当前位置 主页 > 服务器问题 > Linux/apache问题 >

    linux服务器基本安全配置手册

    栏目:Linux/apache问题 时间:2018-09-17 14:25

    我们在搭建Linux服务器的时候有很多事情需要注意,其中一个安全的配置表是一个服务器的搭建者和维护者最需要掌握的东西。在本文中你会看到一份完整的Linux服务器安全搭建手册

    假如你想要搭建一个Linux服务器,并且希望可以长期维护的话,就需要考虑安全性能与速度等众多因素。一份正确的linux基本安全配置手册就显得格外重要。在我本文中就向大家介绍在edhat/centos 4,5下的Linux服务器基本安全配置手册。

    安装注意

    1.删除系统特殊的的用户帐号:

    禁止所有默认的被操作系统本身启动的且不需要的帐号,当你第一次装上系统时就应该做此检查,Linux提供了各种帐号,你可能不需要,如果你不需要这个帐号,就移走它,你有的帐号越多,就越容易受到攻击。

    #为删除你系统上的用户,用下面的命令:[root@c1gstudio]# userdel username#批量删除方式
    #这里删除"adm lp sync shutdown halt mail news uucp operator games gopher ftp "账号
    #如果你开着ftp等服务可以把ftp账号保留下来。
    for i in adm lp sync shutdown halt mail news uucp ope
    rator games gopher ftp ;do userdel $i ;done

    2.删除系统特殊的组帐号

    [root@c1gstudio]# groupdel groupname#批量删除方式for i in adm lp mail news uucp games dip pppusers popusers slipusers ;do groupdel $i ;done

    3.用户密码设置

    安装linux时默认的密码最小长度是5个字节,但这并不够,要把它设为8个字节。修改最短密码长度需要编辑login.defs文件#vi /etc/login.defs

    PASS_MAX_DAYS  99999  ##密码设置最长有效期(默认值)PASS_MIN_DAYS  0    ##密码设置最短有效期PASS_MIN_LEN  5    ##设置密码最小长度,将5改为8PASS_WARN_AGE  7    ##提前多少天警告用户密码即将过期。然后修改Root密码#passwd rootNew UNIX password:Retype new UNIX password:passwd: all authentication tokens updated successfully.

    4.修改自动注销帐号时间

    自动注销帐号的登录,在Linux系统中root账户是具有最高特权的。如果系统管理员在离开系统之前忘记注销root账户,那将会带来很大的安全隐患,应该让系统会自动注销。通过修改账户中“TMOUT”参数,可以实现此功能。TMOUT按秒计算。编辑你的profile文件(vi /etc/profile),在"HISTSIZE="后面加入下面这行:

    TMOUT=300

    300,表示300秒,也就是表示5分钟。这样,如果系统中登陆的用户在5分钟内都没有动作,那么系统会自动注销这个账户。

    5.限制Shell命令记录大小

    默认情况下,bash shell会在文件$HOME/.bash_history中存放多达500条命令记录(根据具体的系统不同,默认记录条数不同)。系统中每个用户的主目录下都有一个这样的文件。在此笔者强烈建议限制该文件的大小。
    您可以编辑/etc/profile文件,修改其中的选项如下:

    HISTFILESIZE=30或HISTSIZE=30#vi /etc/profileHISTSIZE=30

    6.注销时删除命令记录

    编辑/etc/skel/.bash_logout文件,增加如下行:

    rm -f $HOME/.bash_history
    这样,系统中的所有用户在注销时都会删除其命令记录。
    如果只需要针对某个特定用户,如root用户进行设置,则可只在该用户的主目录下修改/$HOME/.bash_history文件,增加相同的一行即可。

    7.用下面的命令加需要的用户组和用户帐号

    [root@c1gstudio]# groupadd例如:增加website 用户组,groupadd website然后调用vigr命令查看已添加的用户组用下面的命令加需要的用户帐号[root@c1gstudio]# useradd username –g website //添加用户到website组(作为webserver的普通管理员,而非root管理员)然后调用vipw命令查看已添加的用户用下面的命令改变用户口令(至少输入8位字母和数字组合的密码,并将密码记录于本地机的专门文档中,以防遗忘)[root@c1gstudio]# passwd username