资深Linux系统管理员网络安全经验谈(1)

原创 2007年09月24日 21:31:00
 
  关于分区
  
  一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,这种攻击可以轻易使得一个匿名的Internet用户有机会获得一台主机的部分或全部的控制权!
  
  为了防止此类攻击,我们从安装系统时就应该注意。如果用root分区纪录数据,如 log文件和email,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃。所以建议为/var开辟单独的分区,用来存放日志和邮件,以避免 root分区被溢出。最好为特殊的应用程序单独开一个分区,特别是可以产生大量日志的程序,还有建议为/home单独分一个区,这样他们就不能填满/分区了,从而就避免了部分针对Linux分区溢出的恶意攻击。
  
  关于BIOS
  
  记着要在BIOS设置中设定一个BIOS密码,不接收软盘启动。这样可以阻止不怀好意的人用专门的启动盘启动你的Linux系统,并避免别人更改BIOS设置,如更改软盘启动设置或不弹出密码框直接启动服务器等等。
  
  关于口令
  
  口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测攻击,可增加口令的最小长度,至少等于8。为此,需修改文件/etc/login.defs中参数PASS_MIN_LEN(口令最小长度)。同时应限制口令使用时间,保证定期更换口令,建议修改参数PASS_MIN_DAYS(口令使用时间)。
  
  关于Ping
  
  既然没有人能ping通你的机器并收到响应,你可以大大增强你的站点的安全性。你可以加下面的一行命令到/etc/rc.d/rc.local,以使每次启动后自动运行,这样就可以阻止你的系统响应任何从外部/内部来的ping请求。
  
  echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
  
    
  
  关于Telnet
  
  如果你希望用户用Telnet远程登录到你的服务器时不要显示操作系统和版本信息(可以避免有针对性的漏洞攻击),你应该改写/etc/inetd.conf中的一行象下面这样:
  
  telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd -h
  
  加-h标志在最后使得telnet后台不要显示系统信息,而仅仅显示login。
  
  关于特权账号
  
  禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。
  
  为删除你系统上的用户,用下面的命令:userdel username
  
  为删除你系统上的组用户帐号,用下面的命令:groupdel username
  
  在终端上打入下面的命令删掉下面的特权用账号:
  
  userdel adm
  
  userdel lp
  
  userdel sync
  
  userdel shutdown
  
  userdel halt
  
  userdel mail
  
    
  
  如果你不用sendmail服务器,就删除这几个帐号:
  
  userdel news
  
  userdel uucp
  
  userdel operator
  
  userdel games
  
    
  
  如果你不用X windows 服务器,就删掉这个帐号。
  
  userdel gopher
  
  如果你不允许匿名FTP,就删掉这个用户帐号:
  
  userdel ftp
  
    
  
  关于su命令
  
  如果你不想任何人能够su为root的话,你应该编辑/etc/pam.d/su文件,加下面几行:
  
  auth sufficient /lib-
  
  /security/pam_rootok-
  
  .so debug
  
  auth required /lib-
  
  /security/pam_wheel-
  
  .so group=isd
  
    
  
  这意味着仅仅isd组的用户可以su作为root。如果你希望用户admin能su作为root.就运行下面的命令:
  
  usermod -G10 admin
  
    
  
  suid程序也是非常危险的,这些程序被普通用户以euid=0(即root)的身份执行,只能有少量程序被设置为suid。用这个命令列出系统的suid二进制程序:
  
  suneagle# find / -perm -4000 -print
  
  你可以用chmod -s去掉一些不需要程序的suid位。
  
  关于账户注销
  
  如果系统管理员在离开系统时忘了从root注销,系统应该能够自动从shell中注销。那么,你就需要设置一个特殊的 Linux 变量“tmout”,用以设定时间。同样,如果用户离开机器时忘记了注销账户,则可能给系统安全带来隐患。你可以修改/etc/profile文件,保证账户在一段时间没有操作后,自动从系统注销。 编辑文件/etc/profile,在“histfilesize=”行的下一行增加如下一行:
  
  tmout=600   
  
  则所有用户将在10分钟无操作后自动注销。注意:修改了该参数后,必须退出并重新登录root,更改才能生效。 

资深Linux系统管理员网络安全经验谈(2)

关于系统文件     对于系统中的某些关键性文件如passwd、passwd.old、passwd._、shadow、shadown._、inetd.conf、services和lilo.conf等可...
  • yeqihong
  • yeqihong
  • 2007年09月24日 21:33
  • 569

Linux系统管理员网络安全经验谈

一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为 严重的是,缓冲区溢出漏洞占了远程网络攻击的绝大多数,...
  • pet_products
  • pet_products
  • 2010年07月06日 09:16
  • 127

Linux网络安全之经验谈

关于分区  一个潜在的黑客如果要攻击你的Linux服务器,他首先就会尝试缓冲区溢出。在过去的几年中,以缓冲区溢出为类型的安全漏洞是最为常见的一种形式了。更为严重的是,缓冲区溢出漏洞占了远程网络攻击的绝...
  • geyu
  • geyu
  • 2006年11月02日 20:16
  • 332

linux网络安全

一、安装Centos 二、Linux网络网络环境设置 a.配置linux与客户机相连通 b.配置linux上网 三、Yum详解 yum 的基本操作 a.使用 yum 安装新软件 yum...
  • u013013553
  • u013013553
  • 2015年04月02日 14:06
  • 1277

Linux系统管理员面试50题

命令nslookup是做什么的? Nslookup 是一个 监测网络中 DNS 服务器是否能正确实现域名解析的命令行工具。 你如何把CPU占用率最高的进程显示出来? top -c 按照cp...
  • xiaoyida11
  • xiaoyida11
  • 2016年09月26日 22:13
  • 845

资深Linux程序员的开发经验谈

Sppence Murray 是 Linux 开发高手之一,同时长期以来他一直是 UNIX 的坚定支持者。本文介绍的是 Murray 和他在 Codemonks Consulting 的同事在日常的 ...
  • Slancer
  • Slancer
  • 2007年07月14日 23:21
  • 553

企业Linux系统管理员常用命令大全实例解析(1)

作为一名Linux系统管理员,熟悉并熟练运用一些常用的命令是必不可少的,对设备即文件的Linux系统来说,Linux系统管理的命令是它正常运行的核心。笔者根据实际工作总结一些常用指令,附上一些相对常见...
  • Field_Yang
  • Field_Yang
  • 2016年04月11日 14:13
  • 661

网络安全 之 iptables 防火墙

防火墙简介:                        要防止遭受网络攻击,掌握一种网络访问控制工具的使用是至关重要的,而netfilter/iptables是集成在Linux2.4.X版本内...
  • caofengtao1314
  • caofengtao1314
  • 2016年11月02日 13:48
  • 274

Linux网络安全策略

原贴:http://blog.chinaunix.net/u/26011/showart_327300.html ...
  • chinalinuxzend
  • chinalinuxzend
  • 2007年09月27日 01:24
  • 913

网络安全书籍推荐

推荐一些关于编程与黑客的书籍 2011-07-28 17:39:26 分类: LINUX http://blog.chinaunix.net/uid-20586655-...
  • nklinux
  • nklinux
  • 2014年03月29日 11:49
  • 2746
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:资深Linux系统管理员网络安全经验谈(1)
举报原因:
原因补充:

(最多只允许输入30个字)