Linux 1 系統(tǒng)安全常規(guī)優(yōu)化1_第1頁
Linux 1 系統(tǒng)安全常規(guī)優(yōu)化1_第2頁
Linux 1 系統(tǒng)安全常規(guī)優(yōu)化1_第3頁
Linux 1 系統(tǒng)安全常規(guī)優(yōu)化1_第4頁
Linux 1 系統(tǒng)安全常規(guī)優(yōu)化1_第5頁
已閱讀5頁,還剩4頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1、第5章 強(qiáng)化Linux安全文件系統(tǒng)級安全控制合理規(guī)劃系統(tǒng)分區(qū)/boot、/home、/var、/opt 等建議單獨(dú)分區(qū)/etc/exports/tmp 1.1.1.1 (ro,root_squash)TCP_WRAPPERS默認(rèn)允許所有服務(wù)請求,在/etc/hosts.deny:ALL:ALLALL,PARANOID/etc/hosts.allow,加入允許訪問的計算機(jī):sshd:1.1.1.2in.telnetd:1.1.1.2/etc/host.conf文件nospoof設(shè)成on,禁止IP欺騙。以root登陸時,自動壓縮成匿名使用者nospoof在執(zhí)行了一個主機(jī)地址的查詢之后, resol

2、v+ 會對該地址執(zhí)行一次主機(jī)名的查詢. 如果兩者不匹配, 查詢即失敗2安全使用應(yīng)用程序和服務(wù)關(guān)閉不需要的系統(tǒng)服務(wù)使用ntsysv、chkconfig管理工具chattr +i /etc/services禁止普通用戶執(zhí)行init.d目錄中的腳本限制“other”組的權(quán)限chmod R 700 /etc/rc.d/init.d/禁止普通用戶執(zhí)行控制臺程序consolehelper控制臺助手配置目錄:/etc/security/console.apps/rootlocalhost # cd /etc/security/console.apps/rootlocalhost # rm rf halt r

3、eboot3安全使用應(yīng)用程序和服務(wù)Syslog系統(tǒng)日志工具 /etc/syslog.conf服務(wù)名.優(yōu)先級 日志存放路徑查找程序文件中非必需的set位權(quán)限set uid、set gid的用途?有何隱患?如何找出設(shè)置了set位權(quán)限的文件?rootlocalhost # find / -type f -perm +6000 -exec ls -lh ;rootlocalhost # ls -lh $(find / -type f -perm +6000)4附加權(quán)限SET位權(quán)限主要用途: 為可執(zhí)行(有 x 權(quán)限的)文件設(shè)置,權(quán)限字符為“s” 其他用戶執(zhí)行該文件時,將擁有屬主或?qū)俳M用戶的權(quán)限SET位權(quán)

4、限類型: SUID:表示對屬主用戶增加SET位權(quán)限 SGID:表示對屬組內(nèi)的用戶增加SET位權(quán)限r(nóng)ootlocalhost # ls -l /usr/bin/passwd-rwsr-xr-x 1 root root 19876 2006-07-17 /usr/bin/passwd普通用戶以root用戶的身份,間接更新了shadow文件中自己的密碼應(yīng)用示例:/usr/bin/passwd注意:不要輕易為可執(zhí)行文件設(shè)置SET位權(quán)限,特別是對于那些屬主、屬組是root的執(zhí)行程序,使用SET位權(quán)限時更應(yīng)該慎重。5Find用法-type 按類型;-name 按文件名字查找-size 按大小查找 -exe

5、c: 對匹配的文件執(zhí)行該參數(shù)所給出的shell命令。相應(yīng)命令的形式為command ;,注意 和;之間的空格。如:# find . -type f -exec ls -l ;-perm 按文件權(quán)限模式來查找。如:$ find . -type f -perm 644 -exec ls -l ;-nouser/nogroup:查找無有效所主/組的文件。6查找沒有屬主的文件查找.rhosts文件rootlocalhost # find / -nouser o -nogrouprootlocalhost # find / -name .rhosts7安全使用應(yīng)用程序和服務(wù)使系統(tǒng)對ping沒有反應(yīng)添加到

6、/etc/rc.d/rc.local禁止源路由欺騙(ip source routing)rootlocalhost # echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_allrootlocalhost # echo 0 /proc/sys/net/ipv4/icmp_echo_ignore_all恢復(fù):for f in /proc/sys/net/ipv4/conf/*/accept_source_route:doecho 0 $fdone8安全使用應(yīng)用程序和服務(wù)使TCP SYN Cookies保護(hù)生效防SYN拒絕服務(wù)攻擊(Dos)資源限制/etc/security/limits.conf/etc/pam.d/login# echo 1 /proc/sys/net/ipv4/tcp_

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論