LINUX安全讨论

wingger

六、安全设置
1、TCP_WRAPPERS
（1）#vi /etc/hosts.deny，加入
# Deny access to everyone.
ALL: ALL@ALL, PARANOID
这表明除非该地址在允许访问的主机列表中，否则阻塞所有的服务和地址。

（2）#vi /etc/hosts.allow，加入允许访问的主机列表，如：
ftp: 202.54.15.99 foo.com

（3）# tcpdchk /--检查你的tcp wrapper设置

2、防止ping
echo 1>;/proc/sys/net/ipv4/icmp_echo_ignore_all

3、禁止提供finger 服务
使用finger命令可以显示本地或远程系统中目前已登录用户的详细信息，黑客可以利用这些信息，增大侵入系统的机会。为了系统的安全，最好禁止提供finger服务。如下：
从/usr/bin下删除finger 命令；
如果要保留 finger服务，应将finger文件换名，或修改其权限，使得只允许root用户执行finger命令

4、NFS 服务器：
由于NFS 服务器漏洞比较多，你一定要小心。
如果要使用NFS 网络文件系统服务，那么确保你的/etc/exports具有最严格的存取权限设置，不意味着不要使用任何通配符，不允许root写权限并且只能安装为只读文件系统。编辑文件/etc/exports 并且加：
/dir/to/export host1.mydomain.com （ro，root_squash ）
/dir/to/export host2.mydomain.com （ro，root_squash ）
其中/dir/to/export是你想输出的目录，host.mydomain.com 是登录这个目录的机器名，ro意味着mount 成只读系统，root_squash 禁止root写入该目录。最后为了让上面的改变生效，运行exportfs命令
[boot]# /usr/sbin/exportfs -a

5、防止DoS攻击
对系统所有的用户设置资源限制可以防止DoS类型攻击（denial of service attacks）。如最大进程数，内存数量等。 编辑/etc/security/limits.con加如下几行：
　 * hard core 0
　 * hard rss 5000
　 * hard nproc 20
编辑/etc/pam.d/login文件检查这一行是否存在。
session required /lib/security/pam_limits.so
上面的命令禁止调试文件，限制进程数为50，且限制内存使用 为5MB。

5、安全补丁（一般情况下，新的软件包都修正原来的安全问题）
在http://www.redhat.com/corp/support/errata/

可以找到补丁。
在redhat6.1以后的版本带有一个工具up2date，它能够测定哪些rpm包需要升级，然后自动从redhat的站点下载
首先检查是否安装:
rpm -q up2date
rpm -q rhn_register
然后注册:
up2date - -register

然后升级:
up2date (图形界面)
up2date - -nox (字符界面)

可以配置:
up2date - - configure
up2date - - nox - - configure
并完成安装。

wingger

原帖由 "零二年的夏天" 发表：
楼主提醒的很好！
曾经注释掉了ftp，发觉我的ftp服务器无论如何也不能配置成功，后来发觉居然是这个用户的问题。
关于那些用户可以注释，那些不可以似乎并不一定，这还要依赖于您的服务需要。论坛里曾经就用户问题..........

有讨论过最好了，我还想到哪找些关于用户的资料呢     

七、必备的日志管理
1、禁止一般权限的用户去查看日志文件。 #more /var/log/secure |grep refused
2、        安装一个icmp／tcp日志管理程序，如iplogger，来观察那些可疑的多次的连接尝试(加icmp flood3或一些类似的情况)。完整的日志管理要包括网络数据的正确性、有效性、合法性。对日志文件的分析还可以预防入侵。例如、某一个用户几小时内的20次的注册失败记录，很可能是入侵者正在尝试该用户的口令。
如：记录每一个ftp连接日志，可以通过修改/etc/ftpaccess或者/etc/inetd.conf
如：修改inetd.conf的例子：
ftp　 stream　 tcp　 nowait　 root　 /usr/sbin/tcpd　 in.ftpd -l -L -i -o
-l　每一个ftp连接都写到syslog
-L　纪录用户的每一个命令
-i　文件received,纪录到xferlog
-o　文件transmitted,记录到xferlog


总之，一个好的安全管理员是不应该忘了他的日志的。日志可以提供很多信息，不仅仅是安全信息，如错误，安装信息等，要学会从日志中得到的提示去查找和解决问题。当然，日志问题要考虑多方面，如果太详细的话，可能日记数量太庞大而且不方便查找。具体看需求了

wingger

八、其它
1、使用安全工具软件或防火墙保护系统：

2、防范网络嗅探：
　　关闭不必要的服务和服口，尤其是PING。很多网络扫描工具都是使用PING来探测主机状态的，关掉PING后，会认为主机不可到达了。
现在的工具可能又升级了      

3、对正在进行的攻击
终止正进行的攻击 假如你在检查日志文件时，发现了一个用户从你未知的主机登录，而且你确定此用户在这台主机上没有账号，此时你可能正被攻击。首先你要马上锁住此账号(在口令文件或shadow文件中，此用户的口令前加一个Ib或其他的字符)。

查看此用户的历史记录，查看其他用户是否也被假冒，攻击音是否拥有根权限。杀掉此用户的所有进程并把此主机的ip地址掩码加到文件hosts.deny中。

wingger

原帖由 "弱智" 发表：
嗬嗬，同样这篇，楼主翻译的比purge翻译的要地道。
http://www.chinaunix.net/jh/4/274901.html

不是我翻译的，只能算是整理

aspbiz

还可以。

天外闲云

linux系统安全基础，讲得很详细，从物理安全，到版本选择等基本安全到网络安全，数据加密，入侵检测、审核与恢复，数据保护都谈到了，手上有一本基本上国内90%的黑客攻不进你的系统。

就算被攻下，因为有完整的备份恢复方案，也没什么问题。

强烈推荐。

text2002

大侠们没有什么补充的吗？。。

wingger

原帖由 "天外闲云" 发表：
linux系统安全基础，讲得很详细，从物理安全，到版本选择等基本安全到网络安全，数据加密，入侵检测、审核与恢复，数据保护都谈到了，手上有一本基本上国内90%的黑客攻不进你的系统。

就算被攻下，因为有完整的备..........

书名？作者？出版社是什么

xmyjm

好文，手上正准备装一台LINUX服务器。谢了

zerohv

《LINUX黑客大曝光》也不错的。