Linux系统安全防护大全.pdf

Linux系统安全防护大全.pdf

《Linux系统安全防护大全.pdf》由会员分享，可在线阅读，更多相关《Linux系统安全防护大全.pdf（8页珍藏版）》请在冰豆网上搜索。

Linux安全文档关闭sendmail服务:

rootsample#/etc/rc.d/init.d/sendmailstop关闭sendmail服务Shuttingdownsendmail:

OKShuttingdownsm-client:

OKrootsample#chkconfigsendmailoff关闭sendmail自启动rootsample#chkconfig-listsendmail确认sendmail自启动已被关闭（都为off就OK）sendmail0:

off1:

off2:

off3:

off4:

off5:

off6:

off一、帐号与口令帐号与口令1删除系统臃肿多余的账号：

userdellp、userdelsync、userdelshutdown、userdelhalt、userdelnews、userdeluucp、userdeloperator、userdelgames、userdelgopher、userdelftp（如果你不允许匿名FTP，就删掉这个用户帐号）groupdellp、groupdelnews、groupdeluucp、groupdelgames、groupdeldip、groupdelpppusers。

2口令的安全性：

口令的长度最少在10位或以上，由数字，大小写字母和特殊字符组合而成，口令的字符组合要具有无规律性，不要用电话，生日，名字等有特殊意义的容易猜测的数字或字母。

3Linux中的帐号和口令是依据/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow这四个文档的，所以需要更改其权限提高安全性：

chattr+i/etc/passwdchattr+i/etc/shadowchattr+i/etc/groupchattr+i/etc/gshadow如果还原，把+i改成-i,再执行一下上面四条命令。

注：

i属性：

不允许对这个文件进行修改，删除或重命名，设定连结也无法写入或新增数据！

只有root才能设定这个属性二、二、SSH的安全设定的安全设定11设定设定sshdsshd服务器服务器vi/etc/ssh/sshd_configPort10000#更改SSH端口，最好改为10000以上，别人扫描到端口的机率也会下降。

防火墙要开放配置好的端口号。

Protocol2#禁用版本1协议,因为其设计缺陷,很容易使密码被黑掉。

PermitRootLoginno#尝试任何情况先都不允许Root登录.生效后我们就不能直接以root的方式登录了，我们需要用一个普通的帐号来登录，然后用su来切换到root帐号，注意su和su-是有一点小小区别的。

关键在于环境变量的不同，su-的环境变量更全面。

PermitEmptyPasswordsno禁止空密码登陆。

UseDNSno#SSH的连接登录延时一般来说是因为sshd默认打开了反向DNS解析的问题。

servicesshdrestart使得SSH生效。

2.2.限制限制sshssh使用者名单，只允许某些用户帐号使用使用者名单，只允许某些用户帐号使用sshssh连接连接：

#vi/etc/pam.d/sshd增加一条命令authrequiredpam_listfile.soitem=usersense=allowfile=/etc/ssh/allow_listonerr=failvi/etc/ssh/allow_list添加您想允许使用ssh登入主机的帐号，一行一个帐号。

或者：

echooracle/etc/ssh/allow_list3.3.使用使用DenyHostsDenyHosts阻止阻止SSHSSH暴力破解暴力破解（同时可以保护（同时可以保护FTPFTP）DenyHosts是Python语言写的一个程序，它会分析SSHD的日志文件，当发现重复的攻击时就会记录IP到/etc/hosts.deny文件，从而达到自动屏蔽IP的功能。

以下是安装记录：

#tar-zxvfDenyHosts-2.6.tar.gz#cdDenyHosts-2.6#pythonsetup.pyinstall默认是安装到/usr/share/denyhosts/目录的。

#cd/usr/share/denyhosts/#cpdenyhosts.cfg-distdenyhosts.cfg#cpdaemon-control-distdaemon-control#vidaemon-controlDENYHOSTS_BIN=/usr/bin/denyhosts.pyDENYHOSTS_LOCK=/var/lock/subsys/denyhostsDENYHOSTS_CFG=/usr/share/denyhosts/denyhosts.cfg#chownrootdaemon-control#chmod700daemon-control完了之后执行daemon-contronstart就可以了。

#./daemon-controlstart如果要使DenyHosts每次重起后自动启动还需做如下设置：

#cd/etc/init.d#ln-s/usr/share/denyhosts/daemon-controldenyhosts#chkconfig-adddenyhosts#chkconfig-level2345denyhostson或者修改/etc/rc.local文件：

#vi/etc/rc.local加入下面这条命令/usr/share/denyhosts/daemon-controlstartDenyHosts配置文件说明：

#videnyhosts.cfg这里根据自己需要进行相应的配置SECURE_LOG=/var/log/secure#sshd日志文件，它是根据这个文件来判断的，不同的操作系统，文件名稍有不同。

HOSTS_DENY=/etc/hosts.deny#控制用户登陆的文件PURGE_DENY=5m#过多久后清除已经禁止的BLOCK_SERVICE=sshdBLOCK_SERVICE=vsftpd（如果启用FTP服务，务必加上这一行）#禁止的服务名DENY_THRESHOLD_INVALID=1#允许无效用户失败的次数DENY_THRESHOLD_VALID=10#允许普通用户登陆失败的次数DENY_THRESHOLD_ROOT=5#允许root登陆失败的次数HOSTNAME_LOOKUP=NO#是否做域名反解DAEMON_LOG=/var/log/denyhosts#DenyHosts的日志文件三三、网络安全选项网络安全选项的设定的设定编辑/etc/sysctl.conf档案，并加入下面几行，#Enableignoringbroadcastsrequest（让系统对广播没有反应）net.ipv4.icmp_echo_ignore_broadcasts=1#DisablesIPsourcerouting（取消IPsourcerouting）net.ipv4.conf.all.accept_source_route=0#EnableTCPSYNCookieProtection（开启TCPSYNCookie保护）net.ipv4.tcp_syncookies=1#DisableICMPRedirectAcceptance（取消ICMP接受Redirect）net.ipv4.conf.all.accept_redirects=0#EnablebaderrormessageProtection（开启错误讯息保护）net.ipv4.icmp_ignore_bogus_error_responses=1#EnableIPspoofingprotection,turnonSourceAddressVerification（开启IP欺骗保护）net.ipv4.conf.all.rp_filter=1#LogSpoofedPackets,SourceRoutedPackets,RedirectPackets（记录SpoofedPackets,SourceRoutedPackets,RedirectPackets）net.ipv4.conf.all.log_martians=1最后重新启动networkrootdeep/#/etc/rc.d/init.d/networkrestart或者sysctlp生效echo1/proc/sys/net/ipv4/icmp_echo_ignore_all四、防火墙的设定四、防火墙的设定根据不同的服务器使用已定义好的相应的防火墙规则。

假设防火墙的文件为：

firewall.sh用法：

shfirewall.sh如果想开机即启动防火墙，则可以在/etc/rc.d/rc.local加上一句：

shfirewall.sh以下是iptables的简单说明：

查看规则iptables-L-n参数说明：

-L：

列出目前的table的规则-n：

不进行IP与HOSTNAME的转换，屏幕显示讯息的速度会快很多清除规则iptables-F参数说明：

-F：

清除所有的已订定的规则；定义政策当封包不在设定的规则之内时，则该封包的通过与否，以Policy的设定为准语法：

iptables-PINPUT,OUTPUT,FORWARDACCEPT,DROP参数说明：

-P：

定义政策（Policy）。

注意，这个P为大写啊！

INPUT：

封包为输入主机的方向；OUTPUT：

封包为输出主机的方向；FORWARD：

封包为不进入主机而向外再传输出去的方向；范例：

roottestroot#/sbin/iptables-PINPUTDROProottestroot#/sbin/iptables-POUTPUTACCEPTroottestroot#/sbin/iptables-PFORWARDACCEPT增加与插入规则范例：

1.只要通过eth0进入本机的21端口的封包就丢弃iptablesAINPUTieth0ptcpdport21jDROP2.来自192.168.1.25的封包都丢弃iptablesAINPUTieth0ptcps192.168.1.25jDROP3.来自192.168.0.24这个IP的封包，想要到本机的137，138，139端口的都接受iptablesAINPUTieth0ptcps192.168.1.25dport137:

139jACCEPT参数说明：

-A：

新增加一条规则，该规则增加在最后面，例如原本已经有四条规则，使用-A就可以加上第五条规则！

-I：

插入一条规则，如果没有设定规则顺序，预设是插入变成第一条规则，例如原本有四条规则，使用-I则该规则变成第一条，而原本四条变成25-i：

设定封包进入的网络卡接口-p：

请注意，这是小写！

封包的协议！

tcp：

封包为TCP协定的封包；upd：

封包为UDP协定的封包；icmp：

封包为ICMP协定、all：

表示为所有的封包！

-s：

来源封包的IP或者是Network（网域）；-sport：

来源封包的port号码，也可以使用port1:

port2如21:

23同时通过21,22,23的意思-d：

目标主机的IP或者是Networ