1、系统安全配置1 系统密码文件的安全/etc/shadow 不允许复制/etc/passwd 有些 linux中有,必需开启 shadow比如:#chmod 744 /etc/passwd #chmod go-rwx /etc/shadow -rw-r-r- 1 root root 2430 10-09 18:08 /etc/passwd-r- 1 root root 1923 10-09 18:08 /etc/shadow2 关闭多余的控制台#vi /etc/inittab 使用俩个控制台,把其他的都给禁掉3 关闭 IPV6,关闭其模块#vi /etc/sysconfig/networkNET
2、WORKING_IPV6=no4 禁止普通用户开关机#vi /etc/inittab 注释 ca:ctrlaltdel;/sbin/shutdown t3 r now(禁止热启动)5 禁止 ping#echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all6 禁止源路由#echo 0 /proc/sys/net/ipv4/conf/all/accept_source_route (系统默认是禁止的)27 防止 SYN 攻击SYN攻击大家都知道,就是A给B发包,正常的包是三次握手,但是 A给B之后最后一次不进行确认。然后一直不停的给B 发包,B接收后确认延迟默
3、认30 秒,但是A会一直给B发包,以致阻塞掉路由。echo 1 /proc/sys/net/ipv4/tcp_syncookies8 限制系统进程数量1. Linux对于每个用户,系统限制其最大进程数。可以在用户根目录下的“.bashrc”文件或者实际使用与“.bashrc”功能相当的 shell的脚本中加入这种限制。2. 为提高性能,可以设置超级用户 root的最大进程数为无限#vi /root/.bashrc 加入 ulimit -u unlimited3. #ulimit a 显示当前所有的资源限制9 减少磁盘的 IOlinux文件默认有 3个时间:atime, 对此文件的访问时间cti
4、me, 此文件的 inode发生变化的时间mtime, 此文件的修改时间# vi /etc/fstab例如:/dev/md5 /data/pics1 ext3 noatime,nodiratime 0 010 优化 shell修改命令 history纪录#sed “s/1000/100/g” i /etc/profile#soruce /etc/profile11 关闭所有不必要的服务使用 netstat tunl 命令查看系统已监听的服务312 设置用户及口令的安全删除不必要的用户13 修改缺省的密码长度修改文件/etc/login.defs,把 PASS_MIN_LEN 5 改为 PASS
5、_MIN_LEN 8#sed “s/PASS_MIN_LEN 5/PASS_MIN_LEN 8/g” i /etc/login.defs14 自动注销账号的登录#vi /etc/profile 加入 TMOUT=300或者#echo “TMOUT=300” /etc/profile登录用户 5分钟内没有动作,将注销本次登录15 防止动作泄密在/etc/skel/.bash_logout 文件中添加这行rm -f $HOME/.bash_history16 设置口令文件chattr命令给下面的文件加上不可更改属性,从而防止非授权用户获得权限。#chattr +i /etc/passwd#chat
6、tr +i /etc/shadow#chattr +i /etc/group#chattr +i /etc/gshadow417 限制 su 命令任何人能够 su作为 root,可以编辑/etc/pam.d/su 文件,增加如下两行:auth sufficient /lib/security/pam_rootok.so debugauth required /lib/security/pam_wheel.so group=isd这时,仅isd组的用户可以su作为root。此后,如果您希望用户admin能够su作为root,可以运行如下命令: # usermod -G10 admin 18 防止 IP 欺骗编辑 host.conf文件并增加如下几行来防止 IP欺骗攻击。order bind,hosts multi off nospoof on 19 防止 DOS 攻击对系统所有的用户设置资源限制可以防止 DoS类型攻击,如最大进程数和内存使用数量#vi /etc/security/limits.conf* hard core 0* hard rss 5000* hard nproc 20上面的命令禁止调试文件,限制进程数为 50并且限制内存使用为 5MB
