首页 > 系统相关 >LINUX安全加固手册

LINUX安全加固手册

时间:2023-11-27 14:35:46浏览次数:49  
标签:文件 服务 deep 手册 etc TCP LINUX 加固 root

LINUX安全加固手册   目 录 1概述 3 2 安装 3 3 用户帐号安全Password and account security 4 3.1 密码安全策略 4 3.2 检查密码是否安全 4 3.3 Password Shadowing 4 3.4 管理密码 4 3.5 其它 5 4 网络服务安全(Network Service Security) 5 4.1服务过滤Filtering 6 4.2 /etc/inetd.conf 6 4.3 R 服务 7 4.4 Tcp_wrapper 7 4.5 /etc/hosts.equiv 文件 8 4.6 /etc/services 8 4.7 /etc/aliases 8 4.8 NFS 9 4.9 Trivial ftp (tftp) 9 4.10 Sendmail 9 4.11 finger 10 4.12 UUCP 10 4.13 World Wide Web (WWW) – httpd 10 4.14 FTP安全问题 11 5 系统设置安全(System Setting Security) 12 5.1限制控制台的使用 12 5.2系统关闭Ping 12 5.3关闭或更改系统信息 12 5.4 /etc/securetty文件 13 5.5 /etc/host.conf文件 13 5.6禁止IP源路径路由 13 5.7资源限制 13 5.8 LILO安全 14 5.9 Control-Alt-Delete 键盘关机命令 14 5.10日志系统安全 15 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 15 6 文件系统安全(File System Security) 15 6.1文件权限 15 6.2控制mount上的文件系统 16 6.3备份与恢复 16 7 其它 16 7.1使用防火墙 16 7.2使用第三方安全工具 16   1概述  近几年来Internet变得更加不安全了。网络的通信量日益加大,越来越多的重要交易正在通过网络完成,与此同时数据被损坏、截取和修改的风险也在增加。   只要有值得偷窃的东西就会有想办法窃取它的人。Internet的今天比过去任何时候都更真实地体现出这一点,基于Linux的系统也不能摆脱这个“普遍规律”而独善其身。因此,优秀的系统应当拥有完善的安全措施,应当足够坚固、能够抵抗来自Internet的侵袭,这正是Linux之所以流行并且成为Internet骨干力量的主要原因。但是,如果你不适当地运用Linux的安全工具,它们反而会埋下隐患。配置拙劣的安全系统会产生许多问题,本文将为你解释必须掌握的Linux安全知识。 本文讲述了如何通过基本的安全措施,使Linux系统变得可靠。     2 安装 使系统处于单独(或隔离)的网络中。以防止未受保护的系统连接到其它网络或互联网中受到可能的攻击 安装完成后将下面软件卸载 pump apmd lsapnptools redhat-logos mt-st kernel-pcmcia-cs Setserial redhat-relese eject linuxconf kudzu gd bc getty_ps raidtools pciutils mailcap setconsole gnupg 用下面的命令卸载这些软件: [root@deep]#rpm  –e  softwarename 卸载它们之前最好停掉三个进程: [root@deep]# /etc/rc.d/init.d/apmd stop [root@deep]# /etc/rc.d/init.d/sendmail stop [root@deep]# /etc/rc.d/init.d/kudzu stop     3.用户帐号安全Password and account security 3.1 密码安全策略 l 口令至少为6位,并且包括特殊字符 l 口令不要太简单,不要以你或者有关人的相关信息构成的密码,比如生日、电话、姓名的拼音或者缩写、单位的拼音或者英文简称等等。 l 口令必须有有效期 l 发现有人长时间猜测口令,需要更换口令 3.2 检查密码是否安全 可以使用以下几种工具检查自己的密码是否安全: l JOHN,crack等暴力猜测密码工具 l 在线穷举工具,包括Emailcrk、流光等 3.3 Password Shadowing l 使用shadow来隐藏密文(现在已经是默认配置) l 定期检查shadow文件,如口令长度是否为空。 #awk -F: length($2)==0 {print $1} /etc/shadow l 设置文件属性和属主 3.4 管理密码 l 设置口令有效最长时限 (编辑/etc/login.defs文件) l 口令最短字符 (如linux默认为5,可以通过编辑/etc/login.defs修改) l 只允许特定用户使用su命令成为root。 编辑/etc/pam.d/su文件,在文件头部加上: auth sufficient /lib/security/pam_rootok.so debug auth required /lib/security/pam_wheel.so group=wheel Red hat 7.0中su文件已做了修改,直接去掉头两行的注释符就可以了 [root@deep]# usermod -G10 admin来将用户加入wheel组 3.5 其它 l 清除不必要的系统帐户 [root@deep]# userdel adm [root@deep]# userdel lp [root@deep]# userdel sync [root@deep]# userdel shutdown [root@deep]# userdel halt [root@deep]# userdel news [root@deep]# userdel uucp [root@deep]# userdel operator [root@deep]# userdel games    (如果不使用 X Window,则删除) [root@deep]# userdel gopher [root@deep]# userdel ftp        (如果不使用ftp服务则删除) l 尽量不要在passwd文件中包含个人信息,防止被finger之类程序泄露。 l 修改shadow,passwd,gshadow文件不可改变位 [root@deep]# chattr +i /etc/passwd [root@deep]# chattr +i /etc/shadow [root@deep]# chattr +i /etc/group [root@deep]# chattr +i /etc/gshadow l 不要使用.netrc文件,可以预先生成$HOME/.netrc。设置为0000。 touch /.rhosts ;chmod 0 /.rhosts  l 使用ssh来代替telnetd,ftpd.pop等通用服务。传统的网络服务程序,如:ftp、pop和telnet在本质上都是不安全的,因为它们在网络上用明文传送口令和数据。      4 网络服务安全(Network Service Security) Linux系统对外提供强大、多样的服务,由于服务的多样性及其复杂性,在配置和管理这些服务时特别容易犯错误,另外,提供这些服务的软件本身也存在各种漏洞,所以,在决定系统对外开放服务时,必须牢记两个基本原则: l 只对外开放所需要的服务,关闭所有不需要的服务。对外提供的服务越少,所面临的外部威胁越小。 l 将所需的不同服务分布在不同的主机上,这样不仅提高系统的性能,同时便于配置和管理,减小系统的安全风险。 在上述两个基本原则下,还要进一步检查系统服务的功能和安全漏洞。 这里针对主机所提供的服务进行相应基本安全配置,某些常用服务的安全配置请参考相关文档。 4.1服务过滤Filtering l 在SERVER上禁止这些服务 l 如果一定要开放这些服务,通过防火墙、路由指定信任IP访问。 l 要确保只有真正需要的服务才被允许外部访问,并合法地通过用户的路由器过滤检查。尤其在下面的服务不是用户真正需要时候,要从路由器上将其过滤掉 NAME   PORT   PROTOCOL                      echo      7        TCP/UDP          systat     11        TCP           netstat    15        TCP               bootp     67        UDP             tftp       69        UDP           link       87        TCP             supdup    95        TCP            sunrpc    111      TCP/UDP            news     144        TCP           snmp     161        UDP              xdmcp    177        UDP             exec      512        TCP   login      513        TCP      shell      514        TCP      printer     515        TCP      biff       512        UDP      who       513        UDP      syslog     514        UDP      uucp      540        TCP      route      520        UDP      openwin    2000      TCP      nfs        2049     UDP/TCP      x11   6000 to 6000+n   TCP        注意:有些UDP服务可以导致DOS攻击和远程溢出,如 rpc.ypupdated             rpcbind rpc.cmsd          100068 rpc.statd           100024  rpc.ttdbserver       100083 sadmind   100232/10     l 配置完成以后,利用网络扫描器模拟入侵者从外部进行扫描测试。如利用nmap 4.2 /etc/inetd.conf l 确保文件权限设置为600 l 确保文件属主设置为root l 注释掉所有不需要的服务,需要重新启动inetd进程 l 使用netstat –an命令,查看本机所提供的服务。确保已经停掉不需要的服务 4.3 R 服务 不必使用R服务 l 关闭R服务,Red hat 6.2在/etc/inetd.conf文件中注释以下服务,并且重新启动inetd服务。Red hat 7.0在/etc/xinetd.d目录中删除 exec 512 TCP Rlogin 513 TCP Rshell 514 TCP l 预先生成$HOME/.rhosts,/etc/hosts.equiv文件,并且设置为0000,防止被写入”+ +”。(攻击者经常使用类似符号链接或者利用ROOTSHELL写入,并且远程打开受保护主机的R服务)   必须使用R服务 l 使用更安全版本的r服务。如Wietse Venema的logdaemon程序等。 l 在路由或者防火墙上禁止外部网络访问受保护主机的512,513 and 514 (TCP)端口。 l 使用TCP WRAPPERS设置可访问受保护主机R服务的信任机器。 4.4 Tcp_wrapper  该软件的作用是在Unix平台上过滤TCP/UDP服务,它目前已被广泛用于监视并过滤发生在主机上的ftp、telnet、rsh、rlogin、tftp、finger等标准TCP/UDP服务。 当系统安装TCP_wrapper之后,in.conf文件中 /usr/sbin/in.telnetd的in.telnetd会被TCP_wrapper附带的tcpd程序取代。该程序截获来自客户端的服务请求、记录请求发生的时间和IP地址,并按访问控制进行检查。当本次连接的用户、请求源的IP等信息符合管理员的预设值时,才将该次请求传递给系统in.telnetd,由系统in.telnetd完成后续工作;若连接不符合要求,该连接请求将被拒绝。同样,ftp、 rsh等TCP/UDP服务均可被tcpd取代,由tcpd充当二传手。 l 使用PARANOID 模式,用此参数后需要在/etc/hosts文件中加上允许使用telnet或ftp服务的客户端的名字和IP地址 l 在/etc/hosts.deny中设置为all:all,默认所有不允许 Access is denied by default. # Deny access to everyone. ALL: ALL@ALL, PARANOID #Matches any host whose name does not match its address, see bellow. l 在/etc/hosts.allow中设置允许的服务和地址 如:sshd: 208.164.186.1 gate.openarch.com l 使用tcpdchk检查 l UDP服务使用tcpwrapper时要使用/etc/inetd.conf中的nowait选项。 4.5 /etc/hosts.equiv 文件 不必使用/etc/hosts.equiv文件 l 从系统中删除此文件 l 预先生成/etc/hosts.equiv文件,并且设置为0000,防止被写入”+ +”。(攻击者经常使用类似符号链接或者利用ROOTSHELL写入,并且远程打开受保护主机的R服务)   必须使用/etc/hosts.equiv文件 l 确保此文件中可信赖主机为必须的。 l 预先生成/etc/hosts.equiv文件,并且设置为0000,防止被写入”+ +”。(攻击者经常使用类似符号链接或者利用ROOTSHELL写入,并且远程打开受保护主机的R服务) l 如果使用NIS或者NIS+的话,此文件中的组应该是容易管理的。 l 信赖主机必须确保可靠 l 信赖主机使用全名,如例如 hostname.domainname.cn l 任何时候都不应该出现”+”字符,因为这样会使任何一台主机上的任何用户都可以不加口令地访问系统 l 文件中不要使用'!' 和'#'符号,因为在该文件中那并不表示注释信息 l 文件开始字符不应该为'-'.,请查阅C8 l 确保该文件的访问权限被设置成600。 l 文件属主确保为ROOT。 l 在每次安装补丁程序或操作系统之后,都应该重新检查该文件夹的设置情况   4.6 /etc/services l 确保文件权限设置为600 l 确保文件属主设置为root l 如果需要提供一些常见服务,如telnetd等,可以在此修改端口 此文件为端口号和服务的对应关系,给此文件加上保护,避免没有授权的修改和删除 [root@deep]# chattr +i /etc/services   4.7 /etc/aliases l 修改/etc/aliases文件,注释掉"decode" "games,ingress,system,toor,manager,….”.等 l 使用/usr/bin/newaliases命令激活新配置 l 确保文件权限设置为755 l 确保文件属主设置为root   4.8 NFS NFS文件系统应注意以下几方面的安全 l 在外部路由上过滤端口111、2049 (TCP/UDP),不允许外部访问。 l 检查PATCH更新情况。 l 检查 /etc/exports 输出路径的权限,确定只有root能修改,  all user只能read l 用exportfs 去增加或删除directories exportfs -o access=engineering,ro=dancer /usr exportfs -u /usr l 假如你的机器没有NIS(YP server)的服务,当更改资料时记得修改 /etc/passwd /etc/group /etc/hosts /etc/ethers l 不允许export出去包含本地入口的目录 l 确定对方机器是完全可信赖的。使用全名 l 确保输出列表没有超过256个字符。 l 使用showmount –e命令查看自己的export设置 l 将/etc/exports权限设置为644,属主为root l 使用noexec,nodev.nosuid等选项控制mount的文件系统,在/etc/fstab中设置。 4.9 Trivial ftp (tftp) 无论何种情况下都不应该启动这个服务进程。 4.10 Sendmail sendmail提供了许多在编译期间选择的功能特性。通常情况下,按照其缺省配置,即可满足一般用户的需要。但是,了解研究其提供的特性,可以实现对sendmail许多功能的更为准确的配置使用。从网络安全的角度考虑,通过合理地配置有关特性,可以在提供服务和保证安全之间找到更为准确的平衡点(配置特性的方法是将需要的特性加入到相应系统的.mc文件中,然后利用工具m4生成最终的sendmail.cf文件。目前最新版本是sendmail8.11.1.(www.sendmail.org) l 最新的发行包 l promiscuous_relay:该特性打开任意转发功能,也即关闭8.9带来的邮件转发方面的安全增强控制。此特性的使用会对电子邮件服务的滥用留下许多隐患,建议除非特别情况,不要使用此特性。 l accept_unqualified_senders:缺省情况下,该特性被关闭,即当MAIL FROM:参数中的地址表明属于网络连接,但是却不包含合法的主机地址时,sendmail将拒绝继续通信。打开此特性则不再根据MAIL FROM:参数拒绝接收邮件。建议不可轻易使用该特性。 l loose_relay_check :通常情况下,当邮件使用了源路由功能,例如user%site@othersite,如果othersite属于转发邮件的范围,则sendmail将分离othersite,继续检查site是否属于转发范围.使用该特性将改变上述缺省操作.建议不要轻易使用该特性 l accept_unresolvable_domains :通常情况下,当MAIL FROM:参数中的主机地址部分无法解析,即无法判定为合法主机地址时,sendmail将拒绝连接.使用该特性将改变上述操作. 在某些情况下,例如,邮件服务器位于防火墙后面,无法正常解析外部主机地址,但是仍然希望能够正常接收邮件时,可能需要利用该特性. l blacklist_recipients :打开接收黑名单功能。接收黑名单可以包括用户名、主机名、或其它地址。 l relay_entire_domain :缺省配置下,sendmail只为在转发控制数据库(access db)中定义为RELAY的主机提供转发邮件服务. 该特性的使用,将使sendmail为本地域内(由$=m类定义)的所有主机上面的用户提供转发功能 l sendmail的受限shell程序smrsh可以防止内部用户恶意操作。 l 防止系统信息泄漏,如修改banner,禁止expn,vrfy命令 l 建议配置为需要smtp认证功能。 l 其他相关的mailserver qmail: www.qmail.org postfix: www.postfix.org qpop: http://www.qpopper.org/ Imail:http://www.imailbox.com/ 4.11 finger l 不应该启动这个服务进程。 l 如果一定要使用,请使用最新的版本。 4.12 UUCP l 建议不要使用 l 删除所有的rhosts文件(UUCP目录下的) l 确保.cmds 文件属主为root l 对UUCP登陆进行限制 l 确保UUCP文件没有被设置为所有人可写 4.13 World Wide Web (WWW) – httpd l 使用你选择的WEBSERVER的最新版本 l 不要使用ROOT用户运行httpd l 在chroot环境中运行httpd l 尽量不要使用CGI脚本 l 对CGI脚本进行安全审计 l 链接使用静态库 l 过滤危险字符,如\n \r (.,/;~!)>|^&$`< 等 l 使用https进行关键业务传送。   比较流行的webserver是 apache http://www.apache.org netscpe的web server 和browser http://home.netscape.com/enterprise/v3.6/index.html IETF的Web事务安全工作组维持着一个特别针对WWW安全问题的邮寄列表.  要订阅,可发e-mail到www-security-[email protected].在信息的  正文里写上 SUBSCRIBE www-security 你的email地址  主要的WWW FAQ也包含关于Web安全的问与答,如记录文件管理和服务软件来源等.这个FAQ的最新版在: http://www.boutell.com/faq/ 4.14 FTP安全问题 主要的ftp server l wuftp 最新版本是26.1 下载地址是ftp://ftp.wu-ftpd.org/pub/wu-ftpd-attic/wu-ftpd-2.6.1.tar.gz l proftp 最新版本是1.2.0rc2 下载地址是ftp://ftp.proftpd.net/pub/proftpd l ncftp 最新版本是2.6.3 下载地址是http://www.ncftp.com/ncftpd/   配置Configuration l 检查所有的默认配置选项 l 确定没有SITE EXEC问题 l 设置/etc/ftpusers确定禁止使用ftp的用户 l 使用chroot环境运行ftpd l 使用自己的ls等命令 l 加入对quota,pam等支持 l 配置/etc/ftpaccess文件,禁止系统信息泄露和设置最大连接数 l 配置/etc/ftphosts,设置允许使用FTP的HOST和USER l 针对不同用户设置不同权限 l 经常查看LOG记录 /var/log/xferlog l 配置文件属性改为600   Anonymous ftp  l 编译时打开允许匿名选项 l 如果使用分布式passwords (e.g., NIS, NIS+),需要设置好密码文件。 l 匿名用户只给读权限(在/etc/ftpaccess中设置)       5 系统设置安全(System Setting Security) 5.1限制控制台的使用 禁止使用控制台程序:删除/etc/security/console.apps中的服务 [root@deep]# rm -f /etc/security/console.apps/servicename, 比如:[root@deep]# rm -f /etc/security/console.apps/halt [root@deep]# rm -f /etc/security/console.apps/poweroff [root@deep]# rm -f /etc/security/console.apps/reboot [root@deep]# rm -f /etc/security/console.apps/shutdown [root@deep]# rm -f /etc/security/console.apps/xserver(如删除,只有root能启动Xserver) 禁止控制台的访问:在/etc/pam.d中的所有文件中,给包含pam_console.so的行加上注释 5.2系统关闭Ping 关闭ping,使系统对ping不做反应,对网络安全大有好处。 可以使用如下命令: [root@deep]#echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all 可以将这一行加到/etc/rc.d/rc.local文件中去,这样系统重启动后会自动执行 恢复系统的Ping响应: [root@deep]#echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all 5.3关闭或更改系统信息 关闭telnet系统信息 Red Hat 6.2中,编辑/etc/inetd.conf telnet stream tcp nowait root /usr/sbin/tcpd in.telnetd –h 加上参数-h可以关闭telnet信息 Red Hat 7.0中,编辑/etc/xinetd.d/telnet 加上server_args = -h,可以关闭telnet信息 /etc/rc.d/rc.local中关闭或修改系统信息 /etc/issue和/etc/issue.net中包含本地登录和网络登录时提示的系统信息,对它们进行更改可以改变系统信息,或直接删除,并在/etc/rc.d/rc.local文件中注释相关行: #echo "" > /etc/issue #echo "$R" >> /etc/issue #echo "Kernel $(uname -r) on $a $(uname -m)" >> /etc/issue #cp -f /etc/issue /etc/issue.net #echo >> /etc/issue 5.4 /etc/securetty文件 /etc/securetty文件规定root从哪个TTY设备登录,列出的是允许的tty设备,将不允许的tty设备行注释掉. 5.5 /etc/host.conf文件 /etc/host.conf定义主机名怎样解析,使用什么服务,什么顺序解析 # Lookup names via DNS first then fall back to /etc/hosts. order bind,hosts # We have machines with multiple IP addresses. multi on # Check for IP address spoofing. nospoof on order指定选择服务的顺序 multi指定主机能不能有多个IP地址,ON代表允许 nospoof指定不允许IP伪装,此参数必须设置为ON 5.6禁止IP源路径路由 允许IP源路径路由(IP source routing)会使得黑客能够欺骗你的计算机,截取信息包.强烈建议禁止,使用如下命令: for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do echo 0 > $f done 将accept_source_route设置为0,并将上述命令加到/etc/rc.d/rc.local中去,每次重启动将自动执行 5.7资源限制 为了避免拒绝服务攻击,需要对系统资源的使用做一些限制。 首先,编辑/etc/security/limits.conf,加入或改变如下 * hard core 0          (禁止创建core文件) * hard rss 5000       (除root外,其他用户最多使用5M内存) * hard nproc 20       (最多进程数限制为20) 编辑/etc/pam.d/login,在文件末尾加上: session required /lib/security/pam_limits.so   对TCP SYN Cookie的保护:(防止SYN Flood攻击) [root@deep]# echo 1 > /proc/sys/net/ipv4/tcp_syncookies 5.8 LILO安全 在“/etc/lilo.conf”文件中添加3个参数:time-out、restricted 和 password。这些选项会在启动时间(如“linux single”)转到启动转载程序过程中,要求提供密码。 步骤1 编辑lilo.conf文件(/etc/lilo.conf),添加和更改这三个选项: boot=/dev/hda  map=/boot/map  install=/boot/boot.b  time-out=00  #change this line to 00 prompt  Default=linux  restricted  #add this line password=  #add this line and put your password  image=/boot/vmlinuz-2.2.14-12  label=linux  initrd=/boot/initrd-2.2.14-12.img  root=/dev/hda6  read-only    步骤2 由于其中的密码未加密,“/etc/lilo.conf”文件只对根用户为可读。 [root@kapil /]# chmod 600 /etc/lilo.conf (不再为全局可读)   步骤3 作了上述修改后,更新配置文件“/etc/lilo.conf”。 [Root@kapil /]# /sbin/lilo -v (更新lilo.conf文件)   步骤4 还有一个方法使“/etc/lilo.conf”更安全,那就是用chattr命令将其设为不可: [root@kapil /]# chattr +i /etc/lilo.conf 它将阻止任何对“lilo.conf”文件的更改,无论是否故意。 5.9 Control-Alt-Delete 键盘关机命令 编辑“/etc/inittab”文件,只要在下面行前面加“#”,改为注释行。 ca::ctrlaltdel:/sbin/shutdown -t3 -r now  改为: #ca::ctrlaltdel:/sbin/shutdown -t3 -r now  然后,为使更改生效,在提示符下输入: [root@kapil /]# /sbin/init q 5.10日志系统安全 为了保证日志系统的完整性,防止黑客删除日志,需要对日志系统进行安全配置。本专题将有专门文档来讲述日志系统的安全。 5.11修正脚本文件在“/etc/rc.d/init.d”目录下的权限 对脚本文件的权限进行修正,脚本文件用以决定启动时需要运行的所有正常过程的开启和停止。添加:[root@kapil/]# chmod -R 700 /etc/rc.d/init.d/*  这句指的是,只有根用户允许在该目录下使用 Read、Write,和 Execute 脚本文件。     6 文件系统安全(File System Security) 6.1文件权限  l 去掉不必要的suid程序,可以通过脚本查看 [root@deep]# find / -type f \( -perm -04000 -o -perm -02000 \) \-exec ls –lg {}\; 通过下面的命令来去掉不需要的程序的‘s’位 [root@deep]# chmod a-s /usr/bin/commandname l 重要的配置文件如/etc/passwd,/etc/shadow,/etc/inetd.conf等设置为0755,并设置为不可更改 l /etc, /usr/etc, /bin, /usr/bin, /sbin, /usr/sbin, /tmp and/var/tmp的属主是root,并且设置粘滞。 l /dev目录下没有特殊文件。 l 查找任何人可写的文件和目录 [root@deep]# find / -type f \( -perm -2 -o -perm -20 \) -exec ls -lg {} \; [root@deep]# find / -type d \( -perm -2 -o -perm -20 \) -exec ls -ldg {} \; l 查找异常文件,如..文件,…文件等 find / -name ".. " -print –xdev find / -name ".*" -print -xdev | cat -v l 检查没有属主的文件。 Find / -nouser –o –nogroup l 检查在/dev目录以外还有没有特殊的块文件 find / \( -type b -o -type c \) -print | grep -v '^/dev/' l 使用checksum  md5 或者PGP来效验文件 6.2控制mount上的文件系统 可以使用noexec, nodev, nosuid来控制mount上的文件系统.在/etc/fstab中设置,比如: 将/dev/sda11 /tmp ext2 defaults 1 2 /dev/sda6 /home ext2 defaults 1 2 改为:/dev/sda11 /tmp ext2 nosuid,nodev,noexec 1 2 /dev/sda6 /home ext2 nosuid,nodev 1 2 noexec表示不允许可执行,nodev表示不允许块设备,nosuid表示不允许suid位 6.3备份与恢复 定期对文件系统进行备份,可以将损失减小到最小程度。 Linux下有多种方法进行备份,如:dd, cpio, tar, dump等     7 其它 7.1使用防火墙 防火墙是网络安全的重要方面,我们将另有专题来详细阐述防火墙,包括防火墙的原理,linux 2.2内核下IPChains实现,linux 2.4内核下netfilter实现,商业防火墙产品应用等。 7.2使用第三方安全工具 Linux下有很多很好的安全工具,比如:Tripwire, SSH, Sudo, Tcpdump, nmap, nessus, snort, sniffit… …我们将安排专题来具体讲述这些非常实用的安全工具。  

标签:文件,服务,deep,手册,etc,TCP,LINUX,加固,root
From: https://www.cnblogs.com/robots2/p/17859269.html

相关文章

  • linux下创建idea的桌面快捷方式
    !!!使用linux系统安装idea才会用到:在桌面上,新建文件,命名为:idea.desktop,(或者在别的地方创建后再放到桌面)使用vim编辑该文件(或者不新建,直接vi idea.desktop 就会创建这个文件)输入内容如下:[DesktopEntry]Name=IdeaIUComment=Rayn-IDEA-IUExec=/home/ldf/idea/bin/idea.......
  • linux系统下php安装mbstring扩展的二种方法
    https://pythonjishu.com/zqqrcvxyfjqmmke/下面是详细讲解“Linux系统下PHP安装mbstring扩展的二种方法”的攻略:方法一:通过源码安装下载PHP源码,并解压缩到指定目录。$tar-zxvfphp-7.4.12.tar.gz//解压PHP源码包进入源码目录,执行configure配置脚本。$cdphp-7.4.12......
  • Linux系统 基本权限UGO读书笔记
    1.高级权限 高级权限:suidsgidstickysuid:普通用户登陆对于有些文件没有查看权限或者某些命令没有执行命令,例如普通用户不能查看root用户家目录下内容,也不能用passwd对其他文件进行修改,使用suid可以针对单个命令对于普通用户提权限。suid命令格式:chmodu+s命令作用:单独提高一......
  • Linux指令大全
    Linux指令详解Linux是一种功能强大的操作系统,广泛应用于服务器和个人计算机。掌握常用的Linux指令对于系统管理员和用户来说至关重要。本文将介绍一些常见的Linux指令及其实例,帮助你更好地理解和应用这些指令。文件和目录操作指令ls-列出目录内容$ls该指令用于列出当前目......
  • vscode 连接本地虚拟机 Linux 系统
    vscode远程连接本地虚拟机中Linux系统虚拟机配置修改虚拟机的网络设置,将设置->网络->网卡1中的链接方式修改为桥接网卡待验证在网络中选择本地地址转换+端口转发Linux配置Linux安装ssh服务器检查ssh服务器是否已经开启成功systemctlstatussshd如果有......
  • Linux重要的日志文件
    1、/var/log/boot.log该文件记录了系统在引导过程中发生的事件,就是Linux系统开机自检过程显示的信息2、/var/log/syslog只记录警告信息,常常是系统出问题的信息,所以更应该关注该文件3、/var/log/wtmp该日志文件永久记录每个用户登录、注销及系统的启动、停机的事件4、/var/ru......
  • Linux进程管理指南
    在Linux操作系统中,进程是执行中的程序实例。进程管理是操作系统中的一个重要任务,它涉及到启动、监控和终止进程。本篇博客将介绍Linux中常用的进程管理命令和技术。查看进程要查看系统中正在运行的进程,可以使用ps命令。以下是ps命令的常见选项:psaux:显示所有用户的所有进程。......
  • Linux 存储管理
    1.存储方式在Linux系统中,有几种常见的存储方式:1.文件系统Linux支持多种文件系统,包括Ext4、XFS、Btrfs等。文件系统是对存储介质(如硬盘)进行组织和管理的方式,它定义了文件和目录的结构、权限和访问方式。2.磁盘分区:磁盘分......
  • Linux 本地安装R语言开发工具实现远程访问
    RStudioServer使你能够在Linux服务器上运行你所熟悉和喜爱的RStudioIDE,并通过Web浏览器进行访问,从而将RStudioIDE的强大功能和工作效率带到基于服务器的集中式环境中。下面介绍在Linuxdocker中安装RStudioServer并结合cpolar内网穿透工具,实现远程访问,docker方式安......
  • 【Linux API 揭秘】module_init与module_exit
    【LinuxAPI揭秘】module_init与module_exitLinuxVersion:6.6Author:DongeGithub:linux-api-insides 1、函数作用module_init和module_exit是驱动中最常用的两个接口,主要用来注册、注销设备驱动程序。并且这两个接口的实现机制是一样的,我们先以module_init为切入点分析。......