您好,欢迎访问三七文档
当前位置:首页 > 商业/管理/HR > 质量控制/管理 > Linux基本安全设定
1RedHatLinux基本安全設定tryOct29,2002NCCUComputerCenter前言Linux是一個OpenSource的作業系統,這代表著一旦安裝好Linux,全世界的Hacker都會知道你Server的一切細節,包含所有系統的bug及漏洞。稱職的Linux管理員應該在Linux安裝完成後,馬上做一些基本的安全設定。這些設定雖然簡單,卻可以避免掉大部份的一般入侵行為。以下就我們在ICRA2003及在電算中心管理ApServer的經驗,整理出一些非常基本的安全設定,Linux灌好後請務必將以下步驟當做例行程序。去除不必要的服務執行/usr/sbin/ntsysv,出現如下畫面。2只要把不必要服務的「*」拿掉,再按「Ok」確認即可。建議啟動服務參考列表服務名稱備註anacron排程。apmd進階電源管理。atd排程。crond排程。gpmconsole上的剪貼簿。httpd沒用就關起來。identdTCP/IPIDENTProtocolServeripchains防火牆管理。keytablekudzu自動偵測新硬體。netfsnetwork網器卡服務。portmapDARPAporttoRPCprogramnumbermapper.random亂數產生器。smb網路芳鄰,沒用就關起來。sshdSecureSocketShellsyslogkernellogstelnet沒用就關起來。wu-ftpd沒用就關起來。xinetdInternet服務鎖IP以下這個方式可以鎖所有經過xinetd的服務的IP(如telnet,ssh…)。編輯/etc/hosts.deny,加上ALL:ALL。編輯/etc/hosts.allow,加上你要開放的特定對象,左邊是port,右邊是IP。如,ALL:140.119.代表政大校內可使用該主機所有port,最後一個「.」不要忘了加。80:ALL,所有人可入port80執行/etc/init.d/xinetdrestart。3使用ssh登入系統如果你從宿舍「成員眾多的LAN環境」上要telnet到你的機器上,有很大的機會您的密碼會被sniff,這時最好是透過ssh來連上遠端機器。在win32上可以用putty來連上ssh。要下載putty.exe,在archie上找就有了。執行putty.exe,出現如下畫面,HostName打你主機的IP,Protocol選SSH,SavedSessions取個名字,如test,如下。4選Save、Load,之後按Open,便可連上,可以用root的帳號及密碼直接登入,如下。修改issue.net在/etc/issue.net是指當你從別台主機登入時,所看到的畫面,預設值會5把linux的版本、kernel都印出來。為安全起見,我們應該要將它拿掉。打開/etc/issue.net將和系統資訊有關的內容刪除即可。簡易iptables設定在RedHatLinux7.3之後,核心預設的防火牆為iptables,之前則是ipchains。請您依您的核心版本來選擇防火牆。首先切換到root帳號打iptables–L(或ipchains-L),這道指令是列出目前的iptables的設定。出現畫面如下我們可以發現,iptables/ipchains中,共分三種Chains(INPUT、FORWARD及OUTPUT),及二種Policy(ACCEPT及DROP)。在這裏我們只做簡單的INPUTChain的設定。我們要設的規則如下:「先將所有要存取這台Server的封包都DROP掉,除了xxx之外」所以我們要先決定xxx是什麼,如上面那張圖,我們是讓telnet(23)及http(80)從任何IP都能連進來。網路芳鄰140.119.210開頭的才能連進來。1024port以上及ssh從任何IP都能連進來。這樣先deny再accept的好處是,你能很精確地掌握那幾個服務或那幾個IP能連進來。如何改變INPUTChain的defaultPolicy到DROP?6iptables–PINPUTDROP(注意:如果您是從遠端連機器,千萬記要先accept你自己的機器才能下DROP,不然連你的機器都連不上了。)如何讓特定的IP完全連不進你的機器(連ping都ping不到)iptables–AINPUT–s(IP)-jDROP如何讓特定的IP擁有機器的所有port存取權限iptables–AINPUT–s(IP)-jACCEPT開放特定的portiptables–AINPUT–p(tcp或udp)–m(tcp或udp)–dport(你要開放的port)–jACCEPT例如iptables–AINPUT–ptcp–mtcp–dport80–jACCEPT開放一群特定的port,以「:」分隔即可例如iptables–AINPUT–pudp–mudp–dport1023:65535–jACCEPT在iptables/ipchains中所做的設定是馬上生效,不過下次開機時又會不見。所以如果你不想每次重開機都重新打一次,可先將iptables匯出,在開機時再自動匯入,做法如下先利用上面介紹的指令,做好您的iptables設定匯出iptables設定/sbin/iptables-save/etc/iptables.current在/etc/rc.local中加上iptables-restore/etc/iptables.current下次開機時就會自動再匯入了。更新OpenSSL最近很多程式利用OpenSSL的漏洞在網路上橫行,當你檢視/tmp下,ls–la後看到有很多.cinik的檔時,就代表你已被入侵。所以在系統安裝好後,應馬上下傳最新版的OpenSSL來安裝(以rpm–Uvh指令即可)。如果不知道到那裏下傳,可到linux.sinica.edu.tw(中研院,anonymous可登入)下的/redhat/updates下傳。
本文标题:Linux基本安全设定
链接地址:https://www.777doc.com/doc-1249885 .html