Linux 網路安全技巧 《轉》

◆ Linux 網路安全技巧

日期：2001-6-15
    作者會員名：wangsb　　Email:wangshoub@yeah.net
　　網路安全是一個非常重要的課題,基本上你啟動並執行服務後台越多,你就可能開啟更多的安全性漏洞.如果配置的恰當的話,Linux本身是非常安全可靠的,假使在Linux系統中有某個安全缺陷,由於Linux的源碼是開放的，有成千上萬的志願者會立刻發現並修補它。本文旨在介紹用來增強你的網路安全性的常用技巧,以Redhat Linux作為作業環境。
1.作業系統內部的log file是檢測是否有網路入侵的重要線索，當然這個假定你的logfile不被侵入者所破壞，如果你有台伺服器用專線直接連到Internet上，這意味著你的IP地址是永久固定的地址，你會發現有很多人對你的系統做telnet/ftp登入嘗試，試著運行#more /var/log/secure | grep refused 去檢查。
2. 限制具有SUID許可權標誌的程式數量，具有該許可權標誌的程式以root身份運行，是一個潛在的安全性漏洞，當然，有些程式是必須要具有該標誌的，象passwd程式。
3.BIOS安全。設定BIOS密碼且修改引導次序禁止從磁碟片啟動系統。
4. 使用者口令。使用者口令是Linux安全的一個最基本的起點，很多人使用的使用者口令就是簡單的'password，這等於給侵入者敞開了大門，雖然從理論上說沒有不能確解的使用者口令，只要有足夠的時間和資源可以利用。比較好的使用者口令是那些只有他自己能夠容易記得並理解的一串字元，並且絕對不要在任何地方寫出來。
5./etc/exports 檔案。如果你使用NFS網路檔案系統服務，那麼確保你的/etc/exports具有最嚴格的存取使用權限設定，這意味著不要使用任何萬用字元，不允許root寫入權限，mount成唯讀檔案系統。編輯檔案/etc/exports並且加：例如：
　　/dir/to/export host1.mydomain.com(ro,root_squash)
　　/dir/to/export host2.mydomain.com(ro,root_squash)
　　/dir/to/export 是你想輸出的目錄，host.mydomain.com是登入這個目錄的機器名，ro意味著mount成唯讀系統，root_squash禁止root寫入該目錄。
　　為了讓上面的改變生效，運行/usr/sbin/exportfs -a
6.確信/etc/inetd.conf的所有者是root，且檔案使用權限設定為600 。
[root@deep]# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
[root@deep]# stat /etc/inetd.conf
File: "/etc/inetd.conf"
Size: 2869 Filetype: Regular File