Linux作業系統的安全管理設定

        如今系統的安全變的越來越重要了，這裡我想把我平時比較常使用的一些linux

下的基本的安全措施寫出來和大家探討一下，讓我們的Linux系統變得可靠。
1、BIOS的安全設定

　　這是最基本的了，也是最簡單的了。一定要給你的BIOS設定密碼，以防止通過在BIOS中改變啟動順序，而可以從磁碟片啟動。這樣可以阻止別有用心的試圖用特殊的啟動盤啟動你的系統，還可以阻止別人進入BIOS改動其中的設定，使機器的硬體設定不能被別人隨意改動。

2、LILO的安全設定

　　LILO是LInux

　　LOader的縮寫，它是LINUX的啟動模組。可以通過修改“/etc/lilo.conf”檔案中的內容來進行配置。在 /etc/lilo.conf檔案中加如下面兩個參數：restricted,password。這三個參數可以使你的系統在啟動lilo時就要求密碼驗證。

　　第一步：編輯lilo.conf檔案（vi /etc/lilo.comf）,假如或改變這三個參數：
　　boot=/dev/hda
　　map=/boot/map
　　install=/boot/boot.b
　　prompt
　　timeout=00 #把這行該為00，這樣系統啟動時將不在等待，而直接啟動LINUX
　　message=/boot/message
　　linear
　　default=linux
　　restricted #加入這行
　　password= #加入這行並設定自己的密碼

　　image=/boot/vmlinuz-2.4.2-2
　　label=linux
　　root=/dev/hda6
　　read-only

　　第二步：因為"/etc/lilo.conf"檔案中包含純文字密碼，所以要把它設定為root許可權讀取。
　　# chmod 0600 /etc/lilo.conf

　　第三步：更新系統，以便對“/etc/lilo.conf”檔案做的修改起作用。
　　# /sbin/lilo -v

　　第四步：使用“chattr”命令使"/etc/lilo.conf"檔案變為不可改變。
　　# chattr +i /etc/lilo.conf

　　這樣可以在一定程度上防止對“/etc/lilo.conf”任何改變（意外或其他原因）

3、讓口令更加安全

　　口令可以說是系統的第一道防線，目前網上的大部分對系統的攻擊都是從截獲口令或者猜測口令開始的，所以我們應該選擇更加安全的口令。

　　首先要杜絕不設口令的帳號存在。這可以通過查看/etc/passwd檔案發現。例如，存在的使用者名稱為test的帳號，沒有設定口令，則在/etc/passwd檔案中就有如下一行：
　　test::100:9::/home/test:/bin/bash

　　其第二項為空白，說明test這個帳號沒有設定口令，這是非常危險的！應將該類帳號刪除或者設定口令。
其次，在舊版本的linux中，在/etc/passwd檔案中是包含有加密的密碼的，這就給系統的安全性帶來了很大的隱患，最簡單的方法就是可以用暴力破解的方法來獲得口令。可以使用命令/usr/sbin/pwconv或者/usr/sbin/grpconv來建立/etc/shadow或者 /etc/gshadow檔案，這樣在/etc/passwd檔案中不再包含加密的密碼，而是放在/etc/shadow檔案中，該檔案只有超級使用者 root可讀！

　　第三點是修改一些系統帳號的Shell變數，例如uucp,ftp和news等，還有一些僅僅需要FTP功能的帳號，一定不要給他們設定 /bin/bash或者/bin/sh等Shell變數。可以在/etc/passwd中將它們的Shell變數置空，例如設為/bin/false或者 /dev/null等，也可以使用usermod -s /dev/null username命令來更改username的Shell為/dev/null。這樣使用這些帳號將無法Telnet遠程登入到系統中來！

　　第四點是修改預設的密碼長度：在你安裝linux時預設的密碼長度是5個位元組。但這並不夠，要把它設為8。修改最短密碼長度需要編輯login.defs檔案（vi/etc/login.defs），把下面這行

　　PASS_MIN_LEN 5
　　改為
　　PASS_MIN_LEN 8
　　login.defs檔案是login程式的設定檔。

4、自動登出帳號的登入

　　在unix系統中root賬戶是具有最高特權的。如果系統管理員在離開系統之前忘記登出root賬戶，那將會帶來很大的安全隱患，應該讓系統會自動登出。通過修改賬戶中“TMOUT”參數，可以實現此功能。TMOUT按秒計算。編輯你的profile檔案（vi /etc/profile）,在"HISTFILESIZE="後面加入下面這行：
　　TMOUT=300

　　300，表示300秒，也就是表示5分鐘。這樣，如果系統中登陸的使用者在5分鐘內都沒有動作，那麼系統會自動登出這個賬戶。你可以在個別使用者的“.bashrc”檔案中添加該值，以便系統對該使用者實行特殊的自動登出時間。

　　改變這項設定後，必須先登出使用者，再用該使用者登陸才能啟用這個功能。

5、取消普通使用者的控制台存取權限

　　你應該取消普通使用者的控制台存取權限，比如shutdown、reboot、halt等命令。
　　# rm -f /etc/security/console.apps/
　　是你要登出的程式名。 

6、取消並反安裝所有不用的服務

　　取消並反安裝所有不用的服務，這樣你的擔心就會少很多。察看“/etc/inetd.conf”檔案，通過注釋取消所有你不需要的服務（在該服務項目之前加一個“#”）。然後用“sighup”命令升級“inetd.conf”檔案。

　　第一步：

　　更改“/etc/inetd.conf”許可權為600，只允許root來讀寫該檔案。
　　# chmod 600 /etc/inetd.conf

　　第二步：

　　確定“/etc/inetd.conf”檔案所有者為root。

　　第三步：

　　編輯 /etc/inetd.conf檔案（vi /etc/inetd.conf），取消下列服務（你不需要的）：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。把不需要的服務關閉可以使系統的危險性降低很多。

　　第四步：

　　給inetd進程發送一個HUP訊號：
　　# killall -HUP inetd

　　第五步：

　　用chattr命令把/ec/inetd.conf檔案設為不可修改，這樣就沒人可以修改它：
　　# chattr +i /etc/inetd.conf

　　 這樣可以防止對inetd.conf的任何修改（以外或其他原因）。唯一可以取消這個屬性的人只有root。如果要修改inetd.conf檔案，首先要是取消不可修改性質：
　　# chattr -i /etc/inetd.conf

　　別忘了該後再把它的性質改為不可修改的。 

7、TCP_WRAPPERS

　　使用TCP_WRAPPERS可以使你的系統安全面對外部入侵。最好的策略就是阻止所有的主機（"/etc/hosts.deny"檔案中加入 "ALL: ALL@ALL, PARANOID" ），然後再在"/etc/hosts.allow" 檔案中加入所有允許訪問的主機列表。

　　第一步：

　　編輯hosts.deny檔案（vi /etc/hosts.deny），加入下面這行
　　# Deny access to everyone.
　　ALL: ALL@ALL, PARANOID

　　這表明除非該地址包在允許訪問的主機列表中，否則阻塞所有的服務和地址。

　　第二步：

　　編輯hosts.allow檔案（vi /etc/hosts.allow），加入允許訪問的主機列表，比如：
　　ftp: 202.54.15.99 foo.com
　　202.54.15.99和 foo.com是允許訪問ftp服務的ip地址和主機名稱。

　　第三步：

　　tcpdchk程式是tepd wrapper設定檢查程式。它用來檢查你的tcp wrapper設定，並報告發現的潛在的和真實的問題。設定完後，運行下面這個命令：
　　# tcpdchk

8、修改“/etc/host.conf”檔案

　　“/etc/host.conf”說明了如何解析地址。編輯“/etc/host.conf”檔案（vi /etc/host.conf），加入下面這行：
　　# Lookup names via DNS first then fall back to /etc/hosts.
　　order bind,hosts
　　# We have machines with multiple IP addresses.
　　multi on
　　# Check for IP address spoofing.
　　nospoof on

　　第一項設定首先通過DNS解析IP地址，然後通過hosts檔案解析。第二項設定檢測是否“/etc/hosts”檔案中的主機是否擁有多個IP地址（比如有多個以太口網卡）。第三項設定說明要注意對本機未經許可的電子欺騙。

9、使“/etc/services”檔案免疫

　　使“/etc/services”檔案免疫，防止未經許可的刪除或添加服務：
　　# chattr +i /etc/services

10、不允許從不同的控制台進行root登陸

　　"/etc/securetty"檔案允許你定義root使用者可以從那個TTY裝置登陸。你可以編輯"/etc/securetty"檔案，再不需要登陸的TTY裝置前添加“#”標誌，來禁止從該TTY裝置進行root登陸。

　　在/etc/inittab檔案中有如下一段話：
　　# Run gettys in standard runlevels
　　1:2345:respawn:/sbin/mingetty tty1
　　2:2345:respawn:/sbin/mingetty tty2
　　#3:2345:respawn:/sbin/mingetty tty3
　　#4:2345:respawn:/sbin/mingetty tty4
　　#5:2345:respawn:/sbin/mingetty tty5
　　#6:2345:respawn:/sbin/mingetty tty6

　　系統預設的可以使用6個控制台，即Alt+F1,Alt+F2...，這裡在3，4，5，6前面加上“#”，注釋該句話，這樣現在只有兩個控制台可供使用，最好保留兩個。然後重新啟動init進程，改動即可生效！

11、使用PAM（可插拔認證模組）

         禁止任何人通過su命令改變為root使用者su(Substitute User替代使用者)命令允許你成為系統中其他已存在的使用者。如果你不希望任何人通過su命令改變為root使用者或對某些使用者限制使用su命令，你可以在su設定檔（在"/etc/pam.d/"目錄下）的開頭添加下面兩行：
編輯su檔案(vi /etc/pam.d/su)，在開頭添加下面兩行：
　　auth sufficient /lib/security/pam_rootok.so
　　auth required /lib/security/Pam_wheel.so group=wheel

　　這表明只有"wheel"組的成員可以使用su命令成為root使用者。你可以把使用者添加到“wheel”組，以使它可以使用su命令成為root使用者。添加方法可以用這個命令：chmod -G10 username 。

12、Shell logging Bash

　　shell在“~/.bash_history”（“~/”表示使用者目錄）檔案中儲存了500條使用過的命令，這樣可以使你輸入使用過的長命令變得容易。每個在系統中擁有帳號的使用者在他的目錄下都有一個“.bash_history”檔案。bash
shell應該儲存少量的命令，並且在每次使用者登出時都把這些曆史命令刪除。

　　第一步：

　　“/etc/profile”檔案中的“HISTFILESIZE”和“HISTSIZE”行確定所有使用者的“.bash_history”檔案中可以儲存的舊命令條數。強烈建議把把“/etc/profile”檔案中的“HISTFILESIZE”和“HISTSIZE”行的值設為一個較小的數，比如30。編輯profile檔案（vi/etc/profile），把下面這行改為：
　　HISTFILESIZE=30
　　HISTSIZE=30

　　這表示每個使用者的“.bash_history”檔案只可以儲存30條舊命令。

　　第二步：

　　網管還應該在"/etc/skel/.bash_logout" 檔案中添加下面這行"rm -f $HOME/.bash_history" 。這樣，當使用者每次登出時，“.bash_history”檔案都會被刪除。

　　編輯.bash_logout檔案(vi /etc/skel/.bash_logout) ，添加下面這行：
　　rm -f $HOME/.bash_history

13、禁止Control-Alt-Delete鍵盤關閉命令

　　在"/etc/inittab" 檔案中注釋掉下面這行（使用#）：
　　ca::ctrlaltdel:/sbin/shutdown -t3 -r now
　　改為：
　　#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

　　為了使這項改動起作用，輸入下面這個命令：
　　# /sbin/init q

14、給"/etc/rc.d/init.d" 下script檔案設定許可權

　　給執行或關閉啟動時執行的程式的script檔案設定許可權。
　　# chmod -R 700 /etc/rc.d/init.d/*

　　這表示只有root才允許讀、寫、執行該目錄下的script檔案。

15、隱藏系統資訊

　　在預設情況下，當你登陸到linux系統，它會告訴你該linux發行版的名稱、版本、核心版本、伺服器的名稱。對於駭客來說這些資訊足夠它入侵你的系統了。你應該只給它顯示一個“login:”提示符。

　　首先編輯"/etc/rc.d/rc.local" 檔案，在下面顯示的這些行前加一個“#”，把輸出資訊的命令注釋掉。
　　# This will overwrite /etc/issue at every boot. So, make any changes you
　　# want to make to /etc/issue here or you will lose them when you reboot.
　　#echo "" > /etc/issue
　　#echo "$R" >> /etc/issue
　　#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
　　#
　　#cp -f /etc/issue /etc/issue.net
　　#echo >> /etc/issue

　　其次刪除"/etc"目錄下的“isue.net”和"issue"檔案：
　　# rm -f /etc/issue
　　# rm -f /etc/issue.net

16、禁止不使用的SUID/SGID程式

　　如果一個程式被設定成了SUID

　　root，那麼普通使用者就可以以root身份來運行這個程式。網管應儘可能的少使用SUID/SGID 程式，禁止所有不必要的SUID/SGID程式。

　　尋找root-owned程式中使用s位的程式：
　　# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} /;

　　用下面命令禁止選中的帶有s位的程式：
　　# chmod a-s [program]

　　以上這些都是一些維護系統安全所需要的一些基本的比較簡單的步驟，要想讓你的系統更加安全，還需要做很多，如配置OpenSSL等，維護系統的穩定和安全是一個持續的長久的工作，需要花大量的時間和精力。這裡僅僅列出一些我平時工作的一些心得，和大家交流一下

上一篇：《linux samba 配置》
下一篇：《linux下通過ndiswrapper及linux-wlan-ng安裝無線網卡》