尽管linux本身是很稳定和很安全的,但是如果管理的不好,也会容易受到黑客的攻击,linux在安装的时候默认会装上很多的软件,安装的软件越多,漏洞也就越多,所以我们在装系统的时候要根据自己的需要选择安装我们要的东西,这点和windows是有很大的不同的,不象windows人家不要的东西也硬是把它装上了.尽管linux本身是很稳定和很安全的,但是如果管理的不好,也会容易受到黑客的攻击,linux在安装的时候默认会装上很多的软件,安装的软件越多,漏洞也就越多,所以我们在装系统的时候要根据自己的需要选择安装我们要的东西,这点和windows是有很大的不同的,不象windows人家不要的东西也硬是把它装上了.
首先用户口令很重要,对于linux系统,不要把口令高的太简单了,只是由数字组成,这样子很容易被黑客字典攻破.Linux提供了很多默认账号,删除一些我们不必用的帐号
删除不必要的用户
#userdel adm
#userdel lp
#userdel sync
#userdel
shutdown
#userdel halt
#userdel news
#userdel uucp
#userdel
operator
#userdel gopher
#userdel
ftp(安装了ftp服务器则不要删除)
删除一些不必要的组
#groupdel adm
#groupdel lp
#groupdel
news
#groupdel uucp
#groupdel dip
#groupdel pppusers
#groupdel
popusers
#groupdel slipusers
设置敏感文件为不可改变
#chattr +i /etc/passwd
#chattr +i /etc/shadow
#chattr +i
/etc/group
#chattr +i
/etc/gshadow
但是这样做有个问题,如果将来要在口令或组文件中增加或删除用户,必须清除这些文件的不可改变位,否则就不能做任何的改变.
#chattr
-i /etc/passwd
#chattr -i /etc/shadow
#chattr -i /etc/group
#chattr -i
/etc/gshadow
在/etc/rc.d/rc.local文件中增加如下一行:
echo 1 >/proc/sys/net/ipv4/
icmp_echo_ignore_all
这样使主机对ping无响应
编辑host.conf文件并增加如下几行来防止IP欺骗攻击。
order
bind,hosts
multi off
nospoof on
对系统所有的用户设置资源限制可以防止DoS类型攻击。如最大进程数和内存使用数量等。
可以在/etc/security/limits.conf中添加如下几行:
* hard core 0
* hard rss 5000
* hard nproc 20
然后必须编辑/etc/pam.d/login文件检查下面一行是否存在。
session required
/lib/security/pam_limits.so
上面的命令禁止调试文件,限制进程数为50并且限制内存使用为5MB
|