这个主机安全方案怎么配啊？

youxi423

小弟最近才接触LINUX，公司项目用的是REHL5.2，设计的主机安全方案如下，我不是很清楚该怎么配置，请各位高手指点一下，谢谢。

1、严格限制用户错误登录尝试次数。
2、禁止赋予文件或者目录777或者666的权限。
3、屏蔽TELNET登录改用SSH登录。
4、禁止root用户直接远程登录权限。

5、禁止root等系统用户ftp权限。
6、限制ftp权限用户必须在自家目录并规范使用。
7、不给ftp权限用户以文件的执行权限。

再次感谢。

marsaber

1、严格限制用户错误登录尝试次数。
：这个不错，iptables可以实现；另外还可以使用密钥登录。

2、禁止赋予文件或者目录777或者666的权限。
：这个限制有点严格吧？也没有考虑过。

3、屏蔽TELNET登录改用SSH登录。
：RHEL5.2默认是不支持telnet的，只有ssh。

4、禁止root用户直接远程登录权限。
：这个很简单，修改/etc/ssh/sshd_config中关于root登录的那行（具体哪行自己查去）；

5、禁止root等系统用户ftp权限。
：vsftpd默认是不允许root用户登录的，至于你后面的那个"等"字该如何理解？

6、限制ftp权限用户必须在自家目录并规范使用。
：这个也可以实现；具体的请man vsftpd.conf

7、不给ftp权限用户以文件的执行权限。
：这个也可以实现；具体的请man vsftpd.conf

emmoblin

lz可以研究一下SElinux，可以帮你一部分忙

4℃華客

原帖由 marsaber 于 2009-10-12 22:32 发表
1、严格限制用户错误登录尝试次数。
：这个不错，iptables可以实现；另外还可以使用密钥登录。

2、禁止赋予文件或者目录777或者666的权限。
：这个限制有点严格吧？也没有考虑过。

3、屏蔽TELNET登录改 ...

===================================
方案不错。

限制用户错误登陆的尝试次数，没有必要用iptables，系统本身可以。具体查一下。

限制文件及目录的权限，是相当必要的。这个是不可小看的。

另外。要看自己的服务器跑什么。

比较变态的iptables帮你解决了一切安全上的问题。

rainbow

方案挺好，慢慢配吧。

freemongolia

1、严格限制用户错误登录尝试次数。
编辑sshd.conf禁止密码方式登陆(PasswordAuthenticationno)

2、禁止赋予文件或者目录777或者666的权限。
用户umask?

3、屏蔽TELNET登录改用SSH登录。
本来就不能telnet

4、禁止root用户直接远程登录权限。
编辑sshd.conf,禁止root登陆（PermitRootLogin no）

5、禁止root等系统用户ftp权限。
编辑vsftpd.conf，设定哪里用户可以登陆（默认/etc/vsftpd/ftpuser中的用户都不可以登陆包括root）

6、限制ftp权限用户必须在自家目录并规范使用。
编辑vsftpd.conf，设定chroot并写上具体用户

7、不给ftp权限用户以文件的执行权限。
编辑vsftpd.conf，设定umask

marsaber

原帖由 freemongolia 于 2009-10-13 18:01 发表
5、禁止root等系统用户ftp权限。
编辑vsftpd.conf，设定哪里用户可以登陆（默认/etc/vsftpd/ftpuser中的用户都不可以登陆包括root）

默认就是不允许root登录的，/etc/vsftpd/下有两个文件控制着呢（具体哪两个文件我忘了）。

原帖由 freemongolia 于 2009-10-13 18:01 发表
6、限制ftp权限用户必须在自家目录并规范使用。
编辑vsftpd.conf，设定chroot并写上具体用户

应该不是吧？
添加这么一句：chroot_local_user=yes    //只允许系统用户登录后在自己的home目录内活动。