一、磁盘分区

1、如果是新安装系统，对磁盘分区应考虑安全性：
　　1）根目录（/）、用户目录（/home）、临时目录（/tmp）和/var目录应分开到不同的磁盘分区；
　　2）以上各目录所在分区的磁盘空间大小应充分考虑，避免因某些原因造成分区空间用完而导致系统崩溃；

2、对于/tmp和/var目录所在分区，大多数情况下不需要有suid属性的程序，所以应为这些分区添加nosuid属性；
　　　　方法一：修改/etc/fstab文件，添加nosuid属性字。例如：

　　　　/dev/hda2 /tmp ext2 exec,dev,nosuid,rw 0 0
^^^^^^
　　　　方法二：如果对/etc/fstab文件操作不熟，建议通过Linuxconf程序来修改。

　　　　＊　运行linuxconf程序；
　　　　＊　选择"File systems"下的"Access local drive"；
　　　　＊　选择需要修改属性的磁盘分区；
　　　　＊　选择"No setuid programs allowed"选项；
　　　　＊　根据需要选择其它可选项；
　　　　＊　正常退出。（一般会提示重新mount该分区）

二、安装

1、对于非测试主机，不应安装过多的软件包。这样可以降低因软件包而导致出现安全漏洞的可能性。
2、对于非测试主机，在选择主机启动服务时不应选择非必需的服务。例如routed、ypbind等。

三、安全配置与增强

内核升级。起码要升级至2.2.16以上版本。
GNU libc共享库升级。（警告：如果没有经验，不可轻易尝试。可暂缓。）
关闭危险的网络服务。echo、chargen、shell、login、finger、NFS、RPC等
关闭非必需的网络服务。talk、ntalk、pop-2等
常见网络服务安全配置与升级
确保网络服务所使用版本为当前最新和最安全的版本。
取消匿名FTP访问
去除非必需的suid程序
使用tcpwrapper
使用ipchains防火墙
日志系统syslogd

一些细节：

1.操作系统内部的log file是检测是否有网络入侵的重要线索，当然这个假定你的logfile不被侵入者所破坏，如果你有台服务器用专线直接连到Internet上，这意味着你的IP地址是永久固定的地址，你会发现有很多人对你的系统做telnet/ftp登录尝试，试着运行#more /var/log/secure grep refused 去检查。

2. 限制具有SUID权限标志的程序数量，具有该权限标志的程序以root身份运行，是一个潜在的安全漏洞，当然，有些程序是必须要具有该标志的，象passwd程序。

3.BIOS安全。设置BIOS密码且修改引导次序禁止从软盘启动系统。

4. 用户口令。用户口令是Linux安全的一个最基本的起点，很多人使用的用户口令就是简单的‘passWord'，这等于给侵入者敞开了大门，虽然从理论上说没有不能确解的用户口令，只要有足够的时间和资源可以利用。比较好的用户口令是那些只有他自己能够容易记得并理解的一串字符，并且绝对不要在任何地方写出来。

5./etc/eXPorts 文件。如果你使用NFS网络文件系统服务，那么确保你的/etc/exports具有最严格的存取权限设置，不意味着不要使用任何通配符，不允许root写权限，mount成只读文件系统。编辑文件/etc/exports并且加：例如：

/dir/to/export host1.mydomain.com(ro,root_squash)
/dir/to/export host2.mydomain.com(ro,root_squash)

/dir/to/export 是你想输出的目录，host.mydomain.com是登录这个目录的机器名，
ro意味着mount成只读系统，root_squash禁止root写入该目录。
为了让上面的改变生效，运行/usr/sbin/exportfs -a

6.确信/etc/inetd.conf的所有者是root，且文件权限设置为600 。
[root@deep]# chmod 600 /etc/inetd.conf
ENSURE that the owner is root.
[root@deep]# stat /etc/inetd.conf
File: "/etc/inetd.conf"
Size: 2869 Filetype: Regular File
Mode: (0600/-rw-------) Uid: ( 0/ root) Gid: ( 0/ root)

[1] [2] [3] [4] [5] [6] 下一页

上一篇:系统进程问答集锦

下一篇:关于传说中的拒绝服务攻击CC

Linux安全配置步骤简述相关文章：

·ADSL Modem路由功能的配置

·设好eMule电驴两项关键配置提高下载速度

·WinXP中常见网络与安全服务详解

·思科3550交换机配置(1)

·Windows 2003安全设置大全-IIS、终端服务、FTP、SQL的配置

·图文教程 Windows 2003群集服务配置

·DENX U-Boot及Linux使用手册

·企业局域网安全解决方案

·Linux常用命令详解

·Cisco Catalyst 4506双机热备配置

Linux安全配置步骤简述相关软件：

·美萍安全卫士v12.3

·360安全卫士v3.2

·Kaspersky(卡巴斯基) KIS 安全套装 V6.0.2.621 MP2 简体中文正式

·红帽子Red Hat Linux 8.0（3G，5CD）

特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作者。文章版权归文章原始作者所有。对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转载的文章有版权问题请联系编辑人员，我们尽快予以更正。
[打印本页] [关闭窗口] 转载请注明来源：http://www.viphot.com

	\| 帮助(？) \| 版权声明 \| 友情连接 \| 关于我们 \| 信息发布
Copyright 2007 www.viphot.com All Rights Reserved.	鄂ICP备05000083号Powered by:viphot