ZDNetChina服务器站 操作系统技巧
虽然Linux一直以稳定高效且安全著称,但世无完物,其存在于系统内的细小安全隐患同样不可小视!请大家随笔者一道,揪出这些细微隐患,保证Linux的稳定工作。
帐号及口令类:
一. 管理员帐户root的自动注销。
比如管理员在离开时忘了把root注销,这就存在隐患了。而我们希望系统应该能够自
动从shell中注销,以达到保护root帐户的安全。解决方法为:需要设置一个特殊的“tmout”变量,即编辑文件/etc/profile,在“histfilesize=”命令行的下一行增加 “tmout=900”表示所有用户如果在15分钟内无任何操作将自动注销此帐户,同时,增加了此命令行后,请重新用root登录,更改才能生效!
二. 有关某些无用帐号的删除。
Linux提供了多种帐号类型,可我们平常经常使用的也就那么一两个,因此不需要的完
全可以移除,帐号开发越多就越容易受到不良入侵这个道理,相信大家清楚吧。以下是可以有选择性删除的系统帐号:
1. Sendmail服务器:news、uucp、operator。
2. X windows服务器:gopher。
3. 具有某些特权的帐号:adm、shutdown、mail、sync。
除此之外,还有某些系统用户、组用户、匿名FTP帐户等,使用命令格式为:userdel username。
三. 口令的设定规则。
设置口令一直都是系统安全的第一道门槛。Linux安装时默认的口令长度最小为5,为了确保口令不易被某些猜测软件检测到,一般采用增加口令的最小长度的方法解决。实施办法为:修改文件/etc/login.defs中的参数PASS_MIN_LEN(口令最小长度);PASS_MIN_DAYS(口令使用时间),以对口令的使用时间作限制,定期更换口令达到安全的目的。
常见漏洞类:
一.关于缓冲区溢出的安全漏洞。
在windows下此漏洞就是受攻击的主要对象,其结果可以轻易用匿名的帐户获得主机的控制权!要预防此类漏洞攻击,在安装系统时就应该注意。很多资料上都说,如果用root分区纪录数据,就可能因为拒绝服务产生大量日志或垃圾邮件,从而导致系统崩溃;所以笔者建议为/var设立单独的分区用于存放日志和邮件,避免root分区被溢出;最为理想的办法是为特殊的应用程序单独设立分区,以及给/home单独设立一个区,经过这样的单独分区设定,可以有效避免针对Linux分区溢出的某些恶意攻击。
二.关于监听服务配置文件/etc/inetd.conf。
此文件定制/usr/sbin/inetd将要监听的服务,以笔者的使用来看一般只需telnet和ftp这两个就行了,其它的完全可以关闭,比如finger、imap、exec以及shell等,这其中又以S34yppasswdd(NIS服务器)和S60nfs(NFS服务器)两个服务存在的漏洞最多,运行的服务越少,系统越安全。
实施方法为:先用以下命令显示系统开放的服务:
grep -v "#" /etc/inetd.conf
然后运行#killall -HUP inetd来关闭不需要的服务。配置完成后再使用以下命令将其改为不可更改,而只能用root 帐户才能解开:
#chattr -i /etc/inetd.conf
最后还可以用以下命令查看哪些服务在正常运行:netstat -na --ip 。
三.限制用户资源。
对系统上的用户资源作适当限制可以有效防止DoS类型的攻击,如最大进程数等。实现方法:如果是对所有用户作限制,先编辑/etc/pam.d/login文件,检查是否有session required /lib/security/pam_limits.so这一行;然后编辑/etc/security/limits.con,并加入以下几行:
*hard core 0----------(禁止core files)
*hard rss 5000-------(限制内存使用)
*hard nproc 20 ------(限制进程数)
四.系统日志安全性。
Linux所有的日志内容都放在/var/log下,除了FTP外一般来说linux的日志已经非常强大了。因此我们得通过修改,完善FTP日志。实现办法:修改/etc/ftpaccess使其记录每一个ftp连接日志。除此之外,还可以通过安装Sniffer解决。
五.IPChains。
谈到Linux的安全性,一定要讨论IPChains的。IPChains是集成到2.2.x内核中的包过滤防火墙软件。只要运行了Red Hat 6.0或更高版本,IPChains就已在Linux安装包内了。要保护一台独立服务器系统,可以配置IPChains仅允许出站的TCP连接, 这样当外部主机试图发起任何TCP连接,都会被禁止连接;最后,应设置记录所有的被禁止连接,这样可以跟踪系统,及时发现漏洞所在。
最后,提提补丁的问题。同样跟windows平台类似,Linux也需要经常关注其版本更新和补丁升级的。可以到http://www.redhat.com/corp/support/errata/下载或是用系统自带的升级工具up2date,它可以自动检测哪些rpm包需要升级并自动从Redhat上下载安装。