Linux系统安全防护大全.pdf

1、Linux 安全文档 关闭 sendmail 服务:rootsample#/etc/rc.d/init.d/sendmail stop 关闭 sendmail 服务 Shutting down sendmail:OK Shutting down sm-client:OK rootsample#chkconfig sendmail off 关闭 sendmail 自启动 rootsample#chkconfig-list sendmail 确认 sendmail 自启动已被关闭（都为 off 就 OK）sendmail 0:off 1:off 2:off 3:off 4:off 5:off 6:

2、off 一、帐号与口令帐号与口令 1删除系统臃肿多余的账号：userdel lp、userdel sync、userdel shutdown、userdel halt、userdel news、userdel uucp、userdel operator、userdel games、userdel gopher、userdel ftp（如果你不允许匿名 FTP，就删掉这个用户帐号）groupdel lp、groupdel news、groupdel uucp、groupdel games、groupdel dip、groupdel pppusers。2口令的安全性：口令的长度最少在 10 位或以

3、上，由数字，大小写字母和特殊字符组合而成，口令的字符组合要具有无规律性，不要用电话，生日，名字等有特殊意义的容易猜测的数字或字母。3 Linux 中的帐号和口令是依据/etc/passwd、/etc/shadow、/etc/group、/etc/gshadow这四个文档的，所以需要更改其权限提高安全性：chattr+i/etc/passwd chattr+i/etc/shadow chattr+i/etc/group chattr+i/etc/gshadow 如果还原，把+i 改成-i,再执行一下上面四条命令。注：i 属性：不允许对这个文件进行修改，删除或重命名，设定连结也无法写入或新增数据！

4、只有 root 才能设定这个属性 二、二、SSH 的安全设定的安全设定 1 1设定设定 sshd sshd 服务器服务器 vi/etc/ssh/sshd_config Port 10000#更改 SSH 端口，最好改为 10000 以上，别人扫描到端口的机率也会下降。防火墙要开放配置好的端口号。Protocol 2#禁用版本 1 协议,因为其设计缺陷,很容易使密码被黑掉。PermitRootLogin no#尝试任何情况先都不允许 Root 登录.生效后我们就不能直接以 root 的方式登录了，我们需要用一个普通的帐号来登录，然后用 su 来切换到 root 帐号，注意 su 和 su-是有一

5、点小小区别的。关键在于环境变量的不同，su-的环境变量更全面。PermitEmptyPasswords no 禁止空密码登陆。UseDNS no#SSH 的连接登录延时一般来说是因为 sshd 默认打开了反向 DNS 解析的问题。service sshd restart 使得 SSH 生效。2.2.限制限制 ssh ssh 使用者名单，只允许某些用户帐号使用使用者名单，只允许某些用户帐号使用 sshssh 连接连接：#vi/etc/pam.d/sshd 增加一条命令 auth required pam_listfile.so item=user sense=allow file=/etc/ss

6、h/allow_list onerr=fail vi/etc/ssh/allow_list 添加您想允许使用 ssh 登入主机的帐号，一行一个帐号。或者：echo oracle /etc/ssh/allow_list 3.3.使用使用 DenyHostsDenyHosts 阻止阻止 SSHSSH 暴力破解暴力破解（同时可以保护（同时可以保护 FTPFTP）DenyHosts是Python语言写的一个程序，它会分析SSHD的日志文件，当发现重复的攻击时就会记录 IP 到/etc/hosts.deny 文件，从而达到自动屏蔽 IP 的功能。以下是安装记录：#tar-zxvf DenyHosts-2

7、.6.tar.gz#cd DenyHosts-2.6#python setup.py install 默认是安装到/usr/share/denyhosts/目录的。#cd/usr/share/denyhosts/#cp denyhosts.cfg-dist denyhosts.cfg#cp daemon-control-dist daemon-control#vi daemon-control DENYHOSTS_BIN =/usr/bin/denyhosts.py DENYHOSTS_LOCK=/var/lock/subsys/denyhosts DENYHOSTS_CFG =/usr/sh

8、are/denyhosts/denyhosts.cfg#chown root daemon-control#chmod 700 daemon-control 完了之后执行 daemon-contron start 就可以了。#./daemon-control start 如果要使 DenyHosts 每次重起后自动启动还需做如下设置：#cd/etc/init.d#ln-s/usr/share/denyhosts/daemon-control denyhosts#chkconfig-add denyhosts#chkconfig-level 2345 denyhosts on 或者修改/etc/

9、rc.local 文件：#vi/etc/rc.local 加入下面这条命令/usr/share/denyhosts/daemon-control start DenyHosts 配置文件说明：#vi denyhosts.cfg 这里根据自己需要进行相应的配置 SECURE_LOG=/var/log/secure#sshd 日志文件，它是根据这个文件来判断的，不同的操作系统，文件名稍有不同。HOSTS_DENY=/etc/hosts.deny#控制用户登陆的文件 PURGE_DENY=5m#过多久后清除已经禁止的 BLOCK_SERVICE=sshd BLOCK_SERVICE=vsftpd(如

10、果启用 FTP 服务，务必加上这一行)#禁止的服务名 DENY_THRESHOLD_INVALID=1#允许无效用户失败的次数 DENY_THRESHOLD_VALID=10#允许普通用户登陆失败的次数 DENY_THRESHOLD_ROOT=5#允许 root 登陆失败的次数 HOSTNAME_LOOKUP=NO#是否做域名反解 DAEMON_LOG=/var/log/denyhosts#DenyHosts 的日志文件 三三、网络安全选项网络安全选项的设定的设定 编辑/etc/sysctl.conf 档案，并加入下面几行，#Enable ignoring broadcasts request

11、 （让系统对广播没有反应）net.ipv4.icmp_echo_ignore_broadcasts=1#Disables IP source routing（取消 IP source routing）net.ipv4.conf.all.accept_source_route=0#Enable TCP SYN Cookie Protection（开启 TCP SYN Cookie 保护）net.ipv4.tcp_syncookies=1#Disable ICMP Redirect Acceptance（取消 ICMP 接受 Redirect）net.ipv4.conf.all.accept_re

12、directs=0#Enable bad error message Protection（开启错误讯息保护）net.ipv4.icmp_ignore_bogus_error_responses=1#Enable IP spoofing protection,turn on Source Address Verification（开启 IP 欺骗保护）net.ipv4.conf.all.rp_filter=1#Log Spoofed Packets,Source Routed Packets,Redirect Packets（记录 Spoofed Packets,Source Routed P

13、ackets,Redirect Packets）net.ipv4.conf.all.log_martians=1 最后重新启动 network rootdeep/#/etc/rc.d/init.d/network restart 或者 sysctl p 生效 echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all 四、防火墙的设定四、防火墙的设定 根据不同的服务器使用已定义好的相应的防火墙规则。假设防火墙的文件为：firewall.sh 用法：sh firewall.sh 如果想开机即启动防火墙，则可以在/etc/rc.d/rc.local 加上一句：sh

14、 firewall.sh 以下是 iptables 的简单说明：查看规则 iptables -L-n 参数说明：-L：列出目前的 table 的规则 -n：不进行 IP 与 HOSTNAME 的转换，屏幕显示讯息的速度会快很多 清除规则 iptables -F 参数说明：-F：清除所有的已订定的规则；定义政策 当封包不在设定的规则之内时，则该封包的通过与否，以 Policy 的设定为准 语法：iptables -P INPUT,OUTPUT,FORWARD ACCEPT,DROP 参数说明：-P ：定义政策(Policy)。注意，这个 P 为大写啊！INPUT：封包为输入主机的方向；OUTPU

15、T：封包为输出主机的方向；FORWARD：封包为不进入主机而向外再传输出去的方向；范例：roottest root#/sbin/iptables-P INPUT DROP roottest root#/sbin/iptables-P OUTPUT ACCEPT roottest root#/sbin/iptables-P FORWARD ACCEPT 增加与插入规则 范例：1.只要通过 eth0 进入本机的 21 端口的封包就丢弃 iptables A INPUT i eth0 p tcp dport 21 j DROP 2.来自 192.168.1.25 的封包都丢弃 iptables A

16、INPUT i eth0 p tcp s 192.168.1.25 j DROP 3.来自 192.168.0.24 这个 IP 的封包，想要到本机的 137，138，139 端口的都接受 iptables A INPUT i eth0 p tcp s 192.168.1.25 dport 137:139 j ACCEPT 参数说明：-A：新增加一条规则，该规则增加在最后面，例如原本已经有四条规则，使用-A 就可以加上第五条规则！-I：插入一条规则，如果没有设定规则顺序，预设是插入变成第一条规则，例如原本有四条规则，使用-I 则该规则变成第一条，而原本四条变成 25-i：设定封包进入的网络卡接口-p：请注意，这是小写！封包的协议！tcp：封包为 TCP 协定的封包；upd：封包为 UDP 协定的封包；icmp：封包为 ICMP 协定、all：表示为所有的封包！-s：来源封包的 IP 或者是 Network(网域)；-sport：来源封包的 port 号码，也可以使用 port1:port2 如 21:23 同时通过 21,22,23 的意思 -d：目标主机的 IP 或者是 Networ