关于服务器安全配置总结了以下几点:
1、删除不需要的安全和组;
2、关闭不需要的服务;
3、非root用户执行/etc/rc.d/init.d/下的系统命令;
chmod -R 700 /etc/rc.d/init.d/*
< Init进程是系统启动之后的第一个用户进程,所以它的pid(进程编号)始终为1。init进程上来首先做的事是去读取/etc/目录下inittab文件中initdefault id值,这个值称为运行级别(run-level)。它决定了系统启动之后运行于什么级别。运行级别决定了系统启动的绝大部分行为和目的。这个级别从0到6 ,具有不同的功能。不同的运行级定义如下:
# 0 - 停机(千万别把initdefault设置为0,否则系统永远无法启动)
# 1 - 单用户模式
# 2 - 多用户,没有 NFS
# 3 - 完全多用户模式(标准的运行级)
# 4 – 系统保留的
# 5 - X11 (x window)
# 6 - 重新启动 (不要把initdefault 设置为6,否则将一直在重启 )>
4、服务器禁止 ping ;
修改 /etc/rc.d/rc.local 在文件末尾增加下面这一行echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
参数0表示允许 1 表示禁止
5、防止IP 欺骗
如果是要root用户能够在rlogin时不输入密码(即建立信任机制)的话就要在.rhosts文件中加入对方hostname
而普通用户要建立信任机制只要在/etc/hosts.equiv中加入对方的hostname就可以了;
6、禁止root直接登录,指定某用户可以su到root
指定用户可以su 到root:/etc/pam.d/su 放开指定用户所在组的的注释..
禁止root远程登录:/etc/ssh/sshd_config 修改为PermitRootLogin no
7、不能存在弱口令,口令最长生存期90天
8、设置口令错误次数则暂时不能登录
9、防火墙配置
/etc/init.d/iptables stop 关闭防火墙
10、更改关键服务默认端口 隐藏版本等信息