谈Linux的安全设置

如今系统的安全变的越来越重要了，这里我想把我平时比较常使用的一些linux下的基本的安全措施写出来和大家探讨一下，让我们的Linux系统变得可靠。
　　1、BIOS的安全设置

　　这是最基本的了，也是最简单的了。一定要给你的BIOS设置密码，以防止通过在BIOS中改变启动顺序，而可以从软盘启动。这样可以阻止别有用心的试图用特殊的启动盘启动你的系统，还可以阻止别人进入BIOS改动其中的设置，使机器的硬件设置不能被别人随意改动。

　　2、LILO的安全设置

　　LILO是LInux

　　LOader的缩写，它是LINUX的启动模块。可以通过修改“/etc/lilo.conf”文件中的内容来进行配置。在/etc/lilo.conf文件中加如下面两个参数：restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。

　　第一步：编辑lilo.conf文件（vi /etc/lilo.comf）,假如或改变这三个参数：
　　boot=/dev/hda
　　map=/boot/map
　　install=/boot/boot.b
　　prompt
　　timeout=00 #把这行该为00，这样系统启动时将不在等待，而直接启动LINUX
　　message=/boot/message
　　linear
　　default=linux
　　restricted #加入这行
　　password= #加入这行并设置自己的密码

　　p_w_picpath=/boot/vmlinuz-2.4.2-2
　　label=linux
　　root=/dev/hda6
　　read-only

　　第二步：因为"/etc/lilo.conf"文件中包含明文密码，所以要把它设置为root权限读取。
　　# chmod 0600 /etc/lilo.conf

　　第三步：更新系统，以便对“/etc/lilo.conf”文件做的修改起作用。
　　# /sbin/lilo -v

　　第四步：使用“chattr”命令使"/etc/lilo.conf"文件变为不可改变。
　　# chattr +i /etc/lilo.conf

　　这样可以在一定程度上防止对“/etc/lilo.conf”任何改变（意外或其他原因）

　　3、让口令更加安全

　　口令可以说是系统的第一道防线，目前网上的大部分对系统的***都是从截获口令或者猜测口令开始的，所以我们应该选择更加安全的口令。

　　首先要杜绝不设口令的帐号存在。这可以通过查看/etc/passwd文件发现。例如，存在的用户名为test的帐号，没有设置口令，则在/etc/passwd文件中就有如下一行：
　　test::100:9::/home/test:/bin/bash

　　其第二项为空，说明test这个帐号没有设置口令，这是非常危险的！应将该类帐号删除或者设置口令。
其次，在旧版本的linux中，在/etc/passwd文件中是包含有加密的密码的，这就给系统的安全性带来了很大的隐患，最简单的方法就是可以用暴力破解的方法来获得口令。可以使用命令/usr/sbin/pwconv或者/usr/sbin/grpconv来建立/etc/shadow或者/etc/gshadow文件，这样在/etc/passwd文件中不再包含加密的密码，而是放在/etc/shadow文件中，该文件只有超级用户root可读！

　　第三点是修改一些系统帐号的Shell变量，例如uucp,ftp和news等，还有一些仅仅需要FTP功能的帐号，一定不要给他们设置/bin/bash或者/bin/sh等Shell变量。可以在/etc/passwd中将它们的Shell变量置空，例如设为/bin/false或者/dev/null等，也可以使用usermod -s /dev/null username命令来更改username的Shell为/dev/null。这样使用这些帐号将无法Telnet远程登录到系统中来！

　　第四点是修改缺省的密码长度：在你安装linux时默认的密码长度是5个字节。但这并不够，要把它设为8。修改最短密码长度需要编辑login.defs文件（vi/etc/login.defs），把下面这行
　　PASS_MIN_LEN 5
　　改为
　　PASS_MIN_LEN 8
　　login.defs文件是login程序的配置文件。

　　4、自动注销帐号的登录


　　在unix系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户，那将会带来很大的安全隐患，应该让系统会自动注销。通过修改账户中“TMOUT”参数，可以实现此功能。TMOUT按秒计算。编辑你的profile文件（vi /etc/profile）,在"HISTFILESIZE="后面加入下面这行：
　　TMOUT=300

　　300，表示300秒，也就是表示5分钟。这样，如果系统中登陆的用户在5分钟内都没有动作，那么系统会自动注销这个账户。你可以在个别用户的“.bashrc”文件中添加该值，以便系统对该用户实行特殊的自动注销时间。

　　改变这项设置后，必须先注销用户，再用该用户登陆才能激活这个功能。

　　5、取消普通用户的控制台访问权限

　　你应该取消普通用户的控制台访问权限，比如shutdown、reboot、halt等命令。
　　# rm -f /etc/security/console.apps/
　　是你要注销的程序名。

　　6、取消并反安装所有不用的服务

　　取消并反安装所有不用的服务，这样你的担心就会少很多。察看“/etc/inetd.conf”文件，通过注释取消所有你不需要的服务（在该服务项目之前加一个“#”）。然后用“sighup”命令升级“inetd.conf”文件。

　　第一步：

　　更改“/etc/inetd.conf”权限为600，只允许root来读写该文件。
　　# chmod 600 /etc/inetd.conf

　　第二步：

　　确定“/etc/inetd.conf”文件所有者为root。

　　第三步：

　　编辑 /etc/inetd.conf文件（vi /etc/inetd.conf），取消下列服务（你不需要的）：ftp, telnet, shell, login, exec, talk, ntalk, imap, pop-2, pop-3, finger, auth等等。把不需要的服务关闭可以使系统的危险性降低很多。


　　第四步：

　　给inetd进程发送一个HUP信号：
　　# killall -HUP inetd

　　第五步：

　　用chattr命令把/ec/inetd.conf文件设为不可修改，这样就没人可以修改它：
　　# chattr +i /etc/inetd.conf

　　 这样可以防止对inetd.conf的任何修改（以外或其他原因）。唯一可以取消这个属性的人只有root。如果要修改inetd.conf文件，首先要是取消不可修改性质：
　　# chattr -i /etc/inetd.conf

　　别忘了该后再把它的性质改为不可修改的。

　　7、TCP_WRAPPERS

　　使用TCP_WRAPPERS可以使你的系统安全面对外部***。最好的策略就是阻止所有的主机（"/etc/hosts.deny"文件中加入"ALL: ALL@ALL, PARANOID" ），然后再在"/etc/hosts.allow" 文件中加入所有允许访问的主机列表。

　　第一步：

　　编辑hosts.deny文件（vi /etc/hosts.deny），加入下面这行
　　# Deny access to everyone.
　　ALL: ALL@ALL, PARANOID

　　这表明除非该地址包在允许访问的主机列表中，否则阻塞所有的服务和地址。

　　第二步：

　　编辑hosts.allow文件（vi /etc/hosts.allow），加入允许访问的主机列表，比如：
　　ftp: 202.54.15.99 foo.com
　　202.54.15.99和 foo.com是允许访问ftp服务的ip地址和主机名称。

　　第三步：

　　tcpdchk程序是tepd wrapper设置检查程序。它用来检查你的tcp wrapper设置，并报告发现的潜在的和真实的问题。设置完后，运行下面这个命令：
　　# tcpdchk

　　8、修改“/etc/host.conf”文件

　　“/etc/host.conf”说明了如何解析地址。编辑“/etc/host.conf”文件（vi /etc/host.conf），加入下面这行：
　　# Lookup names via DNS first then fall back to /etc/hosts.
　　order bind,hosts
　　# We have machines with multiple IP addresses.
　　multi on
　　# Check for IP address spoofing.
　　nospoof on

　　第一项设置首先通过DNS解析IP地址，然后通过hosts文件解析。第二项设置检测是否“/etc/hosts”文件中的主机是否拥有多个IP地址（比如有多个以太口网卡）。第三项设置说明要注意对本机未经许可的电子欺骗。

　　9、使“/etc/services”文件免疫

　　使“/etc/services”文件免疫，防止未经许可的删除或添加服务：
　　# chattr +i /etc/services

　　10、不允许从不同的控制台进行root登陆

　　"/etc/securetty"文件允许你定义root用户可以从那个TTY设备登陆。你可以编辑"/etc/securetty"文件，再不需要登陆的TTY设备前添加“#”标志，来禁止从该TTY设备进行root登陆。

　　在/etc/inittab文件中有如下一段话：
　　# Run gettys in standard runlevels
　　1:2345:respawn:/sbin/mingetty tty1
　　2:2345:respawn:/sbin/mingetty tty2
　　#3:2345:respawn:/sbin/mingetty tty3
　　#4:2345:respawn:/sbin/mingetty tty4
　　#5:2345:respawn:/sbin/mingetty tty5
　　#6:2345:respawn:/sbin/mingetty tty6

　　系统默认的可以使用6个控制台，即Alt+F1,Alt+F2...，这里在3，4，5，6前面加上“#”，注释该句话，这样现在只有两个控制台可供使用，最好保留两个。然后重新启动init进程，改动即可生效！

　　11、使用PAM（可插拔认证模块）禁止任何人通过su命令改变为root用户su(Substitute

　　User替代用户)命令允许你成为系统中其他已存在的用户。如果你不希望任何人通过su命令改变为root用户或对某些用户限制使用su命令，你可以在su配置文件（在"/etc/pam.d/"目录下）的开头添加下面两行：
编辑su文件(vi /etc/pam.d/su)，在开头添加下面两行：
　　auth sufficient /lib/security/pam_rootok.so
　　auth required /lib/security/Pam_wheel.so group=wheel

　　这表明只有"wheel"组的成员可以使用su命令成为root用户。你可以把用户添加到“wheel”组，以使它可以使用su命令成为root用户。添加方法可以用这个命令：chmod -G10 username 。

　　12、Shell logging Bash

　　shell在“~/.bash_history”（“~/”表示用户目录）文件中保存了500条使用过的命令，这样可以使你输入使用过的长命令变得容易。每个在系统中拥有账号的用户在他的目录下都有一个“.bash_history”文件。bash
shell应该保存少量的命令，并且在每次用户注销时都把这些历史命令删除。

　　第一步：

　　“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行确定所有用户的“.bash_history”文件中可以保存的旧命令条数。强烈建议把把“/etc/profile”文件中的“HISTFILESIZE”和“HISTSIZE”行的值设为一个较小的数，比如30。编辑profile文件（vi/etc/profile），把下面这行改为：
　　HISTFILESIZE=30
　　HISTSIZE=30

　　这表示每个用户的“.bash_history”文件只可以保存30条旧命令。

　　第二步：


　　网管还应该在"/etc/skel/.bash_logout" 文件中添加下面这行"rm -f $HOME/.bash_history" 。这样，当用户每次注销时，“.bash_history”文件都会被删除。

　　编辑.bash_logout文件(vi /etc/skel/.bash_logout) ，添加下面这行：
　　rm -f $HOME/.bash_history

　　13、禁止Control-Alt-Delete键盘关闭命令

　　在"/etc/inittab" 文件中注释掉下面这行（使用#）：
　　ca::ctrlaltdel:/sbin/shutdown -t3 -r now
　　改为：
　　#ca::ctrlaltdel:/sbin/shutdown -t3 -r now

　　为了使这项改动起作用，输入下面这个命令：
　　# /sbin/init q

　　14、给"/etc/rc.d/init.d" 下script文件设置权限

　　给执行或关闭启动时执行的程序的script文件设置权限。
　　# chmod -R 700 /etc/rc.d/init.d/*

　　这表示只有root才允许读、写、执行该目录下的script文件。

　　15、隐藏系统信息

　　在缺省情况下，当你登陆到linux系统，它会告诉你该linux发行版的名称、版本、内核版本、服务器的名称。对于***来说这些信息足够它***你的系统了。你应该只给它显示一个“login:”提示符。

　　首先编辑"/etc/rc.d/rc.local" 文件，在下面显示的这些行前加一个“#”，把输出信息的命令注释掉。
　　# This will overwrite /etc/issue at every boot. So, make any changes you
　　# want to make to /etc/issue here or you will lose them when you reboot.
　　#echo "" > /etc/issue
　　#echo "$R" >> /etc/issue
　　#echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue
　　#
　　#cp -f /etc/issue /etc/issue.net
　　#echo >> /etc/issue

　　其次删除"/etc"目录下的“isue.net”和"issue"文件：
　　# rm -f /etc/issue
　　# rm -f /etc/issue.net

　　16、禁止不使用的SUID/SGID程序

　　如果一个程序被设置成了SUID

　　root，那么普通用户就可以以root身份来运行这个程序。网管应尽可能的少使用SUID/SGID 程序，禁止所有不必要的SUID/SGID程序。

　　查找root-owned程序中使用's'位的程序：
　　# find / -type f ( -perm -04000 -o -perm -02000 ) -exec ls -lg {} \;

　　用下面命令禁止选中的带有's'位的程序：
　　# chmod a-s [program]

　　以上这些都是一些维护系统安全所需要的一些基本的比较简单的步骤，要想让你的系统更加安全，还需要做很多，如配置OpenSSL等，维护系统的稳定和安全是一个持续的长久的工作，需要花大量的时间和精力。这里仅仅列出一些我平时工作的一些心得，和大家交流一下！