LINUX安全配置手册

LINUX安全配置手册

file in /etc/inetd、conf /etc/hosts、equiv \/etc/ftpusers /etc/passwd /etc/shadow /etc/hosts、allow \/etc/hosts、deny /etc/proftpd、conf \/etc/rc、d/init、d/functions /etc/inittab \/etc/sysconfig/sendmail /etc/security/limits、conf \/etc/exports /etc/sysctl、conf /etc/syslog、conf \/etc/fstab /etc/security、console、perms /root/、rhosts \/root/、shosts /etc/shosts、equiv /etc/X11/xdm/Xservers \/etc/X11/xinit/xserverrc /etc/X11/gdm/gdm、conf \/etc/cron、allow /etc/cron、deny /etc/at、allow \/etc/at、deny /etc/crontab /etc/motd /etc/issue \/usr/share/config/kdm/kdmrc /etc/X11/gdm/gdm、conf \/etc/securetty /etc/security/access、conf /etc/lilo、conf \/etc/grub、conf /etc/login、defs /etc/group /etc/profile \/etc/csh、login /etc/csh、cshrc /etc/bashrc \/etc/ssh/sshd_config /etc/ssh/ssh_config \/etc/cups/cupsd、conf /etc/{,vsftpd/}vsftpd、conf \/etc/logrotate、conf /root/、bashrc /root/、bash_profile \/root/、cshrc /root/、tcshrc /etc/vsftpd、ftpusers ; do[preCISdonefor dir in /etc/xinetd、d /etc/rc[]、d \/var/spool/cron /etc/cron、* /etc/logrotate、d /var/log \/etc/pam、d /etc/skel ; do[r $dir $dir-preCISdone补丁系统补丁系统内核版本使用unameqa查看。使用up2date命令自动升级或去ftp://update、redhatZZZ下载对应版本补丁手工单独安装。其他应用补丁除RedHat官方提供的系统补丁之外，系统也应对根据开放的服务和应用进行补丁，如APACHE、PHP、OPENSSL、MYSQL 等应用进行补丁。具体升级方法：首先确认机器上安装了gcc及必要的库文件。然后去应用的官方网站下载对应的源代码包，如 *、tar、gz再解压tar zxfv *、tar、gz再根据使用情况对编译配置进行修改，或直接采用默认配置cd *、/configure再进行编译和安装makemake install最小化xinetd网络服务停止默认服务说明：Xinetd是旧的inetd服务的替代，他提供了一些网络相关服务的启动调用方式。Xinetd应禁止以下默认服务的开放：chargen chargen-udp cups-lpd daytime daytime-udp echo echo-udp eklogin finger gssftp imap imaps ipop2 ipop3 krb5-telnet klogin kshell ktalk ntalk pop3s rexec rlogin

rsh rsync servers services操作：停止一个服务chkconfig 服务名 off打开一个服务chkconfig 服务名 on也可以使用ntsysv命令进行服务开关调整其他说明：对于xinet必须开放的服务，应该注意服务软件的升级和安全配置，并推荐使用SSH和SSL对原明文的服务进行替换。如果条件允许，可以使用系统自带的iptables或tcp-wrapper功能对访问IP地址进行限制。操作：Xinetd、SSH 和SSL、防火墙配置参见对应系统的用户手册，此不详述。最小化启动服务设置daemon权限unmask说明：默认系统umask至少为022，以防止daemon被其他低权限用户修改。操作：vi修改/etc/rc、d/init、d文件，umask 值为022。同时检查/etc/rc、d/init、d中其他启动脚本权限是否为755。关闭xinetd服务说明：如果前面第二章关闭xinetd服务中所列的服务，都不需要开放，则可以直接关闭xinetd服务。操作：chkconfiglevel12345 xinetd off关闭邮件服务说明：1)

如果系统不需要作为邮件服务器，并不需要向外面发邮件，可以直接关闭邮件服务。2)

如果不需要作为邮件服务器，但是允许用户发送邮件，可以设置Sendmail 不运行在daemon模式。操作：1)

chkconfiglevel12345 sendmail off2)

编辑/etc/sysconfig/senmail文件增添以下行DAEMON=noQUEUE=1h设置cd /etc/sysconfig/bin/chown root:root sendmail/bin/chmod644 sendmail关闭图形登录服务说明：一般来说，大部分软件的安装和运行都不需要图形环境。如果不需要图形环境进行登录和操作，可以关闭X Windows的运行。操作：cp /etc/inittab /etc/inittab、bak编辑/etc/inittab文件修改id:5:initdefault:行为id:3:initdefault:chown root:root /etc/inittabchmod 0600 /etc/inittab如需要X Windows的时候，可运行startx 命令启动图形界面。关闭X字体服务器说明：如果关闭了X Windows服务，则X font服务器服务也应该进行关闭。操作：chkconfig xfs off关闭其他默认启动服务说明：系统启动时会启动很多不必要的服务，这些不必要的服务均存在一定的安全隐患。一般可能存在以下不必要的服务：apmd canna FreeWnn gpm hpoj innd irda isdn kdcrotate lvs mars-nwe oki4daemon privoxy rstatd rusersd

rwalld rwhod spamassassin wine nfs nfslock autofs ypbind ypserv yppasswdd portmap smb netfs lpd apache httpd tux snmpd named postgresql mysqld webmin kudzu squid cups加固时，应根据机器具体配置使用和应用情况对开放的服务进行调整，关闭不需要的服务。服务运行脚本一般都放在/etc/rc、d/rc*、d进行启动，可以使用chkconfig工具直接进行管理。对于必须通过/etc/rc、d/rc*、d开放的服务，应确保都已打上过最新的补丁。操作：chkconfiglevel12345 服务名 off如果关闭了特定的服务，也应该同时对这些服务在系统中的用户加以锁定或删除可能包括以下用户rpc rpcuser lp apache http httpd named dns mysql postgres squidusermod-level345 nfs on调整NFS客户端服务说明：NFS客户端服务一般用来访问其他NFS服务器。除非分必要，否则应关闭此服务。可采用以下方式开放此服务。操作：chkconfiglevel345 nfslock onchkconfiglevel345 autofs on调整NIS服务器服务说明：NIS用来提供基于UNIX的域管理和认证手段。除非分必要，否则应关闭此服务。可采用以下方式开放此服务。操作：chkconfig ypserv onchkconfig yppasswdd on调整NIS客户端服务说明：NIS客户端用来访问其他NIS服务器。除非分必要，否则应关闭此服务。可采用以下方式开放此服务。操作：chkconfig ypbind on调整RPC端口映射服务说明：RPC协议一般经过比较简单的或不经认证就可以得到一些非常敏感的信息。并且RPC系列服务都存在一些缓冲区溢出问题。在以下情况下可以考虑关闭RPC端口映射服务：服务器不是NFS服务器或客户端；服务器不是NIS服务器或客户端；服务器没有运行其它依赖于RPC服务的第三方软件；服务器不运行图形界面（x-windows）。操作：chkconfiglevel345 portmap on 调整netfs服务说明：此服务会作为客户端挂接网络中的磁盘。如果没有网络文件共享协议如NFS，NovellNetware或Windows文件共享使用，则可以关闭此服务。操作：chkconfiglevel345 netfs on调整打印机服务说明：UNIX打印服务存在较多的安全漏洞。如果系统不作为网络中的打印机服务器，则可以关闭此服务。如果必须使用此服务，首先应保证软件都经过最新的补丁，然和设置cupsd 进程运行在非root用户和组。操作：if

[f /etc/cups/cupsd、conf、new/bin/chown lp:sys /etc/cups/cupsd、conf/bin/chmod600 /etc/cups/cupsd、conffichkconfig hpoj onchkconfig lpd

on调整Web服务器服务说明：如果服务器必须开放Web，则需要作如下设置。应注意web目录权限设置，不要允许目录list。操作：chkconfig apahce on或chkconfig httpd on调整SNMP服务说明：简单网络管理协议SNMP一般用来监控网络上主机或设备的运行情况。如果必须打开，则必须更改默认通讯字。操作：chkconfig snmpd on编辑/etc/snmp/snmpd、confcom2sec notConfigUser default public修改public为其他一个足够复杂的密码。调整DNS服务器服务说明：DNS服务器服务用来为其他机器提供DNS解析，一般来说都可以关掉。如果必须进行开放，则必须升级至最新版本，并推荐设置chroot环境，还需要注意限制DNS配置文件中的区域传输等设置（加密码或加IP地址限制）。操作：chkconfig named on调整SSHD服务器服务说明：SSHD服务器服务用来提供SSH Server的服务。如果必须进行开放，则必须升级至最新版本，并推荐设置chroot 环境，还需要注意限制SSH配置文件中的区域传输等设置，需要在SSHD配置文件中禁用ssh1方式连接，因ssh1方式连接是非完全加密。操作：如使用Openssh，则检查/etc/ssh/sshd_config grep Protocol /etc/ssh/sshd_config 如使用SSHZZZ的SSHD,需要检查/etc/ssh2/sshd2_configgrep Protocol /etc/ssh2/sshd2_config调整SQL服务器服务说明：如果不需要数据库服务，则可以关闭此服务。如果必须进行开放，则注意修改数据库用户的密码，并增加数据库用户IP访问限制。操作：chkconfig postgresql onchkconfig mysqld on调整Webmin服务说明：Webmin是一个通过HTTP协议控制linux的工具，一般推荐使用SSH进行系统管理而不要使用此工具。操作：chkconfig webmin on调整Squid服务说明：Squid服务是客户端与服务器之间的代理服务。Squid服务已出现过很多安全漏洞，并且如果设置不当的话，可能导致被利用来作为内外网之间的跳板。如果不需要，则可以关闭此服务。如果必须打开，则需要设置允许访问的地址列表及认证。操作：chkconfig squid on调整kudzu硬件探测服务说明：Kudzu服务是linux的硬件探测程序，一般设置为启动系统的时候运行。他会检测系统中的硬件的改变，并且会提示进行配置等。未经授权的新设备存在的一定的安全风险，系统启动时控制台就可以配置任何新增添的设备。如果不需要经常的改动硬件，则需要进行关闭。可以在增添新设备时手工运行/etc/rc、d/init、d/kudzu启动此服务。操作：

chkconfiglevel345 kudzu on内核参数网络参数调整说明：Linux支持的对网络参数进行调整。具体参数详细说明，可参见http://lxr、linux、no/source/Documentation/networking/ip-sysctl、txt。操作：编辑/etc/sysctl、conf增加net、ipv

4、tcp_max_syn_backlog =4096net、ipv

4、conf、all、rp_filter =1net、ipv

4、conf、all、accept_source_route = 0net、ipv

4、conf、all、accept_redirects = 0net、ipv

4、conf、all、secure_redirects = 0net、ipv

4、conf、default、rp_filter =1net、ipv

4、conf、default、accept_source_route =net、ipv

4、conf、default、accept_redirects = 0net、ipv

4、conf、default、secure_redirects = 0/bin/chown root:root /etc/sysctl、conf/bin/chmod 0600 /etc/sysctl、conf更多的网络参数调整说明：如果系统不作为在不同网络之间的防火墙或网关时，可进行如下设置。具体参数详细说明，可参见http://lxr、linux、no/source/Documentation/networking/ip-sysctl、txt操作：编辑/etc/sysctl、conf增加net、ipv

4、ip_forward = 0net、ipv

4、conf、all、send_redirects = 0net、ipv

4、conf、default、send_redirects = 0/bin/chown root:root /etc/sysctl、conf/bin/chmod 0600 /etc/sysctl、conf日志系统认证日志配置说明：不是所有版本的linux都会在日之中记录登陆信息。一般需要对这些重要的安全相关的信息进行保存，（如成功或失败su，失败的登陆，root登陆等）。这些将会被记录在/var/log/secure文件里。操作：编辑/etc/syslog、conf确认有如下行authpriv、* /var/log/securetouch /var/log/secure/bin/chown root:root /var/log/secure/bin/chmod600 /var/log/secureFTP进程日志配置说明：系统默认会记录wu-ftpd和vsftpd所有的连接和文件传输。以下将会确认所有法发送到服务期的命令将会被记录。wu-ftpd将会把安全相关的或是策略边界的行为

记忆文件传输记录到syslog里，默认位于/var/log/xferlog。操作：编辑/etc/xinetd、d/wu-ftpd文件确认有如下行server_args =aftpd/bin/chmod644 wu-ftpd编辑/etc/vsftpd、conf或/etc/vsftpd/vsftpd、conf文件确认有如下行

xferlog_std_format=NOlog_ftp_protocol=YESlog_ftp_protocol=YES/bin/chm od 0600 vsftpd、conf/bin/chown root:root vsftpd、conf确认系统日志权限说明：保护系统日志文件不会被非授权的用户所修改。操作：cd /var/log/bin/chmod o-w boot、log* cron* dmesg ksyms* httpd/* \maillog* messages* news/* pgsql rpmpkgs* samba/* \scrollkeeper、log secure* spooler* squid/* vbox/* wtmp/bin/chmod o-rx boot、log* cron* maillog* messages* pgsql \secure* spooler* squid/*/bin/chmod g-w boot、log* cron* dmesg httpd/* ksyms* \maillog* messages* pgsql rpmpkgs* samba/* \scrollkeeper、log secure* spooler*/bin/chmod g-rx boot、log* cron* maillog* messages* pgsql \secure* spooler*/bin/chmod o-w gdm/ httpd/ news/ samba/ squid/ vbox//bin/chmod o-rx httpd/ samba/ squid//bin/chmod g-w gdm/ httpd/ news/ samba/ squid/ vbox//bin/chmod g-rx httpd/ samba//bin/chownR news:news news/bin/chown postgres:postgres pgsql/bin/chownROM或软盘将设置了SUID的程序带到系统里。参照上节，这些文件系统也应当设置nodev选项。操作：编辑/etc/fstab文件在floppy和cdrom 分区后增添nosuid,nodev参数/bin/chown root:root /etc/fstab/bin/chmod 0644 /etc/fstab禁止用户挂接可移动文件系统说明：PAM模块中的pam console 参数给控制台的用户临时的额外特权。其配置位于/etc/security/console、perms文件。默认设置允许控制台用户控制可以与其他主机共享的软盘和CD-ROM 设备。这些可移动媒体存在着一定的安全风险。以下禁止这些设备的额外特权。操作：编辑/etc/security/console、perms文件修改其中的console行，删除以下设备之外的行/sound|fb|kbd|joystick|v4l|mainboard|gpm|scanner/bin/chown root:root console、perms/bin/chmod 0600 console、perms检查passwd，shadow和group 文件权限说明：检查以下文件的默认权限。操作：cd /etc/bin/chown root:root

passwd shadow group/bin/chmod644 passwd group/bin/chmod400 shadow全局可写目录应设置粘滞位说明：当一个目录设置了粘滞位之后，只有文件的属主可以删除此目录中的文件。设置粘滞位可以防止用户覆盖其他用户的文件。如/tmp 目录。操作：find /type d0002permprint找出未授权的全局可写目录说明：全局可写文件可以被任意用户修改。全局可写文件可能造成一些脚本或程序被恶意修改后造成更大的危害，一般应拒绝其他组的用户的写权限。操作：find /0002xdevw 找出未授权的SUID/SGID文件说明：管理员应当检查没有其他非授权的SUID/SGID在系统内。操作：find /04000permtype fprint找出异常和隐藏的文件说明：入侵者容易将恶意文件放在这目录中或命名这样的文件名。对于检查出来的数据需要核对与否系统自身的文件。操作：find /exec lsname "、*"ldb {} \;系统访问，授权和认证删除、rhosts文件说明：R系列服务（rlogin，rsh，rcp）使用、rhosts文件，它使用基于网络地址或主机名的远端机算计弱认证（很容易被伪造）。如果必须使用R系列服务，则必须保证、rhosts文件中没有“+”，并且同时指定对方系统和用户名。如果有防火墙，则应该在过滤外部网段至内部的全部R系列服务访问。同时需要保证、rhosts文件仅可以被所有者读取（600）。操作：for file in /etc/pam、d/* ; dogreps /dev/null /root/、rhosts/bin/rm /root/、shostslns /dev/null /etc/hosts、equiv/bin/rm /etc/shosts、equivlnFTPD和vsftpd访问系统。通常情况下，应当不允许一些系统用户访问FTP，并且任何时候都不应当使用root用户访问FTP。

/etc/vsftpd、user类似上述功能。操作：for name in `cutf1 /etc/passwd`doif

[ `idlt500 ]thenecho $name >> /etc/ftpusersfidone/bin/chown root:root /etc/ftpusers/bin/chmod600 /etc/ftpusersif

[e /etc/vsftpd/vsftpd、conf ]; then/bin/rmWindows的开放端口说明：X服务器在6000/tcp监听远端客户端的连接。X-Windows使用相对不安全的认证方式，取得X认证的用户很容易就可以控制整台服务器。删除选项中的“-nolisten tcp”可以使X服务器不再监听6000/tcp端口。操作：if

[nolisten tcp" };{ print } Xservers > Xservers、new/bin/mv Xservers、new Xservers/bin/chown root:root Xservers/bin/chmod444 Xserversfiif

[F= ($2 ~ /\/X$/)

\{ printf("%sd /etc/X11/xinit ] ; thencd /etc/X11/xinitif

[nolisten tcp \$@"; next }; \{ print } xserverrc > xserverrc、new/bin/mv xserverrc、new xserverrcelsecat xserverrc#!/bin/bashexec X :0f cron、deny at、denyecho root >cron、allowecho root >at、allow/bin/chown root:root cron、allow at、allow/bin/chmod400 cron、allow at、allow限制crontab文件的权限说明：系统的crontab文件应该只能被cron daemon（以超级用户权限运行）和crontab命令（SUID）。操作：/bin/chown root:root /etc/crontab/bin/chmod400 /etc/crontab/bin/chownR go-rwx /var/spool/cron/bin/chownR go-rwx /etc/cron、*创建警示BANNER说明：创建警示BANNER可以对恶意攻击者或尝试者起到警示作用。操作：1) 创建控制台和X模式BANNERif

[ "`egrepl Authorized /etc/issue`" == "" ]; thenecho "Authorized uses only、 All activity may be \monitored and reported、" >>/etc/issuefiif [ "`egrepe /etc/X11/xdm/kdmrc ] ; thencd /etc/X11/xdmawk /GreetString=/ \{ print "GreetString=Authorized uses only!"; next };{ print } kdmrc >kdmrc、new/bin/mv kdmrc、new kdmrc/bin/chown root:root kdmrc/bin/chmod644 kdmrcfiif

[e /usr/doc/tcp_wrappers-

7、6/Banners、Makefile ]; thenfile=/usr/doc/tcp_wrappers-

7、6/Banners、Makefileelsefile=/usr/share/doc/tcp_wrappers-

7、6/Ba

linux系统安全配置要求

linux系统安全配置要求1.帐户安全配置要求 1.1.创建/etc/shadow口令文件 配置项名称设置影子口令模式 检查方法执行： #more /etc/shadow 查看是否存在该文件 操作步骤1、执行备份： #cp –p /etc/passwd /etc/passwd_bak 2、切换到影子口令模式： #pwconv 回退操作执行： #pwunconv #cp /etc/passwd_bak /etc/passwd 风险说明系统默认使用标准口令模式，切换不成功可能导致整个用户管理失效1.2.建立多帐户组，将用户账号分配到相应的帐户组 配置项名称建立多帐户组，将用户账号分配到相应的帐户组

检查方法1、执行： #more /etc/group #more /etc/shadow 查看每个组中的用户或每个用户属于那个组2、确认需要修改用户组的用户 操作步骤1、执行备份： #cp –p /etc/group /etc/group_bak 2、修改用户所属组： # usermod –g group username 回退操作 执行： #cp /etc/group_bak /etc/group 风险说明修改用户所属组可能导致某些应用无法正常运行1.3.删除或锁定可能无用的帐户 配置项名称删除或锁定可能无用的帐户 检查方法1、执行： #more /etc/passwd 查看是否存在以下可能无用的帐户： hpsmh、named、uucp、nuucp、adm、daemon、bin、lp 2、与管理员确认需要锁定的帐户 操作步骤 1、执行备份： #cp –p /etc/passwd /etc/passwd_bak

linux操作系统安全

贵州大学实验报告 学院：计信学院专业：信息安全班级：信息101

2、FTP服务器的安全配置 FTP为文件传输协议，主要用于网络间的文件传输。FTP服务器的特点是采用双端口工作方式，通常FTP服务器开放21端口与客户端进行FTP控制命令传输，这称为FTP的数据连接 实 验仪器linux操作系统中的安全配置：安装red hat linux9.0操作系统的计算机 linux中Web、FTP服务器的安全配置：一台安装Windows XP/Server 2003操作系统的计算机，磁盘格式配置为NTFS,预装MBSA工具 实验步骤linux操作系统中的安全配置 一、账户和安全口令 1、查看和添加账户 （1）使用系统管理员账户root登录文本模式，输入下面的命令行：使用useradd命令新建名为myusername的新账户 （2）使用cat命令查看账户列表，输入下列命令: [root@localhost root]# cat /etc/shadow 得出列表最后的信息为：

用如下命令切换到myusername账户，然后在使用cat命令查看账户列表，如果刚才的账户添加成功，那么普通用户myusername不能查看该文件的权限，提示如下： 2、添加和更改口令 切换到root用户，添加myusername的口令： [root@localhost root]# passwd myusername 3、设置账户管理 输入命令行[root@localhost root]#chage –m 0 –M 90 –E 0 –W 10 myusername,此命

令强制用户myusername首次登陆时必须更改口令，同时还强制该用户以后每90天更改一次口令，并提前10天提示 4、账户禁用于恢复 （1）输入下列命令行，以管理员身份锁定新建的myusername账户，并出现锁定成功的提示： 此刻如果使用su切换到myusername账户，则出现以下提示： 表明锁定成功 （2）输入以下命令行，检查用户nyusername的当前状态： （3）如果要将锁定账户解锁，输入以下命令行，并出现相应的解锁提示： 5、建立用户组，将指定的用户添加到用户组中 （1）输入以下命令，建立名为mygroup的用户组： （2）如果要修改用户组的名称，使用如下命令行： 将新建的用户组更名为mygroup1 （3）输入以下命令，将用户myusername加入到新建的组mygroup1中并显示提示：

中国电信Linux操作系统安全配置规范

中国电信Linux 操作系统安全配置规范 Specification for Linux OS Configuration Used in China Telecom 中国电信集团公司 发布 保密等级：公开发放

目录 目录..................................................................... I 前言.................................................................... II 1 范围 (1) 2 规范性引用文件 (1) 3 缩略语 (1) 3.1 缩略语.................................................. 错误！未定义书签。 4 安全配置要求 (2) 4.1 账号 (2) 4.2 口令 (3) 4.3 文件及目录权限 (5) 4.4 远程登录 (7) 4.5 补丁安全 (8) 4.6 日志安全要求 (9) 4.7 不必要的服务、端口 (10) 4.8 系统Banner设置 (11) 4.9 登陆超时时间设置 (12) 4.10 删除潜在危险文件 (12) 4.11 FTP设置 (12) 附录A：端口及服务 (13)

前言 为了在工程验收、运行维护、安全检查等环节，规范并落实安全配置要求，中国电信编制了一系列的安全配置规范，明确了操作系统、数据库、应用中间件在内的通用安全配置要求。 本规范是中国电信安全配置系列规范之一。该系列规范的结构及名称预计如下： （1）AIX操作系统安全配置规范 （2）HP-UX操作系统安全配置规范 （3）Solaris操作系统安全配置规范 （4）Linux操作系统安全配置规范（本标准） （5）Windows 操作系统安全配置规范 （6）MS SQL server数据库安全配置规范 （7）MySQL数据库安全配置规范 （8）Oracle数据库安全配置规范 （9）Apache安全配置规范 （10）IIS安全配置规范 （11）Tomcat安全配置规范 （12）WebLogic安全配置规范 本标准由中国电信集团公司提出并归口。

UnixLinux系统的安全性概述

计算机网络安全技术题目：Unix/linux系统的安全性概述 班级：09 级达内班 组长：朱彦文学号：09700308 组员：冯鑫学号：09700310 组员：刘新亮学号：09700309 组员：梁小文学号：09700312 组员：龚占银学号：09700313 组员：高显飞学号：09700304 组员：陶志远学号：09700305 时间：2011年6月

目录 1、linux系统的介绍 (1) 2、服务安全管理 (1) 2.1、安全防护的主要内容 (1) 3、linux系统文件安全 (1) 3.1、文件相关权限的设置 (2) 3.2、SUID和SGID程序 (2) 4、用户访问安全 (2) 4.1、口令安全 (2) 4.2、登录安全 (3) 5、防火墙、IP伪装个代理服务器 (4) 5.1、什么是防火墙 (4) 5.2防火墙分类 (4) 6、服务器被侵入后的处理 (5) 7、日常安全注意事项 (5) 8、参考文献 (6)

Unix/linux系统的安全性概述 1、linux系统的介绍 Linux是一类Unix计算机操作系统的统称。Linux操作系统的内核的名字也是“Linux”。Linux操作系统也是自由软件和开放源代码发展中最著名的例子。严格来讲，Linux这个词本身只表示Linux内核，但在实际上人们已经习惯了用Linux 来形容整个基于Linux内核，并且使用GNU 工程各种工具和数据库的操作系统。Linux得名于计算机业余爱好者Linus Torvalds。Linux，其安全性漏洞已经广为流传，黑客可以很容易地侵入。而网络服务器往往储存了大量的重要信息，或向大量用户提供重要服务；一旦遭到破坏，后果不堪设想。所以，网站建设者更需要认真对待有关安全方面的问题，以保证服务器的安全。 2、服务安全管理 2.1、安全防护的主要内容 对于网站管理人员而言，日常性的服务器安全保护主要包括四方面内容： 文件存取合法性：任何黑客的入侵行为的手段和目的都可以认为是非法存取文件，这些文件包括重要数据信息、主页页面 HTML文件等。这是计算机安全最重要的问题，一般说来，未被授权使用的用户进入系统，都是为了获取正当途径无法取得的资料或者进行破坏活动。良好的口令管理 (由系统管理员和用户双方配合 )，登录活动记录和报告，用户和网络活动的周期检查都是防止未授权存取的关键。 用户密码和用户文件安全性：这也是计算机安全的一个重要问题，具体操作上就是防止 已授权或未授权的用户相互存取相互的重要信息。文件系统查帐、su登录和报告、用户意识、加密都是防止泄密的关键。 防止用户拒绝系统的管理：这一方面的安全应由操作系统来完成。操作系统应该有能力 应付任何试图或可能对它产生破坏的用户操作，比较典型的例子是一个系统不应被一个有意 使用过多资源的用户损害 (例如导致系统崩溃 )。 防止丢失系统的完整性：这一方面与一个好系统管理员的实际工作 (例如定期地备份文件系统，系统崩溃后运行 fsck检查、修复文件系统，当有新用户时，检测该用户是否可能使系统崩溃的软件 )和保持一个可靠的操作系统有关 (即用户不能经常性地使系统崩溃 )。

(完整版)Linux安全配置基线

Linux系统安全配置基线 中国移动通信有限公司管理信息系统部 2009年3月

版本版本控制信息更新日期更新人审批人V1.0创建2009年1月 1.若此文档需要日后更新，请创建人填写版本控制表格，否则删除版本控制表格。

目录 第1章概述 (1) 1.1目的 (1) 1.2适用范围 (1) 1.3适用版本 (1) 1.4实施 (1) 1.5例外条款 (1) 第2章账号管理、认证授权 (2) 2.1账号 (2) 2.1.1用户口令设置 (2) 2.1.2root用户远程登录限制 (2) 2.1.3检查是否存在除root之外UID为0的用户 (3) 2.1.4root用户环境变量的安全性 (3) 2.2认证 (4) 2.2.1远程连接的安全性配置 (4) 2.2.2用户的umask安全配置 (4) 2.2.3重要目录和文件的权限设置 (4) 2.2.4查找未授权的SUID/SGID文件 (5) 2.2.5检查任何人都有写权限的目录 (6) 2.2.6查找任何人都有写权限的文件 (6) 2.2.7检查没有属主的文件 (7) 2.2.8检查异常隐含文件 (7) 第3章日志审计 (9) 3.1日志 (9) 3.1.1syslog登录事件记录 (9) 3.2审计 (9) 3.2.1Syslog.conf的配置审核 (9) 第4章系统文件 (11) 4.1系统状态 (11) 4.1.1系统core dump状态 (11) 第5章评审与修订 (12)

第1章概述 1.1目的 本文档规定了中国移动通信有限公司管理信息系统部门所维护管理的LINUX操作系统的主机应当遵循的操作系统安全性设置标准，本文档旨在指导系统管理人员或安全检查人员进行LINUX操作系统的安全合规性检查和配置。 1.2适用范围 本配置标准的使用者包括：服务器系统管理员、应用管理员、网络安全管理员。 本配置标准适用的范围包括：中国移动总部和各省公司信息化部门维护管理的LINUX 服务器系统。 1.3适用版本 LINUX系列服务器； 1.4实施 本标准的解释权和修改权属于中国移动集团管理信息系统部，在本标准的执行过程中若有任何疑问或建议，应及时反馈。 本标准发布之日起生效。 1.5例外条款 欲申请本标准的例外条款，申请人必须准备书面申请文件，说明业务需求和原因，送交中国移动通信有限公司管理信息系统部进行审批备案。

linux系统安全加固方案

1.1适用范围..................................................................................错误!未指定书签。2用户账户安全加固......................................................................错误!未指定书签。 2.1修改用户密码策略...................................................................错误!未指定书签。 2.2锁定或删除系统中与服务运行，运维无关的的用户 ..........错误!未指定书签。 2.3锁定或删除系统中不使用的组 ..............................................错误!未指定书签。 2.4限制密码的最小长度........................................................错误!未指定书签。3用户登录安全设置......................................................................错误!未指定书签。 3.1禁止root用户远程登录..........................................................错误!未指定书签。 3.2设置远程ssh登录超时时间 ...................................................错误!未指定书签。 3.3设置当用户连续登录失败三次，锁定用户30分钟 ............错误!未指定书签。 3.4设置用户不能使用最近五次使用过的密码 ..........................错误!未指定书签。 3.5设置登陆系统账户超时自动退出登陆 ..................................错误!未指定书签。4系统安全加固..............................................................................错误!未指定书签。 4.1关闭系统中与系统正常运行、业务无关的服务 ..................错误!未指定书签。 4.2禁用“CTRL+ALT+DEL”重启系统...........................................错误!未指定书签。 4.3加密grub菜单 .........................................................................错误!未指定书签。

Linux服务器安全防护部署精品文档12页

Linux服务器安全防护部署 Abstract Linux operating system is an operating system with open source code， its excellent stability， safety， strong load capacity， compared to the Windows operating system has more advantages. But does not represent a safety problem does not exist in the Linux system， Linux system after the installation is complete， must carry out the necessary configuration， to enhance the security of Linux server， and decrease the possibility of the system to be attacked， increase the stability of the system. Keywords Linux The server Safety The firewall System optimiza-tion 1 用户权限配置 1）屏蔽、删除被操作系统本身启动的不必要的用户和用户组。Linux 提供了很多默认的用户和用户组，而用户越多，系统就越容易受到利用和攻击，因此删除不必要的用户和用户组可提高系统的安全性。 命令：userdel 用户名 groupdel 用户组名 2）用户口令应使用字母、数字、特殊符号的无规则组合，绝对不要单独使用英语单子或词组，必须保证在密码中存在至少一个特殊符号和一个数字。强制要求系统中非root用户密码最大使用天数为60天、长度不能小于8位。 命令：vi /etc/login.defs

Linux安全配置标准

. .. . Linux安全配置标准 一.目的 《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根 据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为 Linux系统设计、实施及维护的技术和安全参考依据。 二.围 安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用 围。 三.容 3.1 软件版本及升级策略 操作系统核及各应用软件，默认采用较新的稳定版本，不开启自动更新功 能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录管理 符合以下条件之一的，属"可远程登录"： (1) 设置了密码，且处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录"的管理要求为： . 资料.

(1) 命名格式与命名格式保持一致 (2) 不允许多人共用一个，不允许一人有多个。 (3) 每个均需有明确的属主，离职人员应当天清除。 (4) 特殊需向安全组报批 3.2.2 守护进程管理 守护进程启动管理要求 (1) 应建立独立，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录"启动守护进程 (3) 禁止使用root启动WEB SERVER/DB等守护进程。 3.2.3 系统默认管理（仅适用于财务管理重点关注系统） 删除默认的，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs

linux系统安全加固方案

1 概述............................... - 1 - 1.1 适用范围......................... - 1 - 2 用户账户安全加固 ........................ - 1 - 2.1 修改用户密码策略..................... - 1 - 2.2 锁定或删除系统中与服务运行，运维无关的的用户........ - 1 - 2.3 锁定或删除系统中不使用的组................ - 2 - 2.4 限制密码的最小长度..................... - 2 - 3 用户登录安全设置 ........................ - 3 - 3.1 禁止 root 用户远程登录.................. - 3 - 3.2 设置远程 ssh 登录超时时间................. - 3 - 3.3 设置当用户连续登录失败三次，锁定用户30分钟........ - 4 - 3.4 设置用户不能使用最近五次使用过的密码............ - 4 - 3.5 设置登陆系统账户超时自动退出登陆.............. - 5 - 4 系统安全加固........................... - 5 - 4.1 关闭系统中与系统正常运行、业务无关的服务.......... - 5 - 4.2 禁用“ CTRL+ALT+DEL重启系统................. -6 - 4.3 加密 grub 菜单....................... - 6 -

Linux安全配置标准

. Word资料Linux安全配置标准 一.目的 《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为Linux系统设计、实施及维护的技术和安全参考依据。 二.围 安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用围。 三.容 3.1 软件版本及升级策略 操作系统核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录帐号管理 符合以下条件之一的，属"可远程登录帐号"： (1) 设置了密码，且帐号处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录帐号"的管理要求为：

(1) 帐号命名格式与命名格式保持一致 (2) 不允许多人共用一个帐号，不允许一人有多个帐号。 (3) 每个帐号均需有明确的属主，离职人员帐号应当天清除。 (4) 特殊帐号需向安全组报批 3.2.2 守护进程帐号管理 守护进程启动帐号管理要求 (1) 应建立独立帐号，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录帐号"启动守护进程 (3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。 3.2.3 系统默认帐号管理（仅适用于财务管理重点关注系统） 删除默认的帐号，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs

Linux安全配置标准

Linux安全配置标准 一.目的 《Linux安全配置标准》是Qunar信息系统安全标准的一部分，主要目的是根据信息安全管理政策的要求，为我司的Linux系统提供配置基准，并作为Linux 系统设计、实施及维护的技术和安全参考依据。 二.范围 安全标准所有条款默认适用于所有Linux系统，某些特殊的会明确指定适用范围。 三.内容 3.1 软件版本及升级策略 操作系统内核及各应用软件，默认采用较新的稳定版本，不开启自动更新功能。安全组负责跟踪厂商发布的相关安全补丁，评估是否进行升级。 3.2 账户及口令管理 3.2.1 远程登录帐号管理 符合以下条件之一的，属"可远程登录帐号"： (1) 设置了密码，且帐号处于未锁定状态。 (2) 在$HOME/.ssh/authorized_keys放置了public key "可远程登录帐号"的管理要求为：

(1) 帐号命名格式与邮件命名格式保持一致 (2) 不允许多人共用一个帐号，不允许一人有多个帐号。 (3) 每个帐号均需有明确的属主，离职人员帐号应当天清除。 (4) 特殊帐号需向安全组报批 3.2.2 守护进程帐号管理 守护进程启动帐号管理要求 (1) 应建立独立帐号，禁止赋予sudo权限，禁止加入root或wheel等高权限组。 (2) 禁止使用"可远程登录帐号"启动守护进程 (3) 禁止使用root帐号启动WEB SERVER/DB等守护进程。 3.2.3 系统默认帐号管理（仅适用于财务管理重点关注系统） 删除默认的帐号，包括：lp,sync,shutdown, halt, news, uucp, operator, games, gopher等 3.2.4 口令管理 口令管理应遵循《密码口令管理制度》，具体要求为 (1) 启用密码策略 /etc/login.defs

linux系统安全加固方法

1概述.......................................................... - 1 - 1.1适用范围 ..................................................................................................... - 1 - 2用户账户安全加固.............................................. - 1 - 2.1修改用户密码策略 ...................................................................................... - 1 - 2.2锁定或删除系统中与服务运行，运维无关的的用户 .............................. - 1 - 3 4 4.2禁用“CTRL+ALT+DEL”重启系统............................................................... - 7 - 4.3加密grub菜单............................................................................................. - 7 -

1概述 1.1适用范围 本方案适用于银视通信息科技有限公司linux主机安全加固，供运维人员参考对linux 主机进行安全加固。 2用户账户安全加固 2.2锁定或删除系统中与服务运行，运维无关的的用户 （1）查看系统中的用户并确定无用的用户 （2）锁定不使用的账户（锁定或删除用户根据自己的需求操作一项即可） 锁定不使用的账户：

linux安全配置

1．概述 Linux服务器版本：RedHat Linux AS 对于开放式的操作系统---Linux，系统的安全设定包括系统服务最小化、限制远程存取、隐藏重要资料、修补安全漏洞、采用安全工具以及经 常性的安全检查等。本文主要从用户设置、如何开放服务、系统优化等方面进行系统的安全配置，以到达使Linux服务器更安全、稳定。 2．用户管理 在Linux系统中，用户帐号是用户的身份标志，它由用户名和用户口令组成。系统将输入的用户名存放在/etc/passwd文件中，而将输入的口令 以加密的形式存放在/etc/shadow文件中。在正常情况下，这些口令和其他信息由操作系统保护，能够对其进行访问的只能是超级用户(root)和 操作系统的一些应用程序。但是如果配置不当或在一些系统运行出错的情况下，这些信息可以被普通用户得到。进而，不怀好意的用户就可以 使用一类被称为“口令破解”的工具去得到加密前的口令。 2．1 删除系统特殊的的用户帐号和组帐号： #userdel username userdel adm userdel lp userdel sync userdel shutdown

userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher 以上所删除用户为系统默认创建，但是在常用服务器中基本不使用的一些帐号，但是这些帐号常被黑客利用和攻击服务器。 #groupdel username groupdel adm groupdel lp groupdel news groupdel uucp groupdel games groupdel dip 同样，以上删除的是系统安装是默认创建的一些组帐号。这样就减少受攻击的机会。 2．2 用户密码设置： 安装linux时默认的密码最小长度是5个字节，但这并不够，要把它设为8个字节。修改最短密码长度需要编辑login.defs文件 （vi/etc/login.defs） PASS_MAX_DAYS 99999 ##密码设置最长有效期（默认值）

linux安全配置规范

Linux 安全配置规范 2010年11月

第一章概述 1.1适用范围 适用于中国电信使用Linux操作系统的设备。本规范明确了安全配置的基本要求，可作为编制设备入网测试、安全验收、安全检查规范等文档的参考。 第二章安全配置要求 2.1账号 编号：1 要求内容应按照不同的用户分配不同的账号，避免不同用户间共享账号，避 免用户账号和设备间通信使用的账号共享。 操作指南1、参考配置操作 为用户创建账号： #useradd username #创建账号 #passwd username #设置密码 修改权限： #chmod 750 directory #其中750为设置的权限，可根据实际情况 设置相应的权限，directory是要更改权限的目录) 使用该命令为不同的用户分配不同的账号，设置不同的口令及权限 信息等。 2、补充操作说明 检测方法1、判定条件 能够登录成功并且可以进行常用操作； 2、检测操作 使用不同的账号进行登录并进行一些常用操作； 3、补充说明 编号：2 要求内容应删除或锁定与设备运行、维护等工作无关的账号。 操作指南1、参考配置操作 删除用户：#userdel username;

锁定用户： 1)修改/etc/shadow文件，用户名后加*LK* 2)将/etc/passwd文件中的shell域设置成/bin/false 3)#passwd -l username 只有具备超级用户权限的使用者方可使用，#passwd -l username锁 定用户,用#passwd –d username解锁后原有密码失效，登录需输入 新密码，修改/etc/shadow能保留原有密码。 2、补充操作说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 检测方法1、判定条件 被删除或锁定的账号无法登录成功； 2、检测操作 使用删除或锁定的与工作无关的账号登录系统； 3、补充说明 需要锁定的用户：listen,gdm,webservd,nobody,nobody4、noaccess。 编号：3 要求内容限制具备超级管理员权限的用户远程登录。 远程执行管理员权限操作，应先以普通权限用户远程登录后，再切 换到超级管理员权限账号后执行相应操作。 操作指南1、参考配置操作 编辑/etc/passwd，帐号信息的shell为/sbin/nologin的为禁止远程登 录，如要允许，则改成可以登录的shell即可，如/bin/bash 2、补充操作说明 如果限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 检测方法1、判定条件 root远程登录不成功，提示“没有权限”； 普通用户可以登录成功，而且可以切换到root用户； 2、检测操作 root从远程使用telnet登录； 普通用户从远程使用telnet登录； root从远程使用ssh登录； 普通用户从远程使用ssh登录； 3、补充说明 限制root从远程ssh登录，修改/etc/ssh/sshd_config文件，将 PermitRootLogin yes改为PermitRootLogin no，重启sshd服务。 编号：4 要求内容对于使用IP协议进行远程维护的设备，设备应配置使用SSH等加

Linux服务器的安全设置方案

XXXX集团 Linux服务器安全设置方案

文档控制

一、描述 尽管Linux在安全设计上比其他一些操作系统具有一定的先天优势，但它也决不像早先一些人认为的“绝对安全”，近年来，基于Linux的安全事件也多有发生。本文对Linux安全问题进行过一些探讨，作为对这一部分内容的总结和进一步补充完善。 二、开机安全设置 1、Bios安全 一定要给Bios设置密码，以防通过在Bios中改变启动顺序，而可以从软盘启动。这样可以阻止别人 试图用特殊的启动盘启动你的系统，还可以阻止别人进入Bios改动其中的设置（比如允许通过软盘启动等）。 2、LILO安全 在"/etc/lilo.conf"文件中加入下面三个参数：time-out,restricted,password。这三个参数可以使你的系统在启动lilo时就要求密码验证。 第一步：编辑lilo.conf文件（vi/etc/https://www.360docs.net/doc/bc13056128.html,f）,假如或改变这三个参数：

第二步： 因为"/etc/lilo.conf"文件中包含明文密码，所以要把它设置为root权限读取。 第三步：更新系统，以便对"/etc/lilo.conf"文件做的修改起作用。 这样可以防止对"/etc/lilo.conf"任何改变（以外或其他原因） 三、账户安全设置 1、删除所有的特殊账户 你应该删除所有不用的缺省用户和组账户（比如lp,sync,shutdown,halt, news,uucp,operator,games,gopher等）。 删除系统特殊的的用户帐号和组帐号： #userdel username userdel adm userdel lp userdel sync userdel shutdown userdel halt userdel news userdel uucp userdel operator userdel games userdel gopher 以上所删除用户为系统默认创建，但是在常用服务器中基本不使用的一些帐号，但

Linux系统安全配置基线

Linux系统安全配置基线 目录 第1章概述................................................... 错误!未指定书签。 1.1目的 .................................................... 错误!未指定书签。 1.2适用范围 ................................................ 错误!未指定书签。 1.3适用版本 ................................................ 错误!未指定书签。第2章安装前准备工作 ......................................... 错误!未指定书签。 2.1需准备的光盘 ............................................ 错误!未指定书签。第3章操作系统的基本安装 ..................................... 错误!未指定书签。 3.1基本安装 ................................................ 错误!未指定书签。第4章账号管理、认证授权 ..................................... 错误!未指定书签。 4.1账号 .................................................... 错误!未指定书签。 4.1.1用户口令设置........................................ 错误!未指定书签。 4.1.2检查是否存在除root之外UID为0的用户 ............... 错误!未指定书签。 4.1.3检查多余账户........................................ 错误!未指定书签。 4.1.4分配账户............................................ 错误!未指定书签。 4.1.5账号锁定............................................ 错误!未指定书签。 4.1.6检查账户权限........................................ 错误!未指定书签。 4.2认证 .................................................... 错误!未指定书签。 4.2.1远程连接的安全性配置 ................................ 错误!未指定书签。 4.2.2限制ssh连接的IP配置 ............................... 错误!未指定书签。 4.2.3用户的umask安全配置 ................................ 错误!未指定书签。 4.2.4查找未授权的SUID/SGID文件 .......................... 错误!未指定书签。 4.2.5检查任何人都有写权限的目录 .......................... 错误!未指定书签。 4.2.6查找任何人都有写权限的文件 .......................... 错误!未指定书签。 4.2.7检查没有属主的文件 .................................. 错误!未指定书签。 4.2.8检查异常隐含文件 .................................... 错误!未指定书签。第5章日志审计............................................... 错误!未指定书签。 5.1日志 .................................................... 错误!未指定书签。 5.1.1syslog登录事件记录.................................... 错误!未指定书签。 5.2审计 .................................................... 错误!未指定书签。 5.2.1Syslog.conf的配置审核................................. 错误!未指定书签。 5.2.2日志增强............................................ 错误!未指定书签。 5.2.3syslog系统事件审计.................................... 错误!未指定书签。第6章其他配置操作 ........................................... 错误!未指定书签。 6.1系统状态 ................................................ 错误!未指定书签。 6.1.1系统超时注销........................................ 错误!未指定书签。 6.2L INUX服务................................................ 错误!未指定书签。

Lnux系统安全配置标准V

服务器系统安全加固技术要求——Linux服务器 中国电信股份有限公司广州研究院 2009年3月

目? 录

1补丁 1.1系统补丁 要求及时安装系统补丁。更新补丁前，要求先在测试系统上对补丁进行可用性和兼容性验证。 系统补丁安装方法为（以下示例若无特别说明，均以RedHat Linux为例）：使用up2date命令自动升级或在下载对应版本补丁手工单独安装。对于企业版5及之后的版本，可以直接使用yum工具进行系统补丁升级： yum update 1.2其他应用补丁 除Linux开发商官方提供的系统补丁之外，基于Linux系统开发的服务和应用（如APACHE、PHP、OPENSSL、MYSQL等）也必须安装最新的安全补丁。 以RedHat Linux为例，具体安装方法为：首先确认机器上安装了gcc及必要的库文件。然后再应用官方网站下载对应的源代码包，如 *.，并解压：tar zxfv *. 根据使用情况对编译配置进行修改，或直接采用默认配置。 cd * ./configure 进行编译和安装： make make install 注意：补丁更新要慎重，可能出现硬件不兼容、或者影响当前应用系统的情况。安装补丁前，应该在测试机上进行测试。

2账号和口令安全配置基线 2.1账号安全控制要求 系统中的临时测试账号、过期无用账号等必须被删除或锁定。以RedHat Linux为例，设置方法如下： 锁定账号：/usr/sbin/usermod -L -s /dev/null $name 删除账号：/usr/sbin/user $name 2.2口令策略配置要求 要求设置口令策略以提高系统的安全性。例如要将口令策略设置为：非root 用户强制在90天内更该口令、之后的7天之内禁止更改口令、用户在口令过期的28天前接受到系统的提示、口令的最小长度为6位。以RedHat Linux为例，可在/etc/文件中进行如下设置： vi /etc/ PASS_MAX_DAYS 90 PASS_MIN_DAYS 7 PASS_MIN_LEN 6 PASS_WARN_AGE 28 2.3root登录策略的配置要求 禁止直接使用root登陆，必须先以普通用户登录，然后再su成root。禁止root账号远程登录，以RedHat Linux为例，设置方法为： touch /etc/securetty echo “console” > /etc/securetty

Linux常用的安全工具

Linux常用的安全工具 ―工欲善其事，必先利其器‖。作为一个合格的系统管理员，要应对可能发生的安全事件，掌握Linux下各种必须的安全工具是首要大事。本文主要介绍Linux上常用的安全工具，例如，Nmap、Snort、Nesseu等安装、使用和维护知识。通过这些工具管理人员能够了解其系统目前存在的安全隐患、入侵者可能利用的漏洞，及时发现入侵，并构造一个坚固的防御体系将入侵拒之门外。 一、安全信息收集软件 对于系统管理员来说，了解和掌握系统当前的安全状态是做到―知己‖的第一个步骤。安全信息收集软件就是用来收集目前系统安全状态的有力工具。端口扫描软件和漏洞扫描软件是常用的信息收集软件。入侵者通常通过端口扫描软件来掌握系统开放端口，运行服务器软件版本和操作系统版本等相关信息。而对于管理人员，通过这些软件可以让管理人员从入侵者的角度来审视系统，并且能够根据这些信息进行相应的配置和修改来迷惑入侵者。漏洞扫描软件能够获得具体的漏洞信息，利用这些漏洞信息，入侵者能够轻易地访问系统、获得非授权信息，甚至是获得整个系统的控制权限。而对于管理人员，通过漏洞扫描软件获得的信息能够帮助自己及时对系统进行加固和防御，让入侵者无机可乘。 1、Nmap Nmap是一个网络探测和安全扫描程序，使用这个软件可以扫描大型的网络，以获取那台主机正在运行及提供什么服务等信息。Nmap支持很多扫描技术，例如UDP、TCPconnect()、TCP SYN（半开扫描）、FTP代理（bounce攻击）、反向标志、ICMP、FIN、ACK扫描、圣诞树（Xmas Tree）、SYN扫描和null扫描。Nmap 还提供了一些高级的特征，例如，通过TCP/IP协议栈特征探测操作系统类型、秘密扫描、动态延时、重传计算和并行扫描，通过并行ping扫描探测关闭的主机、诱饵扫描，避开端口过滤检测，直接RPC扫描（无须端口影射）、碎片扫描，以及灵活的目标和端口设定。 （1）安装 Nmap的安装很简单，Linux各发行版本上通常都已经安装了Namp。这里首先用―nmap-v‖查看当前系统所安装的nmap版本号： # nmap -v Starting nmap V. 4.00.(https://www.360docs.net/doc/bc13056128.html,/nmap/) …… 由于目前系统所安装的Nmap为4.00，不是最新版本，因此要首先从 https://www.360docs.net/doc/bc13056128.html,/nmap/下载最新版本的源代码。目前最新版本为 Nmap-5.5.tar.bz2，该文件为源代码压缩包，需要用bzip2进行解压缩。我们将该文件下载并保存在/root/nmap下，以root用户进行安装。 # bzip2 –cd nmap-5.5.tar.bz2∣tar xvf- 该命令将Nmap源代码解压缩至目录nmap-5.5。 进入该目录进行配置： # ./configure 配置结束后用make命令进行编译： # make