息足够它入侵你的系统了。本、内核版本、服务器的名称。对于黑客来说这些信息足够它入侵你的系统了。你应该只给它显示一个你应该只给它显示一个“login:”提示符。提示符。首先编辑首先编辑/etc/rc.d/rc.local文件，在下面显示的这些行前加一个文件，在下面显示的这些行前加一个“#”，把输出信息的命令注释掉。把输出信息的命令注释掉。#Thiswilloverwrite/etc/issueateveryboot.So,makeanychangesyou#wanttomaketo/etc/issuehereoryouwilllosethemwhenyoureboot.#echo/etc/issue#echo$R/etc/issue#echoKernel$(uname-r)on$a$(uname-m)/etc/issue#cp-f/etc/issue/etc/#echo/etc/issue其次删除其次删除/etc目录下的目录下的“”和和issue文件：文件：#rm-f/etc/issue#rm-f/etc/linux的安全设置16、隐藏系统信息在缺省情况下我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置17、禁止不使用的、禁止不使用的SUID/SGID程序程序如果一个程序被设置成了如果一个程序被设置成了SUIDroot，那么普通用户就可以以，那么普通用户就可以以root身身份来运行这个程序。网管应尽可能的少使用份来运行这个程序。网管应尽可能的少使用SUID/SGID程序，禁止所有程序，禁止所有不必要的不必要的SUID/SGID程序。程序。查找查找root-owned程序中使用程序中使用s位的程序：位的程序：#find/-typef(-perm-04000-o-perm-02000)-execls-lg;用下面命令禁止选中的带有用下面命令禁止选中的带有s位的程序：位的程序：#chmoda-sprogram18、阻止、阻止ping如果没人能如果没人能ping通你的系统，安全性自然增加了。通你的系统，安全性自然增加了。#echo1/proc/sys/net/ipv4/icmp_echo_ignore_alllinux的安全设置17、禁止不使用的SUID/SGID程序我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置19、防止、防止DoS攻击攻击对系统所有的用户设置资源限制可以防止对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程类型攻击。如最大进程数和内存使用数量等。数和内存使用数量等。例如，可以在例如，可以在/etc/security/limits.conf中添加如下几行：中添加如下几行：hardcore0hardrss5000hardnproc20然后必须编辑然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。文件检查下面一行是否存在。sessionrequired/lib/security/pam_limits.so没有就自己添加没有就自己添加上面的命令禁止调试文件，限制进程数为上面的命令禁止调试文件，限制进程数为50并且限制内存使用为并且限制内存使用为5MB。20、nfs的安全的安全:如果你使用如果你使用NFS网络文件系统服务，那么确保你的网络文件系统服务，那么确保你的/etc/exports具有具有最严格的存取权限设置，不意味着不要使用任何通配符，不允许最严格的存取权限设置，不意味着不要使用任何通配符，不允许root写权写权限，限，mount成只读文件系统。编辑文件成只读文件系统。编辑文件/etc/exports并且加：例如：并且加：例如：/dir/to/(ro,root_squash)/dir/to/(ro,root_squash)/dir/to/export是你想输出的目录，是你想输出的目录，是登录这是登录这个目录的机器名，个目录的机器名，ro意味着意味着mount成只读系统，成只读系统，root_squash禁止禁止root写写入该目录。为了让上面的改变生效，运行入该目录。为了让上面的改变生效，运行/usr/sbin/exportfs-alinux的安全设置19、防止DoS攻击对系统所有的我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置21.特别的帐号特别的帐号禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上禁止所有默认的被操作系统本身启动的且不需要的帐号，当你第一次装上系统时就应该做此检查，系统时就应该做此检查，Linux提供了各种帐号，你可能不需要，如果你不需提供了各种帐号，你可能不需要，如果你不需要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。要这个帐号，就移走它，你有的帐号越多，就越容易受到攻击。删除你系统上的用户，用命令：删除你系统上的用户，用命令：#userdelusername删除你系统上的组用户帐号，用命令：删除你系统上的组用户帐号，用命令：#groupdelusername在终端上打入下面的命令删掉下面的用户。在终端上打入下面的命令删掉下面的用户。#userdeladm#userdellp#userdelsync#userdelshutdown#userdelhalt#userdelmail如果你不用如果你不用sendmail服务器，服务器，procmail.mailx,就删除这个帐号。就删除这个帐号。#userdelnews#userdeluucp#userdeloperator#userdelgames如果你不用如果你不用Xwindows服务器，就删掉这个帐号。服务器，就删掉这个帐号。#userdelgopher#userdelftp如果你不允许匿名如果你不允许匿名FTP，就删掉这个用户帐号。，就删掉这个用户帐号。打入下面的命令删除组帐号打入下面的命令删除组帐号#groupdeladm#groupdellp#groupdelmail如不用如不用Sendmail服务器，删除这个组帐号服务器，删除这个组帐号#groupdelnews#groupdeluucp#groupdelgames如你不用如你不用XWindows，删除这个组帐号，删除这个组帐号#groupdeldip#groupdelpppusers#groupdelpopusers如果你不用如果你不用POP服务器，删除这个组帐号服务器，删除这个组帐号#groupdelslipuserslinux的安全设置21.特别的帐号禁止所有我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物linux的安全设置的安全设置22、安装补丁、安装补丁由于各种由于各种linux厂商的分版不同，我们建议您访问厂商的分版不同，我们建议您访问redhat相关主页获取信息相关主页获取信息ftp:/ 网卡配置文件网卡配置文件:/etc/sysconfig/networking/devices/ifcfg-eth0ifconfig和和routeifconfig配置配置ip子网掩码子网掩码route配置网关配置网关修改修改/etc/resolv.conf配置配置Linux的的DNS的客户端的客户端修改修改/etc/hosts实现实现Linux的静态地址解析的静态地址解析配置TCP/IP网络网卡配置文件:/etc/syscon我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物ifconfigifconfig是是Linux系统中最常用的一个用来显示和设置网络设备的工具。系统中最常用的一个用来显示和设置网络设备的工具。“if”是是“interface”的缩写。可以用来设置网卡的缩写。可以用来设置网卡ip，或是显示当前的状态。，或是显示当前的状态。1）将第一块网卡的）将第一块网卡的IP地址设置为地址设置为192.168.0.1：ifconfigeth0192.168.0.1（格式：（格式：ifconfig网络设备名网络设备名IP地址）地址）2）暂时关闭或启用网卡：）暂时关闭或启用网卡：关闭第一块网卡：关闭第一块网卡：ifconfigeth0down启用第一块网卡：启用第一块网卡：ifconfigeth0up3）将第一块网卡的子网掩码设置为）将第一块网卡的子网掩码设置为255.255.255.0：ifconfigeth0netmask255.255.255.0（格式：（格式：ifconfig网络设备名网络设备名netmask子网掩码）子网掩码）我们也可以同时设置我们也可以同时设置IP地址和子网掩码：地址和子网掩码：ifconfigeth0192.168.0.1netmask255.255.255.04）将第一块网卡的广播地址设置为）将第一块网卡的广播地址设置为192.168.0.255：ifconfigeth0-broadcast192.168.0.2555）查看第一块网卡的状态：）查看第一块网卡的状态：ifconfigeth0如果要查看所有的网卡状态，则直接使用不带参数的如果要查看所有的网卡状态，则直接使用不带参数的ifconfig命令即可。命令即可。简单说明一下几个比较重要的状态：简单说明一下几个比较重要的状态：UP/DOWN：网卡是否启动了，如果是：网卡是否启动了，如果是DOWN的话，那肯定无法用的；的话，那肯定无法用的；RXpackets中的中的errors包的数量如果过大说明网卡在接收时有问题；包的数量如果过大说明网卡在接收时有问题；TXpackets中的中的errors包的数量如果过大说明网卡在发送时有问题；包的数量如果过大说明网卡在发送时有问题；ifconfigifconfig是Linux系统中最常用的我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物routerouteroute命令是用来查看和设置命令是用来查看和设置Linux系统的路由信息，以实现与其它系统的路由信息，以实现与其它网络的通讯。要实现两个不同的子网之间的网络通讯，需要一台连网络的通讯。要实现两个不同的子网之间的网络通讯，需要一台连接两个网络路由器或者同时位于两个网络的网关来实现。接两个网络路由器或者同时位于两个网络的网关来实现。在在Linux系统中，我们通常设置路由是为了解决以下问题：该系统中，我们通常设置路由是为了解决以下问题：该Linux机器在一个局域网中，局域网中有一个网关，能够让你的机器机器在一个局域网中，局域网中有一个网关，能够让你的机器访问访问Internet，那么我们就需要将这台机器的，那么我们就需要将这台机器的IP地址设置为地址设置为Linux机机器的默认路由。器的默认路由。1）增加一个默认路由）增加一个默认路由(默认网关默认网关)：routeadd0.0.0.0gw网关地址网关地址2）删除一个默认路由：）删除一个默认路由：routedel0.0.0.0gw网关地址网关地址3）显示出当前路由表）显示出当前路由表routerouteroute命令是用来查看和设置Lin我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物LINUX的一些主要服务：apmd 笔记本需要笔记本需要 xntpd 网络时间协议网络时间协议 portmap 运行运行 rpc 服务必需服务必需 sound 声卡相关声卡相关 netfs nfs 客户端客户端 rstatd 避免运行避免运行 r 服务，远程用户可以从中获取很多信息服务，远程用户可以从中获取很多信息 rusersd rwhod rwalld bootparamd 无盘工作站无盘工作站 squid 代理服务代理服务 yppasswdd NIS 服务器，此服务漏洞很多服务器，此服务漏洞很多 ypserv NIS 服务器，此服务漏洞很多服务器，此服务漏洞很多 dhcpd dhcp 服务服务 atd 和和 cron 很相似的定时运行程序的服务很相似的定时运行程序的服务 pcmcia pcmcia 卡，笔记本卡，笔记本 snmpd SNMP，远程用户能从中获得许多系统信息，远程用户能从中获得许多系统信息 LINUX的一些主要服务：apmd我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物LINUX的一些主要服务：的一些主要服务：namedDNS服务服务routedRIP，没有必要就别运行它，没有必要就别运行它lpd打印服务打印服务mars-nweNetware的文件和打印服务的文件和打印服务nfsNFS服务器，漏洞极多服务器，漏洞极多amdautomount，mount远程用的远程用的gated另外一种路由服务，例如另外一种路由服务，例如OSPFsendmail邮件服务，如关闭，仍可发信，不能作中继邮件服务，如关闭，仍可发信，不能作中继httpdWeb服务器服务器ypbindNIS客户端客户端xfsXfont服务器服务器inndNews服务器服务器sshd安全的安全的telnet服务服务vsftpdftp服务服务webminlinux的的web管理工具管理工具linuxconf通过浏览器远程管理系统用的通过浏览器远程管理系统用的LINUX的一些主要服务：named我吓了一跳，蝎子是多么丑恶和恐怖的东西，为什么把它放在这样一个美丽的世界里呢？但是我也感到愉快，证实我的猜测没有错：表里边有一个活的生物管理守护进程管理守护进程 使用使用service命令管理守护进程命令管理守护进程lservice service 进程名称进程名称 start|stop|restart start|stop|restart 使用使用ntsysvntsysv命令命令管理守护进程在启动时运行管理守护进程在启动时运行 管理守护进程使用service命令管理守护进程