【文档说明】安装一台安全的Linux.pptx，共(33)页，118.139 KB，由精品优选上传

转载请保留链接：https://www.ichengzhen.cn/view-288329.html

以下为本文档部分文字说明：

安装一台安全的Linux何伟平hwtony@xmubbsLinux的优点◼Linux花费小，硬件要求低◼开放源码◼相对安全Linux的缺点◼学习成本高◼缺少技术支持◼特定服务无法满足要求选择依据◼根据应用选择操作系统◼利用linux为老机器延长寿命安全概述◼防范

谁（天灾、病毒、人）◼需要什么样的措施◼授予最小的权限安装要点◼避免连接网络◼慎重规划文件系统◼仅安装必要程序规划文件系统◼选用日志文件系统◼独立/var、/home、/boot◼独立/usr、/tmp安装最小的操作系统◼安装时选择Minimal物理安全◼限制启

动方式◼保护控制台限制启动方式◼更改启动顺序◼加上BIOS密码◼加上Loader密码给GRUB加上密码◼获得加密串grub>md5cryptPassword:******Encrypted:$1$qW/qn0$LOnxgnJ2eyQupw2i7aTtS1◼编辑/bo

ot/grub/grub.conf，加入password--md5$1$b.0qn0$X7vUSPBqlznCPHzQQJJQ51保护控制台–禁用ctrl+alt+del◼编辑/etc/inittab

◼注释掉如下配置ca::ctrlaltdel:/sbin/shutdown-t3-rnow保护控制台–禁用程序◼执行以下命令rm–f/etc/security/console.apps/haltrm–f/etc/security/console.apps/

rebootrm–f/etc/security/console.apps/poweroffforiin/etc/pam.d/*do>sed‘/[^#].*pam_console.so/s/^/#/’<$i>temp&&mv–ftemp$i>done帐户安全◼删除不必

要帐户◼限制帐户权限◼保护超级管理员帐户删除不必要的帐户◼用以下命令查看用户cat/etc/passwd|cut-f1-1-d:-◼删除adm、lp、sync、shutdown、halt、news、mail、uucp、operator、games、gopher、ftp删除不必要的组◼用以下命令查看

用户cat/etc/group|cut-f1-1-d:-◼删除adm、lp、news、mail、uucp、games、dip限制帐户权限◼允许登陆？usermod-s/sbin/nologinusername◼登陆方式，位置

？◼避免创建默认组保护超级管理员帐户◼编辑/etc/profile，加入TMOUT=600◼编辑/etc/pam.d/su，去掉下面的注释#authrequired/lib/security/$ISA/pam_wheel.souse_uid文件安全◼避免不必要的文件权限

◼保护重要文件◼注意SUID程序避免不必要的文件权限◼修改fstab◼/var、/tmp加上noexec、nosuid、nodev◼/home加上nosuid、nodev保护重要的文件◼chattr–i◼/etc/services◼

/etc/passwd◼/etc/shadow◼/etc/group◼/etc/gshadow◼……去掉不必要的SUID◼查找SUID程序find/-typef\(-perm-04000-o-perm-02000\)◼去掉权限chmoda-s/bin/mount……网络安全◼配置防火墙◼删除不

必要的服务◼设置内核参数IPTABLES(1)#exportINET_IP=xxx.xxx.xxx.xxx#iptables-Nbad_tcp_packets#iptables-Nallowed#iptabl

es-Abad_tcp_packets-ptcp--tcp-flags\SYN,ACKSYN,ACK-mstate--stateNEW-jREJECT--reject-withtcp-reset#iptables-Abad_tcp_packets-ptc

p!--syn-mstate--stateNEW-jDROP#iptables-Aallowed-pTCP--syn-jACCEPT#iptables-Aallowed-pTCP-mstate--stateESTABLISHE

D,RELATED-jACCEPT#iptables-Aallowed-pTCP-jDROPIPTABLES(2)#iptables-AINPUT-ptcp-jbad_tcp_packets#iptables-A

INPUT-pALL-ilo-s127.0.0.1-jACCEPT#iptables-AINPUT-pALL-ilo-s$INET_IP-jACCEPT#iptables-AINPUT-pALL-d$INET_IP-mstate--state\ES

TABLISHED,RELATED-jACCEPT#iptables-AOUTPUT-ptcp-jbad_tcp_packets#iptables-AOUTPUT-pALL-olo-d127.0.0.1-jACCEPT#iptables-AOUTPUT-pALL-olo-d$INET_IP

-jACCEPT#iptables-AOUTPUT-pALL-s$INET_IP-mstate--state\ESTABLISHED,RELATED-jACCEPTIPTABLES(3)#iptables-AINPUT-pTCP--dp

ort22-jallowed……#iptables-AOUTPUT-pUDP--dport53-jACCEPT#iptables-AOUTPUT-pTCP--dport53-jallowed#iptables

-AOUTPUT-pTCP--dport21-jallowed……#iptables-PINPUTDROP#iptables-POUTPUTDROP#iptables-PFORWARDDROP#serviceiptablessaveTCP_WRAPPERS◼/et

c/hosts.denyALL:ALL◼/etc/hosts.allow，用ipsshd:xxx.xxx.xxx.xxx……删除不必要的服务◼chkconfig–list◼chkconfig–level3

servicenameoff◼手工编辑/etc/rc.d/rc3.d设置内核参数◼/etc/sysctl.confnet.ipv4.icmp_echo_ignore_all=1net.ipv4.icmp_echo

_ignore_broadcasts=1net.ipv4.conf.all.accept_source_route=0net.ipv4.tcp_syncookies=1net.ipv4.conf.all.accept_redirects=0net.ipv4.ip_always_

defrag=1net.ipv4.icmp_ignore_bogus_error_responses=1net.ipv4.conf.all.rp_filter=1net.ipv4.conf.all.log_martians=1安全相关◼Securit

yThroughObscurity（不公开、即安全）◼日志&备份◼升级SecurityThroughObscurity◼删除/etc/issue、/etc/issue.net◼修改端口日志与备份◼正确设置/var/log权限◼设置自

动备份并测试(/etc、/var/log)◼备份/var/lib/rpm/fileindex.rpm与/var/lib/rpm/packages.rpm，用rpm–Va检查谢谢