Linux配置系统网络教程,Linux系统网络安全配置基础详解

最新推荐文章于 2024-05-27 17:17:53 发布
最新推荐文章于 2024-05-27 17:17:53 发布
阅读量223 收藏
点赞数
文章标签: Linux配置系统网络教程

Linux安全配置步骤简述

一、磁盘分区

◆1、如果是新安装系统,对磁盘分区应考虑安全性:

(1)根目录(/)、用户目录(/home)、临时目录(/tmp)和/var目录应分开到不同的磁盘分区;

(2)以上各目录所在分区的磁盘空间大小应充分考虑,避免因某些原因造成分区空间用完而导致系统崩溃;

◆2、对于/tmp和/var目录所在分区,大多数情况下不需要有suid属性的程序,所以应为这些分区添加nosuid属性;

方法一:修改/etc/fstab文件,添加nosuid属性字。例如:

/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0

方法二:如果对/etc/fstab文件操作不熟,建议通过linuxconf程序来修改。

* 运行linuxconf程序;

* 选择"File systems"下的"Access local drive";

* 选择需要修改属性的磁盘分区;

* 选择"No setuid programs allowed"选项;

* 根据需要选择其它可选项;

* 正常退出。(一般会提示重新mount该分区)

二、安装

1、对于非测试主机,不应安装过多的软件包。这样可以降低因软件包而导致出现安全漏洞的可能性。

2、对于非测试主机,在选择主机启动服务时不选择非必需的服务。例如routed、ypbind等。

三、安全配置与增强

内核升级。起码要升级至2.2.16以上版本。

GNU libc共享库升级。(警告:如果没有经验,不可轻易尝试。可暂缓。)

关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等

关闭非必需的网络服务。talk、ntalk、pop-2等

常见网络服务安全配置与升级

确保网络服务所使用版本为当前最新和最安全的版本。

取消匿名FTP访问

去除非必需的suid程序

使用tcpwrapper

使用ipchains防火墙

日志系统syslogd

一些细节:

◆1、操作系统内部的log file是检测是否有网络入侵的重要线索,当然这个假定你的logfile不被侵入者所破坏,如果你有台服务器用专线直接连到Internet上,这意味着你的IP地址是永久固定的地址,你会发现有很多人对你的系统做telnet/ftp登录尝试,试着运行如下语句去检查。

#more /var/log/secure   grep refused

◆2、限制具有SUID权限标志的程序数量,具有该权限标志的程序以root身份运行,是一个潜在的安全漏洞,当然,有些程序是必须要具有该标志的,象passwd程序。

◆3、BIOS安全。设置BIOS密码且修改引导次序禁止从软盘启动系统。

◆4、用户口令。用户口令是Linux安全的一个最基本的起点,很多人使用的用户口令就是简单的password,这等于给侵入者敞开了大门,虽然从理论上说没有不能确解的用户口令,只要有足够的时间和资源可以利用。比较好的用户口令是那些只有他自己能够容易记得并理解的一串字符,并且绝对不要在任何地方写出来。

◆5、/etc/exports 文件。如果你使用NFS网络文件系统服务,那么确保你的/etc/exports具有最严格的存取权限设置,不意味着不要使用任何通配符,不允许root写权限,mount成只读文件系统。编辑文件/etc/exports并且加入例如:

/dir/to/export host1.mydomain.com(ro,root_squash)

/dir/to/export host2.mydomain.com(ro,root_squash)

其中/dir/to/export 是你想输出的目录,host.mydomain.com是登录这个目录的机器名,

ro意味着mount成只读系统,root_squash禁止root写入该目录。

为了让上面的改变生效,运行

/usr/sbin/exportfs –a

◆6、确信/etc/inetd.conf的所有者是root,且文件权限设置为600 。

[root@deep]# chmod 600 /etc/inetd.conf

ENSURE that the owner is root.

[root@deep]# stat /etc/inetd.conf

File: "/etc/inetd.conf"

Size: 2869 Filetype: Regular File

Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)

Device: 8,6 Inode: 18219 Links: 1

Access: Wed Sep 22 16:24:16 1999(00000.00:10:44)

Modify: Mon Sep 20 10:22:44 1999(00002.06:12:16)

Change:Mon Sep 20 10:22:44 1999(00002.06:12:16)

编辑/etc/inetd.conf禁止以下服务:

ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger,

auth, etc. 除非你真的想用它。

特别是禁止那些r命令.如果你用ssh/scp,那么你也可以禁止掉telnet/ftp。

为了使改变生效,运行

#killall -HUP inetd

你也可以运行

#chattr +i /etc/inetd.conf

使该文件具有不可更改属性。

只有root才能解开,用命令

#chattr -i /etc/inetd.conf

本文来源:赛迪网

Dandakaranya
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网络安全-配置kali linux
m0_67362399的博客
03-15 6081
一、网络配置 (1)在虚拟机内的linux系统配置ip,如果当初安装的时候是选择桥接模式,那么后期配置ip的时候就跟主机在同一个局域网下。 (2)在linux配置ip等信息,有临时配置的【直接传递到内核执行,立即生效,重启后失效】;也有永久配置,重启后生效的。用命令行可以直接配置,如 ifconfig eth0 192.168.1.111/24 route add defoult gw 192.168.1.1 【如果配置网关的时候发现有提示“网络不可达”,那就/etc/netword/inte
Linux系统安全配置
Finch_Alan的博客
02-18 3001
目录账户锁定安全策略配置SSH安全加固1.禁止root远程登录      2.禁止使用密码登录,改用密钥登录系统3.
Linux系统安全:安全技术 和 防火墙(非常详细)零基础入门到精通,收藏这一篇就够了
Libra1313的博客
02-16 1854
netfilter/iptables:IP 信息包过滤系统,它实际上由两个组件 netfilter 和 iptables组成。主要工作在网络层,针对IP数据包,体现在对包内的IP地址、端口等信息的处理。netfilter位于Linux内核中的包过滤功能体系称为Linux防火墙的“内核态”(内核空间)是内核的一部分,由一些数据包过滤表组成,这些表包含内核用来控制数据包过滤处理的规则集。iptables位于/sbin/iptables用来管理防火墙规则的工具称为Linux防火墙的“用户态”
Linux&网络安全Linux操作系统安全配置(超全超详细)
沧月
10-16 1万+
在我们Linux系统当中,默认的情况下,所有的系统上的帐号与一般身份使用者,还有root的相关信息, 都是记录在/etc/passwd这个文件内的。vsftpd 是“very secure FTP daemon”的缩写,安全性是它的一个最大的特点。vsftpd 是一个 UNIX 类操作系统上运行的服务器的名字,它可以运行在诸如 Linux、BSD、Solaris、 HP-UNIX等系统上面,是一个完全免费的、开放源代码的ftp服务器软件,支持很多其他的 FTP 服务器所不支持的特征。出于安全原因应启用它。
linux安全配置
qq_52712762的博客
05-27 1641
Linux种类较多,常见的有Redhat、Ubuntu、Centos、SUSE等根据不同版本,其安全配置都不太相同,主要体现在以下三点①配置文件所存放的路径②操作系统的命令③操作系统自身的安全特性或工具我们以Centos7为例,进行安全配置讲解,其它版本Linux可能存在安全配置方式不同,但整体配置的维度和原则是一致的。
Linux网络操作实操指南:从网络配置到安全管理
qq_28245087的博客
06-20 671
但需要注意的是,netstat命令的输出结果可能比较复杂,需要结合其他命令和工具进行分析和处理。总之,掌握这些Linux网络操作技术,可以让我们更好地管理和维护网络系统,提高工作效率和安全性。同时,还需要不断学习和掌握更多的Linux网络知识,以更好地适应不同的应用场景和需求。netstat是一个用于显示网络状态的命令行工具,它可以显示当前计算机的网络连接信息、路由表、接口统计信息等。Linux中的网络安全非常重要,可以通过防火墙、VPN、SSH等方式来保护系统的安全。ssh命令可以远程登录和管理系统
Linux系统中网络配置详解.doc
11-29
Linux系统中网络配置详解.doc
linux虚拟网络设备之vlan配置详解
09-15
Linux虚拟网络设备中的VLAN(Virtual Local Area Network)配置是一项重要的网络管理技术,它允许在同一物理网络上划分多个逻辑网络,以提高网络管理和安全性。在Linux系统中,VLAN是通过在现有网络接口上叠加虚拟...
Linux系统中网络配置详解
04-08
Linux系统中网络配置详解:从linux诞生的那一天起,就注定了它的网络功能空前地强大.所以在linux系统中如何配置网络,使其高效,安全的工作就显得十分重要.下面我们就从网络设备的安装,网络服务的设置和网络安全性三个...
Linux安全配置
09-19
Linux操作系统网络安全配置指令和方法
网络攻防安全kali Linux漏洞扫描
最新发布
06-18
### 知识点详解 #### 一、网络攻防安全中的Kali Linux漏洞扫描 **Kali Linux**是一款专门设计用于数字取证、...无论是对于希望从事网络安全工作的个人还是需要维护网络安全的企业来说,掌握这些工具都是非常重要的。
不必要的linux服务有哪些,实用技巧:移除Linux系统下不必要的服务
weixin_33275503的博客
05-03 453
实用技巧:移除Linux系统下不必要的服务作者 HonestQiao 2008年01月03日 16:00在你安装了Linux之后呢,相信有很多的朋友会开始想要作一些很炫的服务,例如WWW或者是mail亦或是FTP的服务,但是,这些服务都有潜在性的危险喔,很多的骇客就是利用你开启的这些服务来进行网站的破坏!基本上,比较麻烦的是「特洛伊木马」程式这一类的后门程式,以你的网站做为中继站去攻击骇客想要攻击...
Linux网络设置
热门推荐
ver_mouth__的博客
04-11 3万+
目录 一:查看网络配置 1.1 ifconfig——查看网络接口信息 1.2 ifconfig——设置网络接口参数 1.3hostname——查看主机名称 1.4route——查看路由表条目 1.5netstat——查看网络连接情况 ​1.6ss——获取socket统计信息 ​二:测试网络连接 2.1ping——测试网络连接 2.2traceroute——跟踪数据包 2.3nslookup——域名解析 2.4dig——解析详细过程DNS信息收集 三:本地主机映射......
Linux操作系统六大优点
IT技术分享社区
03-13 5081
请点击输入图片描述1、免费开源。Linux是一款完全免费的操作系统,任何人都可以从网络上下载到它的源代码,并可以根据自己的需求进行定制化的开发,而且没有版权限制。2、模块...
linux资源及网络安全配置
雨云21的博客
05-28 1403
文章目录一、资源安全管理1、保护关键分区2、保护文件二、网络安全管理1、取消不必要的服务2、隐藏系统信息3.登录终端设置4.tcp_wrappers(服务访问控制程序/应用级防火墙)5.定期检查系统中的日志6.防止ping7.防IP欺骗8.使用ssh远程登录Linux系统。9.删除或禁用r字头命令(`rm`,`rmdir` ,`reboot`)。10.使用防火墙iptables,防止网络攻击。11.使用表中的命令对系统进行系统安全检查。 一、资源安全管理 1、保护关键分区 在Linux系统中,可以将不同的应
Linux基础-网络配置
Passerby_Wang的博客
08-31 9415
一、图形化配置 二、命令行配置 三、配置文件配置 四、其他常用的网络工具
Linux系统安全配置的一些规则(整理)
wangxiaofei2006的专栏
06-28 4489
Linux系统安全配置的一些规则   1.设置口令最小长度和最短使用时间 口令是系统中认证用户的主要手段,系统安装时默认的口令最小长度通常为5,但为保证口令不易被猜测 攻击,可增加口令的最小长度,至少等于8。 修改文件/etc/login.defs中参数PASS_MIN_LEN。同时应限制口令使用时间,保证定期更换口令,修改参 数PASS_MIN_DAYS。 2.用户超时注销 编辑
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值