三、限制網(wǎng)絡(luò)訪問
1.NFS訪問
如果您使用NFS網(wǎng)絡(luò)文件系統(tǒng)服務(wù),應(yīng)該確保您的/etc/exports具有最嚴(yán)格的訪問權(quán)限設(shè)置,也就是意味著不要使用任何通配符、不允許root寫權(quán)限并且只能安裝為只讀文件系統(tǒng)。編輯文件/etc/exports并加入如下兩行。
|
/dir/to/export 是您想輸出的目錄,host.mydomain.com是登錄這個(gè)目錄的機(jī)器名,ro意味著mount成只讀系統(tǒng),root_squash禁止root寫入該目錄。為了使改動(dòng)生效,運(yùn)行如下命令。
|
2.Inetd設(shè)置
首先要確認(rèn)/etc/inetd.conf的所有者是root,且文件權(quán)限設(shè)置為600。設(shè)置完成后,可以使用"stat"命令進(jìn)行檢查。
|
然后,編輯/etc/inetd.conf禁止以下服務(wù)。
|
如果您安裝了ssh/scp,也可以禁止掉Telnet/FTP。為了使改變生效,運(yùn)行如下命令:
|
默認(rèn)情況下,多數(shù)Linux系統(tǒng)允許所有的請(qǐng)求,而用TCP_WRAPPERS增強(qiáng)系統(tǒng)安全性是舉手之勞,您可以修改/etc/hosts.deny和/etc/hosts.allow來增加訪問限制。例如,將/etc/hosts.deny設(shè)為"ALL: ALL"可以默認(rèn)拒絕所有訪問。然后在/etc/hosts.allow文件中添加允許的訪問。例如,"sshd: 192.168.1.10/255.255.255.0 gate.openarch.com"表示允許IP地址192.168.1.10和主機(jī)名gate.openarch.com允許通過SSH連接。
配置完成后,可以用tcpdchk檢查:
|
tcpchk是TCP_Wrapper配置檢查工具,它檢查您的tcp wrapper配置并報(bào)告所有發(fā)現(xiàn)的潛在/存在的問題。
3.登錄終端設(shè)置
/etc/securetty文件指定了允許root登錄的tty設(shè)備,由/bin/login程序讀取,其格式是一個(gè)被允許的名字列表,您可以編輯/etc/securetty且注釋掉如下的行。
|
這時(shí),root僅可在tty1終端登錄。
4.避免顯示系統(tǒng)和版本信息。
如果您希望遠(yuǎn)程登錄用戶看不到系統(tǒng)和版本信息,可以通過一下操作改變/etc/inetd.conf文件:
|
加-h表示telnet不顯示系統(tǒng)信息,而僅僅顯示"login:"。
四、防止攻擊
1.阻止ping 如果沒人能ping通您的系統(tǒng),安全性自然增加了。為此,可以在/etc/rc.d/rc.local文件中增加如下一行:
|
2.防止IP欺騙
編輯host.conf文件并增加如下幾行來防止IP欺騙攻擊。
|
3.防止DoS攻擊
對(duì)系統(tǒng)所有的用戶設(shè)置資源限制可以防止DoS類型攻擊。如最大進(jìn)程數(shù)和內(nèi)存使用數(shù)量等。例如,可以在/etc/security/limits.conf中添加如下幾行:
|
然后必須編輯/etc/pam.d/login文件檢查下面一行是否存在。
|
上面的命令禁止調(diào)試文件,限制進(jìn)程數(shù)為50并且限制內(nèi)存使用為5MB。
經(jīng)過以上的設(shè)置,您的Linux服務(wù)器已經(jīng)可以對(duì)絕大多數(shù)已知的安全問題和網(wǎng)絡(luò)攻擊具有免疫能力,但一名優(yōu)秀的系統(tǒng)管理員仍然要時(shí)刻注意網(wǎng)絡(luò)安全動(dòng)態(tài),隨時(shí)對(duì)已經(jīng)暴露出的和潛在安全漏洞進(jìn)行修補(bǔ)。
