Linux 服务器安全配置(2)
注:在使用以下任何一种方法时,请先检查需要关闭的服务是否是本服务器特别需要启动支持的服务,以防关闭正常使用的服务。
第一种:修改文件名的方法
Cd /etc/init.d/
mv apmd apmd.old ##笔记本需要
mv netfs netfs.old ## nfs客户端
mv yppasswdd yppasswdd.old ## NIS服务器,此服务漏洞很多
mv ypserv ypserv.old ## NIS服务器,此服务漏洞很多
mv dhcpd dhcpd.old ## dhcp服务
mv portmap portmap.old ##运行rpc(111端口)服务必需
mv lpd lpd.old ##打印服务
mv nfs nfs.old ## NFS服务器,漏洞极多
mv sendmail sendmail.old ##邮件服务, 漏洞极多
mv snmpd snmpd.old ## SNMP,远程用户能从中获得许多系统信息
mv rstatd rstatd.old ##避免运行r服务,远程用户可以从中获取很多信息
mv atd atd.old ##和cron很相似的定时运行程序的服务
第二种:使用chkcofig命令来关闭不使用的系统服务
chkconfig ?Clevel 35 apmd off
chkconfig ?Clevel 35 netfs off
chkconfig ?Clevel 35 yppasswdd off
chkconfig ?Clevel 35 ypserv off
chkconfig ?Clevel 35 dhcpd off
chkconfig ?Clevel 35 portmap off
chkconfig ?Clevel 35 lpd off
chkconfig ?Clevel 35 nfs off
chkconfig ?Clevel 35 sendmail off
chkconfig ?Clevel 35 snmpd off
chkconfig ?Clevel 35 rstatd off
chkconfig ?Clevel 35 atd off
注:以上chkcofig 命令中的3和5是系统启动的类型,3代表系统的多用启动方式,5代表系统的X启动方式。
3.2 给系统服务端口列表文件加锁
主要作用:防止未经许可的删除或添加服务
chattr +i /etc/services
3.3 修改ssh服务的root登录权限
修改ssh服务配置文件,使的ssh服务不允许直接使用root用户来登录,这样建设系统被恶意登录攻击的机会。
vi /etct/ssh/sshd_config
PermitRootLogin yes
将这行前的#去掉后,修改为:PermitRootLogin no
4.系统文件权限
Linux 文件系统的安全主要是通过设置文件的权限来实现的。每一个Linux的文件或目录,都有3组属性,分别定义文件或目录的所有者,用户组和其他人的使用权限(只读、可写、可执行、允许SUID、允许SGID等)。特别注意,权限为SUID和SGID的可执行文件,在程序运行过程中,会给进程赋予所有者的权限,如果被黑客发现并利用就会给系统造成危害。
4.1 修改init目录文件执行权限:
chmod -R 700 /etc/init.d/*
4.2 修改部分系统文件的SUID和SGID的权限:
chmod a-s /usr/bin/chage
chmod a-s /usr/bin/gpasswd
chmod a-s /usr/bin/wall
chmod a-s /usr/bin/chfn
chmod a-s /usr/bin/chsh
chmod a-s /usr/bin/newgrp
chmod a-s /usr/bin/write
chmod a-s /usr/sbin/usernetctl
chmod a-s /usr/sbin/traceroute
chmod a-s /bin/mount
chmod a-s /bin/umount
chmod a-s /bin/ping
chmod a-s /sbin/netreport
4.3 修改系统引导文件
chmod 600 /etc/grub.conf
chattr +i /etc/grub.conf
5.系统优化
5.1 虚拟内存优化:
一般来说,linux的物理内存几乎是完全used。这个和windows非常大的区别,它的内存管理机制将系统内存充分利用,并非windows无论多大的内存都要去使用一些虚拟内存一样。
在/proc/sys/vm/freepages中三个数字是当前系统的:最小内存空白页、最低内存空白页和最高内存空白。
