打造LINUX系统安全(3)

//添加上面几行来防止IP欺骗攻击

 

12、禁止su作为root

 

vi /etc/pam.d/su

======================================================

……

auth sufficient /lib/security/pam_rootok.so debug

auth required /lib/security/pam_wheel.so group=elain

在文件内添加如上两行，这表示只有用户组elain里的成员可以用su作为root

若希望用记admin能su作为root，可运行以下命令：

#usermod -G10 admin

 

13、禁止使用CTRL+ALT+DEL重启服务器

 

vi /etc/inittab

……

#ca::ctrlaltdel:/sbin/shutdown -t3 -r now        //用“#”注释掉此行即可

然后运行：

#/sbin/init -q

 

14、注销时删除命令记录

 

vi /etc/skel/.bash_logout

============================================================

rm -f $HOME/.bash_history

 

15、确保开启的服务安全

 

常用服务方面的命令：

grep -v "#" /etc/services                        //显示没有被注释掉的服务

ps -eaf|wc -l                                    //统计当前系统打开服务的总数

netstat -na (远程后面可加ip)                     //查看当前运行的服务

netstat -an |grep LISTEN                         //查看是否有可疑端口打开

当然，也可以执行如下命令：

shattr +i /etc/services                          //设置为不可理性属性

Linux启动时先检测脚本文件，在REDHAT下，在/etc/rc.d/rc3.d(rc5.d)下(图形化)，脚本名字为启动顺序。

K 表示杀死进程

S 表示启动的服务

如在启动时禁止一个服务，只需把该服务的脚本文件的大写“S”更改为小写“s”

注意，以下3个服务漏洞很多，强烈建议关闭

yppasswdd(NIS服务器)

ypserv(NIS服务器)

nfs(NFS服务器)

 

16、LINUX防火墙安全配置

 

system-config-securitylevel

 

17、LINUX系统安全工具

 

Sxid:检查系统中的suid,sgid以及没有主人的文件

Skey:一次性口令工具

Logrotate:日志循环工具

Logcheck:日志管理工具

Swatch：日志管理工具，比logcheck实时

Ssh(openssh):提供安全的连接认证

Portsentry:反扫描工具，监视自己的udp和tcp端口

Tripwire:提供系统完整性检查

Gnupg:对单个文件进行加密以及创建数字签名

Hostsentry:基于主机的入侵检测，将连接记入日志

ipchains Linux:发行版自带的包过滤形防火墙

Anti-sniff:反嗅探工具，检查网络中是否有嗅探器

Freeswan:在LINUX中实现VPN的工具

Syslog-ng:替代syslog的日志文件系统

Scandns:进行DNS检查追踪工具

Whisker：CGI扫描器

Snoopy:通过跟踪execve系统调用记录文件的命令

Krnsniff：一个基于内核的监听模块

Iptable:用来替代ipchains包过滤防火墙

Imsafe:通过跟踪系统调用来检测缓冲溢出等问题

Iplog:对来往的包进行日志记录

Solaris designer:内核补丁，防止缓冲溢出等

Stackguard:作为补丁修补GCC，防止缓冲溢出