首頁
排行
完本
足跡

第十三章 Linux安全管理的基本技巧(1 / 3)

網絡安全·網管手冊(三)(精裝) Сδ

第十三章 Linux安全管理的基本技巧

Linux作為是一個開放源代碼的免費操作係統,以其高效隱定的優秀品質,越來越受到用戶們的歡迎,並在全世界不斷普及開來。相信在不久的將來Linux還會得到更大更快的發展。雖然,Linux和Unix很相似,但是它們之間還是有不少重要的差別。對於很多習慣了UNIX和Windows的係統管理員來講,如何保證Linux操作係統的安全可靠將麵臨許多新的挑戰。本文在此將給大家介紹一些Linux管理安全的基本技巧,希望能對大家有所幫助。

首先我想從係統的安全配置,開始我們的話題。因為我個人認為一位管理員要能充分利用係統提供的安全機製、挖掘係統自身的潛力來對服務器進行高效安全的維護,才能稱得上優秀。我並不是完全反對使用防火牆等工具,但是正如人一樣,我們可以消毒、可以帶口罩,卻沒有我們自身體魄強健、有抗體來得好。Linux是完全開放源代碼的免費操作係統,其可開發的潛力極大,有能力的管理員甚至可以通過自行改編內核來滿足自己服務器優良工作的需要。當然,在此我們隻講一些基本,但實用的配置技巧。

一、ILO的安全設置

LILO是LinuxLoader的縮寫,它是LINUX的啟動模塊。我們可通過修改"/etc/lilo.conf"文件中的內容來對它進行配置。在文件中加上,如下兩個參數:restricted,password。這兩個參數可以使你的係統在啟動lilo時就要求密碼驗證。

boot=/dev/hda

map=/boot/map

install=/boot/boot.b

prompt

timeout=00#把這行該為00,這樣係統啟動時將不在等待,而直接啟動LINUX

message=/boot/message

linear

default=linux

restricted#加入這行

password=#加入這行並設置自己的密碼

image=/boot/vmlinuz-2.4.2-2

label=linux

root=/dev/hda6

read-only

因為"/etc/lilo.conf"文件中包含明文密碼,所以要把它設置為root權限讀取。

#chmod0600/etc/lilo.conf

還要使用"chattr"命令使"/etc/lilo.conf"文件變為不可改變。

#chattr+i/etc/lilo.conf

這樣可以對"/etc/lilo.conf"文件起到很好的保護作用。(對其它文件的保護也可以采用此方法)

最後要使lilo.conf文件生效要用#/sbin/lilo-v更新一下係統。

二、口令安全

口令可以說是係統的第一道防線,目前網絡上大部分的係統入侵都是從猜測口令或者截獲口令開始的,所以口令安全至關重要。

首先要杜絕不設口令的帳號存在。這可以通過查看/etc/passwd文件來發現。例如,存在用戶名為test的帳號,沒有設置口令,則在/etc/passwd文件中就有如下一行:test::100:9::/home/test:/bin/bash其第二項為空,說明test這個帳號沒有設置口令,這是非常危險的!應將該類帳號刪除或者設置口令。

其次,在舊版本的linux中,在/etc/passwd文件中是包含有加密的密碼的,這就給係統的安全性帶來了很大的隱患,最簡單的方法就是可以用暴力破解的方法來獲得口令(如,用John等工具)。可以使用命令/usr/sbin/pwconv或者/usr/sbin/grpconv來建立/etc/shadow或者/etc/gshadow文件,這樣在/etc/passwd文件中不再包含加密的密碼,而是放在/etc/shadow文件中,該文件隻有超級用戶root可讀!

第三點是修改一些係統帳號的Shell變量,例如uucp,ftp和news等,還有一些僅僅需要FTP功能的帳號,一定不要給他們設置/bin/bash或者/bin/sh等Shell變量。可以在/etc/passwd中將它們的Shell變量置空,例如設為/bin/false或者/dev/null等,也可以使用usermod-s/dev/nullusername命令來更改username的Shell為/dev/null。這樣使用這些帳號將無法Telnet遠程登錄到係統中來!

第四點是修改缺省的密碼長度:在你安裝linux時默認的密碼長度是5個字節。但這並不夠,要把它設為8。修改最短密碼長度需要編輯login.defs文件(vi/etc/login.defs),把下麵這行

PASS_MIN_LEN5

改為

PASS_MIN_LEN8

login.defs文件是login程序的配置文件。

最後別忙了為root加上一個強壯的密碼,8位以上,最好包含特殊字符。

三、登錄安全

1、自動注銷帳號的登錄,在unix係統中root賬戶是具有最高特權的。如果係統管理員在離開係統之前忘記注銷root賬戶,那將會帶來很大的安全隱患,應該讓係統會自動注銷。通過修改賬戶中"TMOUT"參數,可以實現此功能。TMOUT按秒計算。編輯你的profile文件(vi/etc/profile),在"HISTFILESIZE="後麵加入下麵這行:

TMOUT=300

300,表示300秒,也就是表示5分鍾。這樣,如果係統中登陸的用戶在5分鍾內都沒有動作,那麼係統會自動注銷這個賬戶。你可以在個別用戶的".bashrc"文件中添加該值.

改變這項設置後,必須先注銷用戶,再用該用戶登陸才能激活這個功能。

2、使用PAM(可插拔認證模塊)禁止任何人通過su命令改變為root用戶su(SubstituteUser替代用戶)命令允許你成為係統中其他已存在的用戶。如果你不希望任何人通過su命令改變為root用戶或對某些用戶限製使用su命令,你可以在su配置文件(在"/etc/pam.d/"目錄下)的開頭添加下麵兩行:

上一章 書頁/目錄 下一頁